App-Anbieter kommen DSGVO-Auskunftspflicht nur unzureichend nach

Im Interview sprechen wir mit dem Wirtschaftsinformatiker Jacob Kröger darüber, wie App-Anbieter mit Anfragen zu gespeicherten personenbezogenen Daten umgehen.

Jacob Kröger ist Doktorand in der Forschungsgruppe Verantwortung und das Internet of Things (IoT) am Weizenbaum-Institut. Der Fokus seiner Dissertation liegt auf den Auswirkungen von mobilen und IoT-Geräten auf unsere Privatheit. Momentan untersucht er, welche sensiblen Informationen aus vermeintlich harmlosen Sensordaten ableitet werden können und wie transparent Anbieter von mobilen Apps mit Nutzerdaten umgehen.

Wir sprachen mit ihm über eine mehrjährige Undercover-Studie, die er Ende August auf der ARES 2020 Konferenz präsentieren wird und die dort für den Best Paper Award nominiert ist. Die Studie trägt den Titel „How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps“ und ist hier online frei zugänglich.


Die Datenschutzgrundverordnung (DSGVO) enthält das Recht auf Auskunft über personenbezogene Daten. In einer Langzeitstudie hast Du zusammen mit zwei Kollegen versucht herauszufinden, inwieweit App-Anbieter dieser Auskunftspflicht nachkommen. Zu welchem Ergebnis seid Ihr gekommen?

Unverblümt gesagt: Die Ergebnisse sind katastrophal. Bei den 225 iOS- und Android-Apps, die wir untersucht haben, konnten wir eine lange Liste von Defiziten und Gesetzesverstößen dokumentieren. In unserer Studie haben wir, getarnt als gewöhnliche Nutzer, von App-Anbietern Auskunft über gespeicherte persönliche Daten erbeten. Die beobachteten Probleme reichen von der häufigen Nichtbeantwortung unserer Anfrage über diverse Formen von misslungenen Datentransfers bis hin zu unverständlicher Sprache und schwerwiegenden Sicherheitslücken. Beispielsweise erfolgte in den meisten Fällen kein Versuch, die Identität des Antragstellers zu überprüfen. Zudem beinhalteten viele Antworten falsche oder irreführende Aussagen. In einem Fall erhielten wir sogar versehentlich Zugang zu sensiblen persönlichen Daten eines fremden Nutzers.

Die Studie wurde über einen Zeitraum von 4 Jahren durchgeführt. Man würde vermuten, dass sich die Ergebnisse vor und nach Inkrafttreten der DSGVO unterscheiden? Ist das der Fall?

Richtig. Wir haben unsere Untersuchung in drei Iterationen in den Jahren 2015, 2018 und 2019 durchgeführt, womit es sich um die erste longitudinale Studie in diesem Forschungsfeld handelt. Während wir über diesen Zeitraum Verbesserungen in einzelnen Bereichen feststellen konnten, war das Verhalten der meisten App-Anbieter am Ende unserer Studie ebenso inakzeptabel wie zu Beginn unserer Studie. Insbesondere zeigen die Ergebnisse, dass sich die Situation – entgegen unserer Erwartungen – seit Inkrafttreten der DSGVO im Jahr 2018 nicht verbessert, sondern tendenziell sogar verschlechtert hat. Der longitudinale Ansatz erlaubte es uns auch, zu dokumentieren, wie zahlreiche Apps und Accounts über die Jahre deaktiviert und gelöscht wurden – übrigens meistens ohne ordnungsgemäße Benachrichtigung.

Was bedeuten die Ergebnisse für einzelne App-Nutzer*innen? Welche Gefahren sind erkennbar?

Unsere Ergebnisse legen nahe, dass sich unter mobilen Apps noch keine funktionierenden Best Practices zur Beantwortung von DSGVO-Anfragen durchgesetzt haben. Dementsprechend sollten Nutzer damit rechnen, dass sie von ihren Auskunftsrechten nicht ohne Weiteres Gebrauch machen können – was natürlich eine schwerwiegende Einschränkung ihrer informationellen Selbstbestimmung bedeutet. Betroffene Nutzer sollten sich an Datenschutzbehörden wenden, welche zur Verfolgung derartiger Rechtsbrüche verpflichtet sind. Außerdem gilt natürlich, dass unter den gegebenen Umständen höchste Vorsicht bei der Auswahl von Apps und insbesondere bei der Preisgabe von sensiblen Informationen an Apps geboten ist. Die Nichteinhaltung der DSGVO ist am Ende ein systemisches Problem, das Nutzer nicht alleine lösen können. Der Staat muss hier dringend für eine bessere Durchsetzung bestehender Gesetze sorgen.

Wie könnten personenbezogene Daten in Zukunft besser geschützt werden? Müsste die Politik da nachjustieren, indem zum Beispiel Verstößen konsequenter nachgegangen wird?

Im Hinblick auf die sensiblen persönlichen Daten, die regelmäßig von mobilen Apps gesammelt werden, darf der Ist-Zustand auf keinen Fall geduldet werden. Die DSGVO galt als großer Hoffnungsträger, dennoch konnten wir seit ihrer Einführung keine Verbesserung beobachten. Möglicherweise haben die App-Anbieter erkannt, dass es den zuständigen Aufsichtsbehörden an Ressourcen mangelt, um die Vorschriften effektiv durchzusetzen. Hier sollten dringend Aufstockungen von Budget und Personal erwogen werden. Was ferner zur Verbesserung der Situation beitragen könnte, sind umfassende Stichprobenkontrollen und eine bessere Unterstützung für die datenverarbeitenden Unternehmen durch branchenspezifische Ratgeber und Richtlinien. Insbesondere fordern meine Koautoren und ich automatisierte Schnittstellen für die Bereitstellung von DSGVO-Auskünften, um die fehleranfällige manuelle Bearbeitung solcher Anfragen zu vermeiden.

An dem Projekt waren auch die Universität Hamburg und die Universität Bamberg beteiligt. Wie sah die Zusammenarbeit konkret aus?

Das Projekt wurde ursprünglich von Prof. Dr. Dominik Herrmann von der Universität Bamberg und Jens Lindemann von der Universität Hamburg ins Leben gerufen, die ich über meinen Forschungsgruppenleiter Dr. Stefan Ullrich und gemeinsame IT-Security-Workshops kennengelernt habe. Ich habe in den letzten zwei Jahren der Studie die Federführung übernommen und war in dieser Zeit Hauptverantwortlicher für die Datenerhebung, die endgültige Datenauswertung und das Zusammenschreiben des Papers. Ich möchte aber hervorheben, dass die Initiatoren Dominik und Jens einen erheblichen Beitrag zur Studie geleistet haben und mir auch in den letzten beiden Jahren tatkräftig zur Seite standen. Ihnen gilt mein herzlicher Dank. Das Projekt hat sehr von ihrer langjährigen Erfahrung in Undercover-Feldforschung, automatisierter Datenauswertung und technischer IT-Sicherheit profitiert.

Zur vorherigen Seite