Viele mobile Apps sammeln scheinbar Nutzerdaten ohne Zustimmung
22. November 2022 (jh)Der Gebrauch vieler verschiedener Apps ist für die meisten Smartphone-Nutzer eine Selbstverständlichkeit. Dabei scheint eine Vielzahl von Applikationen, die in der EU verfügbar sind, noch immer gegen die Datenschutz-Grundverordnung (DSGVO) und die E-Privacy-Richtlinie zu verstoßen. Zu diesem Ergebnis kommt zumindest eine neue Analyse der Consent-Management-Plattform (CMP) Usercentrics. Diese untersuchte im Oktober 2022 jeweils 50 Apps aus fünf verschiedenen Kategorien: Lebensmittel, Lifestyle, Fitness und Gesundheit, Finanzen sowie Glücksspiel.
Das Vorgehen: Tracker auslesen
Usercentrics verwendete für die Analyse der 250 Apps das Tool “SDK Intelligence Insights” von Apptopia, wobei SDK für Software Development Kit steht – eine Hilfestellung für Entwickler. Die Software von Apptopia soll seinen Nutzern ermöglichen, Download-, Umsatz- und Nutzungszahlen sowie besagte SDK-Daten von mobilen Apps einzusehen. Dafür liest sie in einer App installierte Tracker von Drittanbietern aus. Insbesondere Werbe-, Analyse- und Attributions-SDKs erfassen Daten wie IP-Adresse, IDFA, Gerätestandort und andere User-Daten. Diese SDKs beginnen mit der Datenerfassung, sobald die App gestartet wird – dafür benötigen sie jedoch laut Gesetz die Zustimmung (den Consent) des Nutzers.
Untersucht wurden ausschließlich Apps, die Tracker von Drittanbietern zum Zweck der Analyse, Attribution, Monetarisierung und/oder Marketing installiert hatten. Außerdem mussten die Apps mindestens 50.000 täglich aktive Nutzer in der EU aufweisen. Jede der Applikationen wurde im Rahmen des Tests auf Geräte innerhalb der EU heruntergeladen, um zu überprüfen, ob eine Consent-Management-Plattform (CMP) installiert ist, damit User die Möglichkeit erhalten, die eingebetteten Tracking-Technologien abzulehnen und so personenbezogene Daten privat zu halten. War in der App ein Einwilligungsbanner einer CMP zu sehen, kam es darüber hinaus darauf an, ob es den gesetzlichen Standards entsprach.
Das Ergebnis: Neun von zehn Apps verstoßen gegen DSGVO
Es zeigt sich, dass neun von zehn der untersuchten Apps personenbezogene Daten von Nutzern erheben können, ohne dass diese eingewilligt haben. Dies stellt somit einen klaren Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und die E-Privacy-Richtlinie dar. Bei den Lebensmittel-Angeboten ist der Datenschutz noch am besten: 84 Prozent der Apps aus dieser Kategorie entsprechen nicht den Vorgaben der DSGVO, bei den Finanz-Apps (Platz zwei) sind es 86 Prozent. Unrühmliches Schlusslicht sind die Glücksspiel-Angebote. 100 Prozent der Anwendungen in dieser Kategorie halten die Vorgaben der DSGVO nicht ein. Allerdings gibt es im gesamten App-Kosmos viele unseriöse Apps, sodass das Ergebnis vielleicht nicht unbedingt überraschen mag und auch mit der Auswahl der untersuchten Apps zusammenhängen könnte.
“Die Ergebnisse dieses Berichts zeigen deutlich, was wahrscheinlich der größte ‚Elefant im Raum‘ in der App-Branche ist: Die meisten Apps sind noch weit davon entfernt, die DSGVO und die E-Privacy-Richtlinie korrekt umzusetzen. Und das, obwohl die Nutzer einen Großteil ihrer Zeit in Apps verbringen, wo letztlich die meisten PII-Daten [Persönlich identifizierbare Informationen] gesammelt werden – in den meisten Fällen immer noch ohne ausdrückliche Einwilligung”, erklärt Valerio Sudrio, Global Director Apps Solutions bei Usercentrics.
Takeaways
- 90 Prozent der 250 von Usercentrics analysierten Apps sind nicht DSGVO-konform.
- Die betroffenen Apps erheben Daten ohne die Einwilligung der Nutzer.
- 100 Prozent der untersuchten Glücksspiel-Apps halten die Vorgaben nicht ein.