»Klickt man in der TikTok-App auf einen Link, der in TikTok (etwa in der Kanalbeschreibung) gepostet wurde, wird dieser mittels des In-App-Browsers geöffnet, wodurch zahlreiche Daten an TikTok übermittelt werden, die mit dem User oder der Userin verknüpft werden, beispielsweise die vollständige URL, Zeitstempel und den Verlauf der Seiten, die im Browser aufgerufen werden.«
Meine Beobachtungen zeigen, dass Certificate-Pinning bei Apps nicht immer als Schutzmechanismus eingesetzt wird, sondern häufig dazu dient, rechtlich fragwürdige Praktiken und (kalkulierte) Datenschutzverstöße zu verschleiern. Auszug aus dem demnächst erscheinenden Artikel »In den Datenstrom eintauchen: Ein Werkzeugkasten für Tester von Android-Apps«.
Der Messenger »Doctolib Siilo« richtet sich an den medizinischen Bereich. Direkt nach dem Start verbindet sich die App zu:
Google Firebase
Adjust (Tracking)
Google Crashlytics (Analyse/Tracking)
Google Firebase Remote Config
Google Firebase Logging
Um Erlaubnis wird nicht gefragt. Besonders brisant: Das personenbezogene Datum (Google-Advertisting-ID) wird ausgelesen und an Adjust übermittelt. #DSGVO und #TTDSG Verstoß.
Krebstherapien sind gut und wichtig. Aber, weshalb die App »Krebs Therapie Assistent Mika« unmittelbar nach dem Start personenbezogene Daten (Google-Advertising-ID) übermittelt, ist fraglich. Die Einwilligung dazu wird erst später beim Consent-Banner abgefragt. Leider zu spät.
ARD, ZDF und Co. lernen nicht dazu. Bei der ZDF-Mediathek ist die »erforderliche Erfolgsmessung« immer aktiv, also nicht abschaltbar. Und bei der ARD wird nicht einmal eine Einwilligung eingeholt, sondern gleich Google Crashlytics eingebunden. Da muss man auch erst klagen, bevor man sich an Gesetze hält. Traurig. 😔
LDI NRW schreibt mir:
"Zunächst ist im Zusammenhang mit Messengerdiensten, zu denen auch #WhatsApp zählt, zu berücksichtigen, dass diese als Telekommunikationsdienste zu qualifizieren sind. [...] Die Betreiber der Telekommunikationsdienste fallen nach § 29 Abs. 1 #TTDSG grundsätzlich in die aufsichtsbehördliche Zuständigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)."
Passiert beim @bfdi etwas in Richtung metadaten-speichender Messenger?
Für alle gut zu wissen: Tracker, die nicht abgewählt werden können, dürfen nur eingesetzt werden, wenn sie objektiv zwingend erforderlich sind. Es reicht nicht aus, wenn ein Anbieter diese Tracker nur dringend einsetzen will, weil sie irgendwie zum Geschäftsmodell gehören. 🧙♂️
Die aktuelle Diskussion um Outlook und die Weitergabe von Zugangsdaten und E-Mails an Microsoft ist wichtig. Noch wichtiger ist jedoch die konsequente Durchsetzung der bestehenden Gesetze, einschließlich der damit verbundenen Bußgelder. Microsoft wird nur dann reagieren, wenn es finanzielle Konsequenzen zu spüren bekommt. Bis dahin werden sie weiter behaupten, O365 sei datenschutzkonform und die Erde eine Scheibe. 😉
Dank der laschesten Datenschutzbehörde Europas (Rundfunkdatenschutzbehörde) kennt das ZDF kein Halten mehr. Bei der ZDF-Mediathek-App ist eine Erfolgsmessung nun »erforderlich« und kann nicht mehr abgewählt werden. Leseempfehlung dazu von @rufposten. 👇
Die SCHUFA bzw. der Geschäftsführer von Bonify hat mich kontaktiert. Sie haben einen »Action Plan« definiert, um die kritisierten Punkte baldmöglichst zu beheben. Wird aber sicher noch etwas dauern, nachdem @Lilith Bonify kaputt gemacht hat. 😉
Immer wieder die gleichen Anfängerfehler bei Apps zum Datenschutz. Als ob die Verantwortlichen die DSGVO / das TTDSG nur im Vorbeigehen gehört hätten. Unverantwortlich wird es aber immer dann, wenn sensible Daten verarbeitet werden. Und das tut die Bonify-App der SCHUFA. 👇
Deutsche Bahn [1], Deutsche Post [2] und Deutsche Telekom [3]. Alles große Unternehmen mit auffälligen Problemen beim Datenschutz - obwohl die Ressourcen vorhanden sein sollten, um es besser zu machen. 🙄
Auch Jahre nach Einführung der DSGVO sind Unternehmen noch immer nicht in der Lage, bestehende Datenschutzgesetze einzuhalten. Ein besonders schönes Beispiel dafür ist die App »MeinMagenta« der Telekom Deutschland GmbH. 👇
Deutsche Telekom: Die App »MeinMagenta« gibt ungefragt personenbezogene Daten an Facebook weiter, ohne Facebook/Meta in den Datenschutzhinweisen zu erwähnen. 👇
Benötigt man unter Android wirklich eine Antiviren-App und weshalb benotet die Stiftung Warentest das Datensendeverhalten der Apps im aktuellen Test 07/2023 so unkritisch? Es gibt erhebliche Zweifel an den Testergebnissen. 👇
Der aktuellste Test von Antiviren-Apps durch die Stiftung Warentest wirft Fragen zur Genauigkeit der Testergebnisse sowie zur Bewertungsmethodik auf. 👇