„Unerwartete Dritte“
Die Studie wurde von Juni bis November letzten Jahres durchgeführt und wollte untersuchen, wie mit personenbezogenen Daten in 10 der beliebtesten Android-Apps umgegangen wird.
Diese wurden auf der Grundlage der beliebtesten im Google Play Store in Kategorien ausgewählt, in denen „sensible Kategorie personenbezogener Daten wahrscheinlich verarbeitet werden“, wie z. B. Informationen über Gesundheit, Religion, Kinder und sexuelle Vorlieben.
Neben den drei Dating-Apps enthielt die Liste die Perioden-Tracker Clue und MyDays; religiöse App Muslim: Qibla Finder; und Kinder-App My Talking Tom 2.
Das NCC stellte fest, dass die Mehrheit der zehn Apps Daten an „unerwartete Dritte“ übermittelte, ohne dass den Benutzern ausreichend Klarheit darüber gegeben wurde, wohin und zu welchem Zweck ihre Informationen übermittelt wurden.
In Zusammenarbeit mit dem Cybersicherheitsunternehmen Mnemonic ergab eine Analyse des Datenverkehrs, dass mehrere der Apps Standortdaten mit einer großen Anzahl von Partnern geteilt haben – mehr als 70 im Fall der Make-up-App Perfect365.
Die Dating-App Grindr war einer der schlimmsten Übeltäter, da sie keine klaren Informationen darüber teilte, wie sie Daten mit Drittanbietern teilt, die keine Dienstanbieter sind; Teilen Sie klare Informationen darüber, wie Benutzerdaten für gezielte Anzeigen verwendet werden, und stellen Sie In-App-Optionen bereit, um die Datenfreigabe mit Dritten zu reduzieren.
Zu den weitergegebenen Daten gehörten die IP-Adresse, die Werbe-ID, der GPS-Standort, das Alter und das Geschlecht eines Benutzers. Twitters Ad-Tech-Tochter MoPub wurde als Vermittler für einen Großteil dieses Datenaustauschs eingesetzt und es wurde beobachtet, dass personenbezogene Daten an eine Reihe anderer Werbe-Drittparteien weitergegeben wurden, darunter die großen Ad-Techs AppNexus und OpenX.
Viele dieser Drittanbieter behalten sich das Recht vor, die von ihnen gesammelten Daten mit einer sehr großen Anzahl von Partnern zu teilen. NCC wies in dem Bericht beispielsweise darauf hin, dass AppNexus Daten wie IP-Adresse oder Werbe-ID an die Muttergesellschaft AT&T weitergeben könnte. Ein Nutzer könnte dann theoretisch auf Basis seiner Interaktion mit einer App mit personalisierter TV-Werbung angesprochen werden.
„AT&T kann die Daten aus der Online-Tracking-Branche in Kombination mit First-Party-Daten aus seinen TV-Boxen verwenden, um seine zielgerichtete Werbung weiter zu verfeinern.“
Die Dating-App OkCupid hat sehr persönliche Daten über Sexualität, Drogenkonsum, politische Ansichten und mehr mit dem Analyseunternehmen Braze geteilt. Googles Werbedienst DoubleClick erhielt unterdessen Daten von acht der Apps, während Facebook Daten von neun erhielt.
Ein fairer Kompromiss?
Bei den 10 untersuchten Apps zeigte die Studie, dass die Ansätze zur Einholung der Zustimmung der Benutzer uneinheitlich waren. Während MoPub behauptet, sich bei der Verarbeitung personenbezogener Daten auf die Einwilligung zu verlassen, verwenden seine Partner die Einwilligung nicht immer als Rechtsgrundlage.
Wenn eine Person ihre Daten zurückziehen möchte, müsste sie daher jeden beteiligten Partner ausfindig machen, um sicherzustellen, dass sie nicht weitergegeben werden, was laut NCC einen „Mangel an Verbraucherkontrolle zeigt, wenn Daten in der gesamten Ad-Tech-Branche weit verbreitet werden. ”
Wenn Benutzer die Kontrolle haben, z. B. keine Standortdaten von ihrem Gerät bereitstellen, können Partner wie AppNexus den Standort eines Benutzers anhand der IP-Adresse ableiten. Der Bericht fügte hinzu, dass die Datenschutzrichtlinien vieler Ad-Tech-Unternehmen mit der Einwilligung als Kernbestandteil der DSGVO „unverständlich“ seien.
Wenn festgestellt wird, dass die Unternehmen gegen die DSGVO verstoßen, können ihnen Bußgelder in Höhe von bis zu 4 Prozent ihres weltweiten Umsatzes drohen.
„Die Vielzahl der Grundrechtsverletzungen geschieht milliardenfach pro Sekunde, alles im Namen der Profilerstellung und zielgerichteten Werbung“, schloss der NCC.
„Es ist Zeit für eine ernsthafte Debatte darüber, ob die überwachungsgesteuerten Werbesysteme, die das Internet erobert haben und die wirtschaftliche Treiber von Fehlinformationen im Internet sind, ein fairer Kompromiss für die Möglichkeit sind, etwas relevantere Werbung zu zeigen.“
21. Dezember 2022
21. Dezember 2022
20. Dezember 2022