Bamberger Informatiker im Undercover-Einsatz

Symbolbild Bildung

Drei Forscher haben mehr als 200 Apps getestet: Geben die Anbieter persönliche Nutzerdaten auf Anfrage heraus?

Auch in der Wissenschaft gibt es verdeckte Ermittler: Mit sogenannter „Undercover-Feldforschung“ haben drei Informatiker der Universitäten Bamberg und Hamburg sowie der TU Berlin die Anbieter von Apps auf die Probe gestellt. Sie wollten herausfinden, ob diese wie vorgeschrieben die persönlichen Nutzerdaten auf Anfrage herausgeben. „Unsere Studie zeigt, dass viele Anbieter ihrer gesetzlichen Auskunftspflicht nicht nachkommen“, sagt Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen an der Universität Bamberg. „Insgesamt haben wir 225 iOS- und Android-Apps untersucht. Bei den meisten Anbietern gab es etwas zu beanstanden.“ Die Studie wurde im August auf der internationalen IT-Sicherheits-Konferenz „ARES 2020“ vorgestellt und als beste Einreichung mit dem Best-Paper-Award ausgezeichnet.

Ein Fünftel der App-Anbieter antwortete nicht

Dominik Herrmann, Jens Lindemann von der Universität Hamburg und Jacob Leon Kröger von der TU Berlin haben die Verlaufsstudie zwischen 2015 und 2019 durchgeführt. Der Titel lautet: „How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps“. Für ihre Undercover-Untersuchung legten die Informatiker fiktive Nutzerprofile an, sodass insgesamt 225 App-Anbieter Zugang zu diesen persönlichen Daten bekamen. Rund ein Drittel der Apps stammte aus Deutschland, die anderen aus Ländern weltweit. In den Jahren 2015, 2018 und 2019 baten die Wissenschaftler die Anbieter darum, ihnen die persönlichen Daten zu nennen, die sie von ihnen gespeichert hatten. „Viele Anbieter – im Schnitt 20 Prozent – antworteten gar nicht, manche waren nicht einmal erreichbar“, erläutert Dominik Herrmann. Häufig seien die Antworten ungenügend gewesen, etwa weil sie unverständlich strukturiert waren oder die Links zu den angeforderten Daten nicht funktionierten. „Ein Anbieter hat uns versehentlich sogar die sensiblen Daten einer anderen Person geschickt.“

DSGVO führte nicht zu einer Verbesserung

Besonderes Augenmerk legten die Wissenschaftler auf die Unterschiede zwischen 2018 und 2019. Im Mai 2018 wurde die Datenschutz-Grundverordnung (DSGVO) eingeführt, die unter anderem das Recht auf Auskunft über personenbezogene Daten konkretisiert. „Nach der Einführung erwarteten wir einen positiven Trend“, so Dominik Herrmann. „Stattdessen ging die Zahl der akzeptablen Antworten tendenziell eher noch zurück: von 53 Prozent im Jahr 2018 auf 41 Prozent im Jahr 2019.“ Eine Antwort war für die Wissenschaftler akzeptabel, wenn der Anbieter entweder die angeforderten Nutzerdaten schickte oder wenn er glaubwürdig begründen konnte, dass die Daten nicht mehr gespeichert waren. Bedenklich findet das Forscherteam, dass rund drei Viertel der Anbieter nicht die Identität der antragstellenden Person überprüften. Positive Entwicklungen stellten die Forscher innerhalb der vier Jahre nur in einzelnen Bereichen fest, beispielsweise wurden den Anfragenden häufiger verständliche Daten zur Verfügung gestellt.

Verbesserung durch mehr Ressourcen und Stichproben

Was können Nutzerinnen und Nutzer tun, die nicht die gewünschte Auskunft erhalten? „Betroffene sollten sich an Datenschutzbehörden wenden, die derartige Verstöße verfolgen“, erklärt Dominik Herrmann. Er empfiehlt außerdem, Apps grundsätzlich mit Bedacht auszuwählen und möglichst wenig Persönliches preiszugeben – oder gar falsche Angaben zu machen, sofern möglich. Um die Vorschriften der DSGVO besser durchzusetzen, sieht das Forscherteam vor allem den Staat in der Pflicht: „Die zuständigen Aufsichtsbehörden benötigen mehr Budget und Personal, um ihre gesetzlich vorgesehene Aufgabe zu erfüllen. Sie könnten dann umfassende Stichprobenkontrollen durchführen oder branchenspezifische Richtlinien für Unternehmen erlassen. Idealerweise stellen uns App-Anbieter in Zukunft einheitliche und automatisierte Schnittstellen für solche Auskunftsanfragen zur Verfügung. Dadurch könnten sie auf die fehleranfällige manuelle Bearbeitung verzichten.“

Publikation (Open Access):

Jacob Leon Kröger, Jens Lindemann, Dominik Herrmann. 2020. How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps. ARES ’20: Proceedings of the 15th International Conference on Availability, Reliability and Security.
https://dl.acm.org/doi/10.1145/3407023.3407057

Englische Video-Präsentation der wichtigsten Ergebnisse (15 Minuten): https://vimeo.com/444158701

Das Projekt stammt aus dem Forschungsschwerpunkt „Digitale Geistes-, Sozial- und Humanwissenschaften“ der Universität Bamberg. Weitere Informationen und aktuelle Meldungen zum Schwerpunkt finden Sie unter www.uni-bamberg.de/forschung/profil/digitale-geistes-sozial-humanwissenschaften. ­­