Beim Tracking handelt es sich um eine Form der Datenerfassung, die besonders tief in die Privatsphäre Nutzender eingreift. Dabei ist sie seit vielen Jahren allgegenwärtig. Die Werbeindustrie liebt sie, weil per Tracking Informationen erhoben werden, die ein äußerst genaues Targeting erlauben – also die sehr passgenaue Auswahl von Zielpersonen, an die die Werbung ausgespielt werden soll. Und die App-Entwickelnden lieben das Tracking, weil sie die Informationen dermaßen lukrativ verwerten können, dass sich ganze Geschäftsmodelle so tragen lassen.

So war der Aufschrei erwartbar, der global ertönte, als Apple zum Schutz der Privatsphäre der Nutzer mit iOS 14 zwei wichtige Änderungen eingeführt hatte. Dabei handelte es sich zum einen um die App-Tracking-Transparenz (ATT), ein obligatorisches Opt-in-System für die Aktivierung von Tracking unter iOS, und zum anderen die Privacy-Nutrition-Labels (Datenschutzlabel), die in der Beschreibung der jeweiligen App schon im App-Store offenlegen sollen, welche Arten von Daten jede App verarbeitet.

In einer aktuell auf Arxiv publizierten Preprint-Studie (PDF) haben sich fünf Computerwissenschaftlerinnen und -wissenschaftler von der britischen Oxford-Universität, verstärkt um eine unabhängige Forscherin aus den USA, mit der Frage beschäftigt, wie erfolgreich die Einführung der Maßnahmen im Sinne der Stärkung der Privatsphäre des Einzelnen tatsächlich ist.

Dazu nahm sich das Forschungsteam 1.759 iOS-Apps vor. Die untersuchten sie in zwei Versionen – eine aus der Zeit vor iOS 14 und eine, die aktualisiert worden war, um den neuen Regeln zu entsprechen. Die Ergebnisse schienen auf den ersten Blick positiv. Die Forschenden schreiben:

„Wir stellen fest, dass die neuen Richtlinien von Apple, wie versprochen, die Erfassung des Identifier for Advertisers (IDFA) verhindern, einer Kennung, die zur Erleichterung des appübergreifenden Nutzer-Trackings verwendet wird.“

Das Aber, das sich anschließt, ist indes ein großes. Viele Apps würden nach wie vor Geräteinformationen erfassen, die zur Verfolgung von Nutzern auf Gruppenebene (Kohorten-Tracking) oder zur wahrscheinlichkeitsbasierten Identifizierung von Einzelpersonen (Fingerprinting) verwendet werden können. Im Rahmen der Untersuchung konnten sogar Apps aufgespürt werden, die „durch die Verwendung von serverseitigem Code eine vom Fingerabdruck abgeleitete Kennung berechnen“. Das sei natürlich ein klarer Verstoß gegen die Richtlinien von Apple einerseits und würde andererseits zeigen, wo die Grenzen des ATT bei der Verhinderung des Trackings liegen.

Dies sei „besonders besorgniserregend“, weil im Rahmen der Studie die Zustimmung zum Tracking stets ausdrücklich verweigert worden sei. Eine Zustimmung sei jedoch sowohl nach dem Datenschutzrecht der EU wie auch nach britischem Recht eine gesetzliche Voraussetzung für das Tracking. Ebenso konnten die Forschenden nach eigenen Angaben feststellen, dass Apple selbst „einige Formen des Trackings durchführt und invasive Datenpraktiken wie das First-Party-Tracking und die Kreditwürdigkeitsprüfung von seinen neuen Regeln ausnimmt“. Zudem seien die neuen Datenschutzkennzeichnungen, die Privacy-Nutrition-Labels, oft ungenau.

Im Ergebnis kommt das Team zu dem Schluss, dass das Tracking des Individuums jetzt zwar schwieriger sei, die von Apple vorgenommenen Änderungen aber lediglich „die bestehende Marktmacht von Gatekeeper-Unternehmen mit Zugang zu großen Mengen an Erstanbieterdaten stärken“ würden.