ARD & ZDF Apps unter der Lupe: Tracking und Verstöße gegen das TTDSG

Die Apps des öffentlichen Rundfunks stehen bei mir schon seit Jahren aufgrund von Tracking in der Kritik. Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) ist es nun Zeit für eine Auffrischung der Analysen. Die folgenden Apps habe ich stichpunktartig auf das Datensendeverhalten überprüft:

1. ARD Mediathek

Beginnen wir mit der ARD Mediathek. Unmittelbar nach dem Start werden die folgenden Verbindungen initiiert – es erfolgt bis dato keine Nutzerinteraktion:

  • firebaseinstallations.googleapis.com (Google)
  • de-config-preproduction.sensic.net (GfK SE: Tracking/Nutzeranalyse)
  • firebase-settings.crashlytics.com (Google: Absturzberichte)
  • app.adjust.com (Adjust GmbH: Tracking/Nutzeranalyse)
  • api.ardmediathek.de (ARD)
  • cdn-gl.imrworldwide.com (Nielsen Company LLC: Tracking/Nutzeranalyse)
  • image.ard.de (ARD)
  • images.ardmediathek.de (ARD)
  • config.ioam.de (INFOnline GmbH: Tracking/Nutzeranalyse)
  • secure-eu.nmrodam.com (mrodam.com: Unbekannt)

Greifen wir uns mal die Verbindung zu Adjust GmbH (Hauptfirmensitz San Francisco, USA) heraus [app.adjust.com]:

POST /sdk_click HTTP/1.1
Client-SDK: android4.23.0
User-Agent: PlayStore,9.3.0,android-10,Xiaomi / Mi A1
Content-Type: application/x-www-form-urlencoded
Host: app.adjust.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 1206

gps_adid_attempt=1&country=DE&api_level=29&event_buffering_enabled=0&hardware_name=lineage_tissot-userdebug+10+QQ3A.200805.001+10036836&app_version=9.3.0&app_token=o097s5bxbcao&installed_at=2021-12-16T09%3A19%3A41.055Z%2B0100&session_length=0&created_at=2021-12-16T09%3A42%3A18.750Z%2B0100&device_type=phone&language=de&gps_adid=d57fa49c-45a8-4a60-8b53-2aad7bde9a73&referrer_api=google&source=install_referrer&connectivity_type=1&device_manufacturer=Xiaomi&display_width=1080&time_spent=0&device_name=Mi+A1&needs_response_details=1&os_build=QQ3A.200805.001&updated_at=2021-12-16T09%3A19%3A41.055Z%2B0100&cpu_type=arm64-v8a&install_version=9.3.0&screen_size=normal&screen_format=long&gps_adid_src=service&subsession_count=1&os_version=10&google_play_instant=0&install_begin_time_server=2021-12-16T09%3A19%3A34.000Z%2B0100&android_uuid=57907d97-1885-4e22-8fc5-6d59c9e37b8b&referrer=utm_source%3Dgoogle-play%26utm_medium%3Dorganic&environment=production&screen_density=high&attribution_deeplink=1&install_begin_time=2021-12-16T09%3A19%3A38.000Z%2B0100&session_count=1&display_height=1920&package_name=de.swr.avp.ard&os_name=android&network_type=0&tracking_enabled=1&sent_at=2021-12-16T09%3A42%3A19.048Z%2B0100

Entwirren wir das Datenpaket mal:

  • Hardware bzw. Systembuild: lineage_tissot-userdebug+10+QQ3A.200805.001+10036836
  • App-Version: 9.3.0
  • Device Type: Phone
  • Google-Advertising-ID: d57fa49c-45a8-4a60-8b53-2aad7bde9a73
  • Gerätehersteller: Xiaomi
  • Displayauflösung: 1080
  • Gerät: Mi A1
  • Android UUID: 57907d97-1885-4e22-8fc5-6d59c9e37b8b
  • App Package: de.swr.avp.ard
  • OS: Android
  • Tracking Enabled: 1 (An)
  • […]

Allein die Übermittlung der Google-Advertising-ID genügt im Grunde genommen, dass Adjust nun eine Verknüpfung zwischen Nutzern der ARD-Mediathek-App und den anderen bisher über den Nutzer gesammelten Datensätze herstellen kann. Adjust ist vergleichsweise häufig in Apps integriert und erfasst regelmäßig die Google-Advertising-ID.

Zusammengefasst:

  • Es existiert keinerlei Cookie- bzw. Consent-Banner – jegliche Datenübermittlung erfolgt direkt nach dem Öffnen der App.
  • Der Zugriff auf Informationen, die in der Endeinrichtung gespeichert sind, erfolgt ohne vorige Einwilligung durch den Nutzer. Das stellt einen klaren Verstoß gegen § 25 TTDSG dar.
  • Das Nutzungsverhalten wird von unterschiedlichen Anbietern verfolgt/getrackt.
  • Die Datenschutzerklärung ist aus meiner Sicht unzureichend. Der Nutzer wird nicht (ausreichend) darüber aufgeklärt, welche Informationen an die Tracking-Anbieter übermittelt werden.

2. Tagesschau

Unmittelbar nach dem Start werden die folgenden Verbindungen von der Tagesschau-App initiiert – es erfolgt bis dato keine Nutzerinteraktion:

  • firebaseinstallations.googleapis.com (Google)
  • config.ioam.de (INFOnline GmbH: Tracking/Nutzeranalyse)
  • cdn-gl.imrworldwide.com (Nielsen Company LLC: Tracking/Nutzeranalyse)
  • android.clients.google.com (Google: Push-Service)
  • firebaseremoteconfig.googleapis.com (Google: Firebase Remote Config)
  • app-measurement.com (Google: Tracking)
  • secure-eu.nmrodam.com (mrodam.com: Unbekannt)

Greifen wir uns mal die Verbindung zu INFOnline GmbH (Bonn, Deutschland) heraus [config.ioam.de]:

POST /appcfg.php HTTP/1.1
Accept-Encoding: gzip, deflate
Content-type: application/json
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: config.ioam.de
Connection: close
Content-Length: 576

{
   "application":{
      "package":"de.tagesschau",
      "versionName":"3.2.3",
      "versionCode":2021101211
   },
   "client":{
      "osIdentifier":"android",
      "uuids":{
         "installationId":"9fabab76469abb2f9948f3c02f269445",
         "advertisingIdentifier":"1b3d634f757be99cd95676afa1a2275a"
      },
      "screen":{
         "resolution":"1080x1920",
         "dpi":480,
         "size":2
      },
      "language":"de",
      "country":"DE",
      "osVersion":"10",
      "platform":"Xiaomi,Mi A1,tissot,Xiaomi,qcom,lineage_tissot",
      "carrier":"Telekom",
      "network":2
   },
   "library":{
      "libVersion":"2.1.2",
      "configVersion":"2016082600",
      "offerIdentifier":"aadtage3",
      "privacySetting":"lin"
   },
   "protocolVersion":1
}

Auch in diesem Fall werden wieder etliche Informationen von der Endeinrichtung ausgelesen und übermittelt. Darunter sind bspw. die Auflösung (1080×1920), das Gerät (Xiaomi Mi A1) und sogar der Mobilfunkbetreiber (Telekom).

Zusammengefasst:

  • Es existiert keinerlei Cookie- bzw. Consent-Banner – jegliche Datenübermittlung erfolgt direkt nach dem Öffnen der App.
  • Der Zugriff auf Informationen, die in der Endeinrichtung gespeichert sind, erfolgt ohne vorige Einwilligung durch den Nutzer. Das stellt einen klaren Verstoß gegen § 25 TTDSG dar.
  • Das Nutzungsverhalten wird von unterschiedlichen Anbietern verfolgt/getrackt.
  • Die Datenschutzerklärung ist aus meiner Sicht unzureichend. Der Nutzer wird nicht (ausreichend) darüber aufgeklärt, welche Informationen an die Tracking-Anbieter übermittelt werden.

3. ZDFheute

Unmittelbar nach dem Start werden die folgenden Verbindungen von der ZDFheute-App initiiert – es erfolgt bis dato keine Nutzerinteraktion:

  • firebaseinstallations.googleapis.com (Google)
  • mobile-data.onetrust.io (OneTrust: Cookie- bzw. Consent-Banner)
  • android.clients.google.com (Google: Push-Service)
  • config.ioam.de (INFOnline GmbH: Tracking/Nutzeranalyse)
  • cdn-gl.imrworldwide.com (Nielsen Company LLC: Tracking/Nutzeranalyse)
  • secure-eu.nmrodam.com (mrodam.com: Unbekannt)
  • logs1407.xiti.com (XiTi | AT Internet: Tracking/Nutzeranalyse))

Greifen wir uns mal die Verbindung zu XiTi | AT Internet (Bonn, Deutschland) heraus [logs1407.xiti.com]:

GET /hit.xiti?s=577765&idclient=d57fa49c-45a8-4a60-8b53-2aad7bde9a73&vtag=2.15.1&ptag=Android&lng=de-DE-&mfmd=[Xiaomi]-[mia1]&manufacturer=Xiaomi&model=Mi A1&os=[android]-[10]&apid=de.heute.mobile&apvr=[3.10.1]&hl=10x55x29&r=1080x1920&dg=5.5&car=&cn=wifi&ts=1639648529.5220000743865967&dls=ext&level2=&click=A&type=click&p=ZDFheute::onboarding-close::click::null&stc={"lifecycle":{"fs":0,"fsau":0,"sc":2,"fsd":20211216,"dsls":0,"dsfs":0,"sessionId":"6ca2cab5-32ed-4d71-88a0-42e910509ffe"},"idType":"advertisingId"} HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001) ZDFheute/3.10.1
Host: logs1407.xiti.com
Connection: close
Accept-Encoding: gzip, deflate

Entwirren wir das Datenpaket mal:

  • Google-Advertising-ID: d57fa49c-45a8-4a60-8b53-2aad7bde9a73
  • Gerät: Xiaomi
  • Modell: Mi A1
  • OS: Android 10
  • App Package: de.heute.mobile
  • Auflösung: 1080×1920
  • Netz: WiFi-Verbindung
  • […]

Auch hier wird die Google-Advertising-ID ausgelesen und übermittelt – ungefragt, noch bevor der Cookie- bzw. Consent-Banner greift.

Zusammengefasst:

  • Es existiert ein Cookie- bzw. Consent-Banner. Dieser greift allerdings zu spät bzw. die Einwilligung vom Nutzer wird erst dann eingeholt, wenn bereits Datenübertragungen erfolgt sind.
  • Der Zugriff auf Informationen, die in der Endeinrichtung gespeichert sind, erfolgt ohne vorige Einwilligung durch den Nutzer. Das stellt einen klaren Verstoß gegen § 25 TTDSG dar.
  • Das Nutzungsverhalten wird von unterschiedlichen Anbietern verfolgt/getrackt.
  • Die Datenschutzerklärung ist aus meiner Sicht unzureichend. Der Nutzer wird nicht (ausreichend) darüber aufgeklärt, welche Informationen an die Tracking-Anbieter übermittelt werden.

4. ZDFmediathek

Unmittelbar nach dem Start werden die folgenden Verbindungen von der ZDFmediathek-App initiiert – es erfolgt bis dato keine Nutzerinteraktion:

  • firebaseinstallations.googleapis.com (Google)
  • mobile-data.onetrust.io (OneTrust: Cookie- bzw. Consent-Banner)
  • zdf-cdn.live.cellular.de (FFW Marketing: Tracking/Nutzeranalyse)
  • api-settings.zdf.de (ZDF)
  • cdn-gl.imrworldwide.com (Nielsen Company LLC: Tracking/Nutzeranalyse)
  • abgroup.zdf.de (ZDF)
  • android.clients.google.com (Google: Push-Service)
  • api.zdf.de (ZDF)
  • secure-eu.nmrodam.com (mrodam.com: Unbekannt)

Ganz interessant ist der Cookie- bzw. Consent-Banner, der einen unmittelbar nach dem Start begrüßt – leider kann auch dieser nicht verhindern, dass bereits ein Zugriff auf Informationen der Endeinrichtung erfolgt und abfließen, bevor der Nutzer eine Einwilligung dazu gegeben hat:

ZDF Consent-Banner

Die Vorauswahl ist wie im Bild dargestellt. Das Häkchen bei Erforderliche Erfolgsmessung ist also gesetzt. Eine Erfolgsmessung bzw. Tracking kann niemals »erforderlich« sein. Diese Vorauswahl entspricht schlichtweg nicht den Anforderungen an einen Cookie- bzw. Consent-Banner wie es das TTDSG bzw. die DSGVO vorsieht.

Zusammengefasst:

  • Es existiert ein Cookie- bzw. Consent-Banner. Dieser greift allerdings zu spät bzw. die Einwilligung vom Nutzer wird erst dann eingeholt, wenn bereits Datenübertragungen erfolgt sind.
  • Der Zugriff auf Informationen, die in der Endeinrichtung gespeichert sind, erfolgt ohne vorige Einwilligung durch den Nutzer. Das stellt einen klaren Verstoß gegen § 25 TTDSG dar.
  • Das Nutzungsverhalten wird von unterschiedlichen Anbietern verfolgt/getrackt.
  • Die Datenschutzerklärung ist aus meiner Sicht unzureichend. Der Nutzer wird nicht (ausreichend) darüber aufgeklärt, welche Informationen an die Tracking-Anbieter übermittelt werden. Der Anbieter FFW Marketing wird sogar komplett verschwiegen.

5. Fazit

Die Ergebnisse lassen den Schluss zu: Die Verantwortlichen waren die letzten Monate offenbar im Tiefschlaf und haben sich nicht mit dem TTDSG beschäftigt. Anders lässt sich nicht erklären, weshalb alle Apps gegen § 25 TTDSG verstoßen:

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

Beide Ausnahmen greifen hier nicht:

Die Einwilligung nach Absatz 1 ist nicht erforderlich,

  1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Was auch immer die Gründe für das Versäumnis sein mögen: Es liegt klar ein Verstoß gegen § 25 TTDSG vor.

Insgesamt finde ich es erschreckend, wie schlecht die technische/rechtliche Umsetzung ist. Entweder fehlen die Cookie- bzw. Consent-Banner komplett, oder schon bevor der Nutzer überhaupt seine ausdrückliche, informierte, freiwillige, aktive Einwilligung abgegeben hat, wird auf Informationen auf der Endeinrichtung zugegriffen und Daten übermittelt. Generell sind die Cookie- bzw. Consent-Banner nach meinem Verständnis weit von den rechtlichen Anforderungen entfernt. Ich kann jedenfalls nicht auf einen Blick erkennen, mit welchen (Dritt-)Anbietern meine Daten geteilt werden. Die Informiertheit ist schlichtweg nicht gegeben.

ARD und ZDF müssen hier klar nachbessern. Generell sollten sich öffentliche Rundfunkanstalten mit der Frage befassen, ob (Nutzer-)Tracking mit dem Rundfunkstaatsvertrag vereinbar ist.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡