
Nicht verwunderlich. Der Datensammler lässt's Daten sammeln nicht. (Foto: Sundry Photography / Shutterstock)
Wie der irische Informatikprofessor Douglas Leith vom Trinity College in Dublin in seinem Forschungspapier „What Data do the Google Dialer and Messages Apps on Android send to Google?“ (PDF) darlegt, haben die Apps Google Messages (SMS) und Google Dialer (Telefon) Nutzerdaten an den Clearcut-Logger-Dienst der Google-Play-Services und an den Dienst Firebase Analytics gesendet.
Personenbezogene Daten in Kern-Apps gesammelt
„Die von Google Messages gesendeten Daten enthalten einen Hash des Nachrichtentextes, der eine Verknüpfung von Absender und Empfänger in einem Nachrichtenaustausch ermöglicht“, heißt es in dem Papier. „Die von Google Dialer gesendeten Daten enthalten die Anrufzeit und -dauer, was wiederum eine Verknüpfung der beiden an einem Telefonat beteiligten Handgeräte ermöglicht. Auch die Telefonnummern werden an Google gesendet“.
Der Zeitpunkt und die Dauer anderer Benutzerinteraktionen mit diesen Anwendungen wurden ebenfalls an Google übermittelt. All das erfolgte überdies, ohne die Nutzenden zu unterrichten und ohne ihnen die Möglichkeit zu geben, dieser Datenerfassung zu widersprechen.
In beiden vorinstallierten Versionen dieser Apps, so die Studie, fehlen App-spezifische Datenschutzrichtlinien, die erklären, welche Daten gesammelt werden. Von Drittentwicklern verlangt Google das. Erstaunlich: Als Leith über Google Takeout die Google-Kontodaten angefordert hatte, die mit den in Verdacht stehenden Apps verbunden sind, lieferte Google die zwar – aber ohne die beobachteten Telemetriedaten.
Datensammlung überrascht Forscher
Zwar ist in den Bedingungen für die Google-Play-Dienste nachzulesen, dass Google Daten für Sicherheits- und Betrugsprävention, für die Wartung von APIs und Kerndiensten und für die Bereitstellung von Google-Diensten wie Lesezeichen- und Kontaktsynchronisierung sammelt. Es ist indes nicht konkret die Rede von der Sammlung von Nachrichteninhalten oder von Anrufern und Anrufempfängern.
„Ich war überrascht, dass die Daten von diesen Google-Apps gesammelt wurden“, so Leith. Er hatte Google seine Erkenntnisse bereits im November letzten Jahres mitgeteilt. Gegenüber The Register bestätigte er, mehrere Gespräche mit dem technisch Verantwortlichen von Google Messages geführt zu haben. Dabei soll sich Google zur Vornahme von einigen relevanten Änderungen bereit erklärt haben. Die sollen teilweise bereits umgesetzt sein.
„Wir begrüßen Partnerschaften – und Feedback – von Akademikern und Forschern, einschließlich derer am Trinity College“, sagte ein Google-Sprecher. „Wir haben konstruktiv mit diesem Team zusammengearbeitet, um auf ihre Kommentare einzugehen, und werden dies auch weiterhin tun.“
Möglicher Verstoß gegen DSGVO
Professor Leith hatte im Zusammenhang seiner Analysen auch die Frage aufgeworfen, ob die festgestellten Verhaltensweisen der Google-Apps mit der Europäischen Datenschutz-Grundverordnung DSGVO übereinstimmen. Dabei hatte er indes darauf hingewiesen, dass rechtliche Schlussfolgerungen den Rahmen einer technischen Analyse sprengen würden.
Google beruft sich indes auf die Regelungen zur Datensammlung zu Diagnostikzwecken, weist jeden denkbaren Verstoß gegen die DSGVO zurück und schreibt in einer Stellungnahme:
Wir verpflichten uns zur Einhaltung der europäischen Datenschutzgesetze und wenden strenge Datenschutzbestimmungen für Daten an, die über unsere Apps Dialer und Messages gesammelt werden.
Sowohl Dialer als auch Messages verwenden eine begrenzte Menge an Daten für ganz bestimmte Zwecke, die es uns ermöglichen, Probleme mit der Produktfunktionalität zu diagnostizieren und zu beheben und sicherzustellen, dass die Nachrichtenzustellung stets zuverlässig ist.
Diese technischen Protokolle werden nicht – und wurden nie – für das Targeting von Werbung verwendet und sind durch strenge interne Zugriffskontrollen geschützt. Telefonnummern und gehashte SMS-bezogene Daten innerhalb von Messages wurden nur in technischen Protokollen verwendet, um Probleme mit App-Diensten zu beheben. Telefonnummern, die nicht in der Kontaktliste eines Benutzers gespeichert wurden, werden nur von Dialer verwendet, um Benutzer vor unerwünschten Spam-Anrufen zu schützen.
Ob die europäische Datenschutzbehörde der Stellungnahme folgen kann, dürfte sich noch zeigen. Insbesondere das Fehlen einer Möglichkeit, der Erfassung zu widersprechen, dürfte nur schwer wegzuargumentieren sein.