heise-App verstößt gegen das TTDSG

Die heise-App (Version 3.5.3) verstößt gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Genauer gesagt gegen den § 25 TTDSG. Es gilt: Sobald ein Betreiber eine App oder Website (oder seine Auftragsdatenverarbeiter):

  • nach der DSGVO personenbezogene Daten erheben, verarbeiten oder nutzen möchte und keinen anderen Rechtsgrund dafür vorweisen kann
  • und/oder Daten nach TTDSG auf deinem Gerät speichert oder ausliest, die für den gewünschten Dienst technisch nicht notwendig sind

besteht die Notwendigkeit, vom Betroffenen eine ausdrückliche, informierte, freiwillige, aktive Einwilligung einzuholen.

Unmittelbar nach dem Start der App werden noch vor der Einblendung des (Cookie-)Consent-Banners diverse Verbindungen aufgebaut. Unter anderem zu den folgenden Dritt-Adressen:

  • firebaseinstallations.googleapis.com (Google Firebase)
  • android.apis.google.com (Google Push Nachrichten)
  • config.ioam.de (INFOnline GmbH – Tracking)
  • cdn.privacy-mgmt.com (Cookie Banner)
  • api-eu.cleverpush.com (Clever Push – Push-Nachrichten)
  • notice.sp-prod.net (Unbekannt)

Interessant dabei ist die Verbindung zu config.ioam.de, ein Tracking-Dienst der INFOnline GmbH:

POST /appcfg.php HTTP/1.1
Accept-Encoding: gzip, deflate
Content-type: application/json
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: config.ioam.de
Connection: close
Content-Length: 587

{
   "application":{
      "package":"de.heise.android.heiseonlineapp",
      "versionName":"3.5.3",
      "versionCode":298
   },
   "client":{
      "osIdentifier":"android",
      "uuids":{
         "installationId":"8443ed71f76fc43930f12f58d3be897b",
         "advertisingIdentifier":"1b3d634f757be99cd95676afa1a2275a"
      },
      "screen":{
         "resolution":"1080x1920",
         "dpi":480,
         "size":2
      },
      "language":"de",
      "country":"DE",
      "osVersion":"10",
      "platform":"Xiaomi,Mi A1,tissot,Xiaomi,qcom,lineage_tissot",
      "carrier":"Telekom",
      "network":2
   },
   "library":{
      "libVersion":"2.2.1",
     "configVersion":"2021020200",
     "offerIdentifier":"aadheise",
     "privacySetting":"ack"
   },
   "protocolVersion":1
}

Einfach ausgedrückt geht es beim TTDSG um den technischen Schutz der Endgeräte. Auf denen soll niemand unerwünscht Daten lesen oder schreiben.

Und das betrifft dann eben auch das Auslesen von Informationen aus dem Endgerät und das Lesen/Schreiben von Cookies – unabhängig davon, ob ein Personenbezug vorliegt oder nicht. Das TTDSG ist noch strenger als die DSGVO. Gerätezugriffe ohne Einwilligung sind nur im engen Rahmen erlaubt: Für die Übertragung einer Nachricht oder wenn dies »unbedingt erforderlich« ist, um den Dienst bereitzustellen. Was aber ist »unbedingt erforderlich«? Wie die DSK in ihrer Orientierungshilfe (OH Telemedien 2021) auf Seite 21 und 25 schreibt, ist dies technisch und aus der Perspektive des Nutzers auszulegen:

Die Vorschrift enthält im Wesentlichen zwei Tatbestandsmerkmale, die grundsätzlich auslegungsbedürftig sind – dies sind „einen vom Nutzer ausdrücklich gewünschten Telemediendienst“ und „unbedingt erforderlich“. Beide Tatbestandsmerkmale stehen in einem untrennbaren Zusammenhang. Die unbedingte Erforderlichkeit von Speicher- und Auslesevorgängen ist in Bezug auf den konkret von der Endnutzerin oder dem Endnutzer gewünschten  Telemediendienst zu prüfen, um festzustellen, ob die Ausnahmevorschrift greift.

In der Gesetzesbegründung zum TTDSG wird jedoch von einer technischen Erforderlichkeit ausgegangen, was ein strenges Verständnis nahelegt. Dies bedeutet, dass auch für von Endnutzer:innen ausdrücklich gewünschte Dienste nur solche Zugriffe auf die Endeinrichtung von der Ausnahme umfasst sind, die technisch erforderlich sind, um gerade den gewünschten Dienst bereitzustellen.

Diese »unbedingte Erforderlichkeit« ist bei einem Tracking-Dienst/Nutzungsmessung nicht gegeben. Für die technische Funktionserbringung bzw. die App-Nutzung sind diese (aus Nutzerperspektive) schlichtweg nicht erforderlich. Damit liegt nach meiner Ansicht ein Verstoß gegen § 25 TTDSG vor.

Die Orientierungshilfe (OH Telemedien 2021) sagt auf Seite 37 (Einwilligungsbanner):

Während das Einwilligungsbanner angezeigt wird, werden zunächst keine weitergehenden Skripte einer Webseite oder einer App, die potenziell auf die Endgeräte der Nutzenden zugreifen (TTDSG) oder deren personenbezogene Datenverarbeiten (DS-GVO) und insbesondere auch keine Inhalte von fremden Servern geladen, soweit die damit verbundene Offenlegung personenbezogener Daten einer Einwilligung bedarf. Der Zugriff auf Impressum und Datenschutzerklärung darf durch das Einwilligungsbanner nicht behindert werden.

Das setzt die heise-App leider nicht um. Noch während der Anzeige des Einwilligungsbanners werden auf Informationen auf dem Endgerät zugegriffen (TTDSG) und übermittelt.

Ja, ich weiß: Das TTDSG ist streng. Dennoch ist es ein Gesetz, das es umzusetzen gilt. Liebes heise-Team, das könnt ihr sicher besser.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡