Auch Jahre nach Einführung der DSGVO sind Unternehmen noch immer nicht in der Lage, bestehende Datenschutzgesetze einzuhalten. Ein besonders schönes Beispiel dafür ist die App MeinMagenta der Telekom Deutschland GmbH (nachfolgend Telekom). Im vorliegenden Beitrag habe ich die Version 23.2.02 einer kurzen Analyse unterzogen. Schon der Exodus-Privacy-Bericht lässt erahnen, wohin die Reise geht:
- Facebook Analytics
- Facebook Login
- Facebook Share
Die Analyse erfolgt unter Android. Die Ausgangslage für den nachfolgenden Test der App ist wie folgt:
- Betriebssystem: Android 10 (Xiaomi Mi A1)
- App-Version: 23.2.02 (Android)
- Verbreitung: Über 5 Millionen Downloads (Google Play Store)
- Exodus Privacy: In der Version 23.2.02 (Android) sind 3 Tracker integriert
Update 13.07.2023
Die Telekom hat reagiert und bei der App nachgebessert – alle Probleme sind aus meiner Sicht allerdings (noch) nicht behoben.
1. Analyse Datensendeverhalten
Die nachfolgenden Datenübermittlungen erfolgen noch bevor der Nutzer eine Interaktion ausgeführt hat. Dies ist oftmals problematisch, da diese Daten/Informationen noch vor der Abgabe einer ausdrücklichen, informierten, freiwilligen und aktiven Einwilligung abgefragt bzw. übermittelt werden.
[1] Unmittelbar nach dem Start der App wird eine Verbindung zu Google Firebase (USA) initiiert – eine Entwicklungs-Plattform für mobile Anwendungen [firebaseinstallations.googleapis.com]:
POST /v1/projects/magentaservice-a438b/installations HTTP/1.1
Content-Type: application/json
Accept: application/json
Cache-Control: no-cache
X-Android-Package: de.telekom.android.customercenter
x-firebase-client: H4sIAAAAAAAAAKtWykhNLCpJSk0sKVayio7VUSpLLSrOzM9TslIyUqoFAFyivEQfAAAA
X-Android-Cert: 285668D846DB0657858618FD3B444AAEB210EC13
x-goog-api-key: AIzaSyC-W_CE3DcK_t6o529i7lVPzytzacZlSMU
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: firebaseinstallations.googleapis.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 128
{
"fid":"c-cAr6ftQ3O4eqlKSgZtMe",
"authVersion":"FIS_v2",
"appId":"1:97048988022:android:e5efa66ab47d424a",
"sdkVersion":"a:17.0.2"
} [2] Eine weitere Verbindung erfolgt zu Google Firebase Crashlytics (USA), einem Dienst für die Erstellung/Auswertung von Absturzberichten [firebase-settings.crashlytics.com]:
GET /spi/v2/platforms/android/gmp/1:97048988022:android:e5efa66ab47d424a/settings?instance=24bb7284927f630a656e287d80964bb3994430bb&build_version=35242&display_version=23.2.02&source=4 HTTP/1.1 X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Mi A1 X-CRASHLYTICS-INSTALLATION-ID: 4fc87aa202f74bc7b3a619694e51e1a4 X-CRASHLYTICS-OS-DISPLAY-VERSION: 10 Accept: application/json X-CRASHLYTICS-API-CLIENT-VERSION: 18.2.9 User-Agent: Crashlytics Android SDK/18.2.9 X-CRASHLYTICS-API-CLIENT-TYPE: android X-CRASHLYTICS-GOOGLE-APP-ID: 1:97048988022:android:e5efa66ab47d424a X-CRASHLYTICS-OS-BUILD-VERSION: 10037230 Host: firebase-settings.crashlytics.com Connection: close Accept-Encoding: gzip, deflate
Bis zu diesem Punkt werden bereits Gerätedaten ausgelesen und je nach Auslegung von § 25 Abs. 1 TTDSG ist das unzulässig. Das bedeutet: Bevor Absturzberichte von Google Crashlytics erhoben werden bzw. der Dienst initialisiert wird, ist im Normalfall eine ausdrückliche, informierte, freiwillige und aktive Einwilligung einzuholen. Das erfolgt nicht, sondern die Übermittlung findet bereits statt, bevor der Nutzer seine Einwilligung abgeben kann. Schlimmer: Einen Einwilligungsbanner sucht man bei MeinMagenta sogar vergeblich.
[3] Weiter geht es dann mit einigen Verbindungen zu Facebook (USA) [graph.facebook.com]:
POST /v12.0/2043847395859883/activities HTTP/1.1
x-dynatrace: MT_3_1_1255230278_1-0_93281deb-dd3b-44f1-9eff-c93232473864_7_953_26
User-Agent: FBAndroidSDK.12.3.0
Accept-Language: de_DE
Content-Type: application/x-www-form-urlencoded
Host: graph.facebook.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 825
format=json&sdk=android&custom_events=[{
"_ui":"unknown",
"current":"15",
"_eventName_md5":"5031a3763f200bcd1bb05019de1a8a7b",
"previous":"0",
"initial":"15",
"_implicitlyLogged":"1",
"usage":"0",
"_inBackground":"1",
"_eventName":"fb_sdk_settings_changed",
"_logTime":1688717311
}]
&extinfo=[
"a2",
"de.telekom.android.customercenter",
35242,
"23.2.02",
"10",
"Mi A1",
"de_DE",
"MESZ",
"",
1080,1920,
"3",8,50,-1,
"Europe/Berlin"
]
&application_package_name=de.telekom.android.customercenter
&installer_package=com.android.vending
&event=CUSTOM_APP_EVENTS
&anon_id=XZ7b855367-1606-4ac7-8dee-274e20b46363
&advertiser_id=d57fa49c-45a8-4a60-8b53-2aad7bde9a73 Schauen wir uns mal an, was hier übermittelt wird:
- Gerätedaten wie das Modell (Mi A1) und die Auflösung (1080,1920)
- Informationen zur App wie die Versionsnummer (23.2.02)
- und die Google-Advertising-ID (
d57fa49c-45a8-4a60-8b53-2aad7bde9a73)
In der Übermittlung ist neben Gerätedaten und App-Informationen also auch die Google-Advertising-ID (d57fa49c-45a8-4a60-8b53-2aad7bde9a73) enthalten. Weshalb ist dies nun so kritisch? Allein die Übermittlung der Google-Advertising-ID genügt im Grunde, dass Facebook nun eine Verknüpfung zwischen Facebook-Nutzer und den übermittelten Daten herstellen kann. Der Grund: Auch die Facebook-App (sofern installiert) liest die Google-Advertising-ID aus. Damit hat Facebook anschließend einen Identifier, den sie einer Person exakt zuordnen können. Letztlich liegt nicht nur ein Verstoß gegen § 25 Abs. 1 TTDSG vor, sondern ebenfalls gegen die DSGVO, weil es sich bei der Google-Advertising-ID um ein personenbeziehbares Datum handelt.
[4] Zum Abschluss fließen dann noch Daten an MoEngage (San Francisco, USA), einem Unternehmen für Marketing, die bspw. messen, auf welchem Weg man Kunden effektiv ansprechen kann [dk-02.moengage.com]:
POST /v2/sdk/device/30RHL91ROMMUNUBIAS2N76VK HTTP/1.1
x-dynatrace: MT_3_1_3705496166_1-0_93281deb-dd3b-44f1-9eff-c93232473864_0_1054_52
MOE-APPKEY: 30RHL91ROMMUNUBIAS2N76VK
MOE-REQUEST-ID: 64D4B7EFA82049301176616A0269826F60FEF209
Accept-Charset: UTF-8
Content-type: application/json
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: sdk-02.moengage.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 1013
{
"DEVICE": "tissot",
"WIDTH": 1080,
"MODEL": "Mi A1",
"MANUFACTURER": "Xiaomi",
"HEIGHT": 1920,
"OS_API_LEVEL": 29,
"MOE_GAID": "d57fa49c-45a8-4a60-8b53-2aad7bde9a73",
"MOE_ISLAT": 0,
"PRODUCT": "lineage_tissot",
"meta": {
"request_time": "2023-07-07T08:39:28.606Z",
"dev_pref": {
"e_t_p": true
},
"bid": "1688719168605-7a50b35b-6382-43b4-bfbd-fab731bb4a68"
},
"query_params": {
"moe_drm_id": "21f01e79463b2f06bf3eab834f079955c44bb5e77d44e0033dcf9acb67a5fc66",
"unique_id": "6ab72f0a-a560-40ec-a1cc-c7710d1ecec6",
"os_ver": "29",
"os": "ANDROID",
"push_id": "cZqmXvpqSC-0SZyS1HcDze:APA91bGDaV4VsgsAiWAgbWn0KXkieJfgbiK8c5mJbOX3rB7HOb83M1XRwGoGLerG_Q2rLbGLO55yWGfsII5i5n6LsvSR0t2I7Hnix9xPlb3pAU1v2VjvhQOk36d8xkq31PuO-B5DJVG0",
"device_ts": "1688719168648",
"device_tz_offset": "7200000",
"moe_gaid": "d57fa49c-45a8-4a60-8b53-2aad7bde9a73",
"device_tz": "Europe/Berlin",
"app_ver": "35242",
"model": "Mi A1",
"moe_push_ser": "FCM",
"sdk_ver": "12702",
"app_version_name": "23.2.02",
"networkType": "wifi",
"app_id": "30RHL91ROMMUNUBIAS2N76VK"
},
"OS_VERSION": "10",
"DENSITYDPI": 480
} Es werden UIDs/IDs (unter anderem auch die Google-Advertising-ID (d57fa49c-45a8-4a60-8b53-2aad7bde9a73)), Gerätemodell, Auflösung etc. vom Gerät abgefragt und ohne Einwilligung an MoEngage übermittelt. Ich kann nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um.
Während im Hintergrund gegen diverse Gesetze verstoßen wird, bekommt der Nutzer nur das hier zu sehen:
2. Datenschutzhinweise
Werfen wir mal einen Blick in die Datenschutzhinweise der App:
Der Schutz Ihrer persönlichen Daten hat für die Telekom Deutschland GmbH einen hohen Stellenwert. Es ist uns wichtig, Sie darüber zu informieren, welche persönlichen Daten erfasst werden, wie diese verwendet werden und welche Gestaltungsmöglichkeiten Sie dabei haben.
Nein, der Schutz der persönlichen Daten hat für die Telekom wie aufgezeigt keinen hohen Stellenwert. Solche einleitenden Sätze sind grundsätzlich ein Alarmsignal, wie die Fakten erneut zeigen.
Übrigens ist das komplette Dokument/Website nicht durchsuchbar, weil es sich nicht um einen Text, sondern um Bilder handelt. Ich habe die Datenschutzhinweise mal zu einer TXT-Datei konvertiert.
2.1 Facebook
Die Suche nach Facebook/Meta in den Datenschutzhinweisen ergibt 0 Treffer. Einfach unglaublich. Damit sind nicht einmal die Informationspflichten nach Art. 13 DSGVO erfüllt. Das ist einfach unfassbar. Wissen die Verantwortlichen eigentlich, was die Entwickler da in die App integrieren? Insbesondere nach dem kürzlich ergangenen Urteil des Europäischen Gerichtshofs (EuGH) stellt sich die Frage, was Unternehmen noch benötigen, um zu erkennen, dass eine Zusammenarbeit mit Facebook/Meta äußerst problematisch/toxisch ist.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.2 Die Rolle von MoEngage
MoEngage wird laut Datenschutzhinweise für die Übersendung von Push-Nachrichten genutzt. Das ist aber nicht alles. Auf Seite 3 von 5 steht unter Analytische Tools:
Diese Tools helfen uns, das Nutzungsverhalten besser zu verstehen.
Analysetools ermöglichen die Erhebung von Nutzungs- und Erkennungsmöglichkeiten durch Erst- oder Drittanbieter, in so genannten pseudonymen Nutzungsprofilen. Wir benutzen beispielsweise Analysetools, um die Zahl der individuellen Nutzer einer App zu ermitteln oder um technische Informationen bei einem Absturz der App zu erheben, als auch das Nutzerverhalten auf Basis anonymer und pseudonymer Informationen zu analysieren, wie Nutzer mit der App interagieren. Ein unmittelbarer Rückschluss auf eine Person ist dabei nicht möglich. Rechtsgrundlage für diese Tools ist Art. 6 Abs. 1 a DSGVO bzw. bei Drittstaaten Art. 49 Abs. 1 b DSGVO.
Wie die vorliegende Analyse zeigt, verzichtet die Telekom auf die Einholung einer ausdrücklichen, informierten, freiwilligen und aktiven Einwilligung, wie es Art. 6 Abs. 1 a vorsieht. Als Rechtsgrundlage für den Einsatz des Analysetools wird aber genau jene Rechtsgrundlage in den Datenschutzhinweisen genannt. Schlimmer, man bezieht sich sogar auf Art. 49 Abs. 1 b DSGVO. Dabei hat das Landgericht Köln bereits im März 2023 (in Sachen Deutsche Telekom) die Problemlage gut dargestellt und darauf hingewiesen, dass eine Einwilligung in einen Drittlandstranfer besonders hohen Anforderungen genügen muss:
Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Für die nach Art. 49 Abs. 1 lit. a) DSGVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DSGVO schon dem Wortlaut nach eine besondere Informiertheit voraus. Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 49 Ausnahmen für bestimmte Fälle Rn. 6).
Das scheint bei der Telekom wohl noch nicht ganz angekommen zu sein…
Und weiter unten wird MoEngage auch im Zusammenhang mit Marketing/Retargeting genannt:
Diese Tools werden eingesetzt, um Ihnen personalisierte und dadurchrelevante werbliche Inhalte anzeigen zu können.
Marketingtools werden eingesetzt, um interessante Werbeinhalte anzuzeigen und die Wirksamkeit unserer Kampagnen zu messen. Dies geschieht nicht nur auf Seiten der Telekom Deutschland GmbH, sondern auch auf anderen Werbepartner-Seiten (Drittanbieter). Dies wird auch als Retargeting bezeichnet, es dient zur Erstellung eines pseudonymen Interessenprofils und der Schaltung relevanter Werbung in anderen Apps. Ein unmittelbarer Rückschluss auf eine Person ist dabei nicht möglich.
Marketing und Retargeting Tools helfen uns mögliche relevanten Werbeinhalte für Sie anzuzeigen. Durch das Unterdrücken von Marketing Tools sehen Sie auch weiterhin die gleiche Anzahl an Werbung, die aber möglicherweise weniger relevant für Sie ist. Rechtsgrundlage für diese Tools ist Art. 6 Abs. 1 a DSGVO bzw. bei Drittstaaten Art. 49 Abs. 1 b DSGVO.
Zudem können durch diese Tools personalisierte Angebote sowie personalisierte Servicemeldungen (z.B. Tipps zur Nutzung der App) als Push-Benachrichtigung gesendet werden. Wenn Sie diese Push-Benachrichtigung nicht erhalten möchten, bitten wir Sie, die Zustimmung zu Marketing Tools in den Datenschutz-Einstellungen zu widerrufen.
Fassen wir also zusammen:
- MoEngage wird nicht nur für die Übermittlung von Push-Nachrichten eingesetzt, sondern ebenfalls für Analysezwecke und Marketing/Retargeting
- Die genannten Rechtsgrundlagen für den Einsatz von Analysetools und Marketing/Retargeting erfüllen die Anforderungen nicht im Ansatz
- Anders als behauptet, ist ein unmittelbarer Rückschluss auf eine Person nicht ausgeschlossen – allein schon wegen der Übermittlung der Google-Advertising-ID
Und wo werden die Daten von MoEngage eigentlich gespeichert? Da kommt ihr nie drauf: In Indien!
3. Fazit
Die Anforderungen an die DSGVO und das TTDSG sind wie eine Olympianorm: Ziemlich hoch, aber nicht unerfüllbar, vor allem nicht für Unternehmen mit erheblichen Ressourcen. Wie die technische Analyse nebst Erläuterungen aufgezeigt hat, handhaben die zuständigen Fachbereiche der »Telekom Deutschland GmbH« das Thema Datenschutz entgegen der eigenen Ankündigung (in den Datenschutzhinweisen) nicht mit der gehörigen Ernsthaftigkeit – obwohl die Ressourcen dafür vorhanden sein sollten.
Betroffenen kann man nur raten, eine Beschwerde bei der zuständigen Aufsichtsbehörde (NRW) einzulegen oder direkt den Klageweg einzuschlagen.
Bildquellen:
Logo: Telekom Deutschland GmbH
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4
eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3
Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2
Ich freue mich auf Deine Beteiligung zum Artikel
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.