Daten-Ganoven und ihre Komplizen

Heute startet die Academic Bicycle Challenge 2022, ein Wettbewerb im Namen von Gesundheitsfürsorge und Klimaschutz. Teilnehmende sollen dabei für Ihre jeweilige Hochschule möglichst viele Fahrrad-Kilometer zurücklegen, um u.a. dessen Image zu polieren. Das Kilometer-Tracking wird mit einer Smartphone-App namens Naviki realisiert, allerdings verfolgt diese auch das Verhalten der Nutzer*innen und sendet u.a. Daten an Google Analytics, Google CrashLytics und Mapbox.

Trackerscan

Zunächst liefert ein εxodus-Bericht für die derzeit aktuelle Version 4.2205.1 insgesamt sechs Tracker in der Code-Signatur:

1. Google AdMob
2. Google Analytics
3. Google CrashLytics
4. Google Firebase Analytics
5. Google Tag Manager
6. Mapbox

Im Blog von Mike Kuketz gibt es eine datenschutzrechtliche Einordnung von Google CrashLytics, die zeigt, dass diese Bilbiothek bereits nach dem Starten einer App Daten über das verwendete Smartphone inkl. Google Advertisting-ID und die beim Booten generierte Android Device-ID ausliest und übermittelt, obwohl die App noch nicht abgestürzt ist.

Gegendarstellung

Der Naviki-Hersteller beemo GmbH äußert sich zu diesem Sachverhalt auf Anfrage wie folgt:

Korrekt ist auch, dass Crashlytics die Werbe-ID und Device-ID erhebt. Diese Daten sind für uns zwar uninteressant, aber für uns die Vorteile von Firebase und Crashlytics überwiegen für unsere Arbeit die Erhebung dieser Informationen. Diese Tools helfen uns neben dem Aufspüren von Bugs auch dabei, zu sehen, welche Android-Versionen unsere Nutzenden verwenden. Damit können unsere Entwickler am besten zwischen dem Einsatz neuerer Android-Funktionen und der Abwärtskompatibilität von Naviki abzuwägen. Im Zuge von Android 13 werden wir zudem prüfen, ob wir die Werbe-ID für Naviki deaktivieren können.

Des Weiteren wird für eine “gute Übersicht” bei den erhobenen Daten auf die Datenschutzerklärung von Firebase verwiesen. Aus diesem mehrere Bildschirmseiten füllenden Text geht jedoch nicht hervor welche einzelnen Daten konkret und wann von Naviki erhoben werden, da dies laut Dokumentation durchaus anpassbar ist. Solche Angaben gehören in eine transparente Datenschutzerklärung und auch das Recht auf Vergessen, Datenübertragbarkeit etc. wird nicht erwähnt, obwohl das Software Development Kit dies immerhin ermöglichen würde.

Deine Daten in den Händen der beemo GmbH

Ebenso wie die Weitergabe von Gerätedaten an Google räumt sich die beemo GmbH in den Allgemeinen Nutzungsbedingungen Rechte zur Weitergabe und kommerziellen Verwendung an Routen und anderen bereitgestellte Daten ein, indem alle Inhalte automatisch per Creative Commons Attribution Share Alike 2.0 lizensiert werden:

Sämtliche von Nutzern bereitgestellte Daten, die in www.naviki.org verwaltet werden, stehen unter der Lizenz “Creative Commons Attribution Share Alike 2.0” (cc-by-sa 2.0, zu deutsch “Namensnennung-Weitergabe unter gleichen Bedingungen 2.0”).

Auch wenn diese Lizentform vmtl. dazu dient Routen mit anderen Naviki-Benutzern teilen zu können, ist eine Weitergabe an Dritte (bspw. zu kommerziellen Zwecken wie Werbung) für den Betreiber damit auch erlaubt, weil die Klausel NonCommercial (nc) weg gelassen wurde.

Analyse des Datensendeverhaltens

Aufschlussreich für das tatsächliche Datensendeverhalten könnte eine Analyse des App-Datenverkehrs mittels eines Intercept-Proxy wie mitmproxy sein. Dabei wäre insbesondere interessant, inwiefern folgenden Aussagen zutreffen:

• Naviki speichert alle Routen anonymisiert auf unseren Serven, die ausschließlich in Deutschland stehen und alle Anforderungen der DSGVO erfüllen.
• Bei Heatmaps in Wettbewerben kürzt Naviki jede Route automatisch, um Start oder Ziel einer Route privat zu halten.

#App #Datenschutz #Fahrrad #Geraetedaten #GoogleCrashlytics #GoogleFirebase #Hochschule #Routen #Smartphone #Tracking #Wettbewerb #Weitergabe

Anregungen, Kritik o.ä. an: ecaps(tod)rebu.nev(ta)onag