Datenschutz: Stiftung Warentest warnt vor unsicheren Apps
Smartphone-Anwendungen versenden häufig Daten unverschlüsselt und ungefragt an Dritte weiter. Zu den unsicheren Apps gehören viele der beliebtesten Programme.
Wer das Chatprogramm Whatsapp auf seinem Smartphone nutzt, tauscht mehr aus als Nachrichten mit seinen Freunden. Die App sendet ungefragt und ohne dass die Nutzer es ahnen, alle auf dem Handy gespeicherten Telefonnummern an den eigenen Server – ohne sie zu anonymisieren. Damit gehört Whatsapp zu den Programmen, die die Stiftung Warentest in ihrer neuen Ausgabe als „sehr kritisch“ einstuft, wie sie am Donnerstag auf ihrer Jahrespressekonferenz in Berlin mitteilte. Von 63 getesteten Apps bewertet sie acht als unsicher, darunter Facebook, den Restaurantfinder Foodspotting und die Bewertungsplattform Yelp. Datenschützer kennen das Problem. „Es entspricht unserer Erfahrung, dass viele Applikationen nicht ansatzweise dem deutschen Datenschutzrecht entsprechen“, sagte Thilo Weichert, Datenschutzbeauftragter von Schleswig-Holstein, dem Tagesspiegel.
Die Apps sind gleich in zweierlei Hinsicht problematisch: Zum einen übertragen sie sensible Informationen wie Adressen und Telefonnummern nicht anonymisiert und unverschlüsselt. In einem ungesicherten W-Lan-Netz lassen sich diese Daten leicht mitlesen. Der Übersetzungsdienst iTranslate überträgt zum Beispiel die kompletten zu übersetzenden Texte; der Spritpreisvergleich Clever tanken sendet sogar Benutzernamen und Passwort unverschlüsselt. Wer stets denselben Code nutzt, gefährdet so andere Bereiche wie Online-Banking oder den E-Mail-Account.
Darüber hinaus senden zahlreiche Apps Daten, die für die Funktion des Programms nicht nötig sind, wie die Gerätekennung oder den Mobilfunkanbieter. Die Stiftung Warentest hat 28 Apps ausgemacht, die sie aus diesem Grund als „kritisch“ einstuft. Besonders problematisch: Die Nutzerdaten fließen nicht nur an die eigenen Server, sondern viele Anwendungen übertragen sie an externe Datensammler wie Flurry, Mobclix oder Admob – ohne dass die Nutzer darüber informiert werden oder der Übertragung widersprechen können. Die Rezeptesammlung Chefkoch.de und die Fitness-App Smart Runner senden beispielsweise Benutzungsstatistiken, das Spiel Angry Birds protokolliert und sendet den kompletten Spielablauf. Die Datensammler bündeln die empfangenen Informationen und verknüpfen sie. Zwar gibt Flurry an, es ließen sich keine individuellen Nutzerdaten identifizieren. Aber da die meisten Apps auch die Gerätekennung mitsenden, lassen sich durchaus Nutzerprofile erstellen. „Das Datensammeln ist der ökonomische Hauptzweck vieler Applikationen“, kritisierte Datenschützer Weichert. „Die Daten werden verkauft und für personalisierte Werbung genutzt.“ Problematisch ist dabei die mangelnde Transparenz. „Jeder Nutzer sollte wissen, welche Daten gesammelt und wohin sie gesendet werden“, sagte Warentest-Vorstand Hubertus Primus. „Eine App sollten den Kunden nicht heimlich ausspähen.“
Auch wenn Apps gegen deutsche Datenschutzrichtlinien verstoßen, ist es bislang schwierig, dagegen vorzugehen, da viele Firmen ihren Sitz im Ausland, vor allem in den USA, haben. Von einem „Vollzugsdefizit“ spricht Datenschützer Weichert. Im Januar hat die EU eine Datenschutzverordnung vorgeschlagen, mit der sich das ändern könnte. Danach müssten sich die Anbieter an die hiesigen Richtlinien halten, auch wenn sie ihren Sitz nicht in der EU haben. Zudem sollen die Strafen bei Datenschutzverstößen drastisch erhöht werden. „Die Einhaltung kann dann erzwungen werden“, sagte Weichert. Je nachdem wie schnell sich die Politik einig wird, rechnet er mit einer Umsetzung der Verordnung zwischen 2013 und 2016. Solange sollten sich die Nutzer zunächst im Internet über die App informieren, die sie auf ihr Smartphone laden wollen. „Im Zweifel die Finger davon lassen“, rät Weichert.