1. Was ist UniNow?
UniNow ist ein werbefinanziertes, auf eine Hochschule lokalisierbares Informationsangebot für Studierende, das seit 2020 auch für lokales Corona-Tracing genutzt wird. Als App wurde UniNow über 750.000 mal heruntergeladen und wird an über 810 Unis genutzt. Die Werbeeinblendungen entfallen, wenn die Hochschule oder die Nutzenden für den Dienst bezahlen. Nachdem ich den Hinweis bekommen habe, dass App oder Website an manchen Hochschulen verpflichtend ist, wollte ich mir das Angebot und die rechtliche Konstruktion genauer anschauen. Dafür wurden die Datenströme und die Dokumente geprüft. Bei meinem Test konnte ich zwar keine schwerwiegenden Mängel finden, aber doch zwei erwähnenswerte Probleme.
2. Allgemeine Datenverbindungen
Die App leitete in meinem Test keine personenbeziehbaren Daten an Dritte weiter, obwohl entsprechende SDKs laut Exodus Privacy dort eingebaut sind. Eventuell hat man diese Software- Module für andere Funktionen benötigt, sie übersehen oder nutzt sie nur gelegentlich. Update: UniNow hat darauf hingewiesen, dass der Tracker Adjust in der aktuellen Version nicht mehr enthalten ist. Die Erkennung von AdMob entstehe fälschlicherweise durch eine zu grobe Regel (AAID als Hash). Firebase werde für Push-Meldungen verwendet, die Analysefunktion ist nicht aktiv. Diese Erklärungen decken sich mit meinen Erkenntnissen aus der Analyse des Datenverkehrs.
Die Verbindungen zu Amazon erklären sich durch die Nutzung von Amazon S3 als Contenthoster.
GET https://s3.eu-central-1.amazonaws.com/images.uninow.com/cooperations/de_hdm/logo.png HTTP/1.1 User-Agent: Dalvik/2.1.0 (Linux; U; Android 8.1.0; SM-G900F Build/OPM7.181205.001) Host: s3.eu-central-1.amazonaws.com Connection: Keep-Alive Accept-Encoding: gzip
Hier wird beispielsweise ein Bild nachgeladen. Der Request enthält aber keine personenbeziehbaren Daten. Auch die Werbeanzeigen werden in dieser Weise direkt geladen:
GET https://images.uninow.com/recruiting/5efb5425fa882c0013c5da10/vposts/bd407ef6_1633589985688_200x200 HTTP/2.0 user-agent: Dalvik/2.1.0 (Linux; U; Android 8.1.0; SM-G900F Build/OPM7.181205.001) accept-encoding: gzip
Im Vergleich mit den meisten Apps, die ihre Werbung über internationale, profilbildende Werbenetzwerke oder sogar Versteigerungsplattformen (sogenanntes Real Time Bidding) erhalten und dabei auch Verhaltensdaten preisgeben, ist diese klassische Form der Werbeausspielung bei UniNow vorbildlich. UniNow arbeitet offenbar mit ausgewählten Premium-Werbekunden wie Rewe oder Amazon direkt zusammen und zieht für das Kampagnentargeting nur grobe Kriterien wie Fachrichtung, Semester oder Hochschulstadt heran. Möglich ist das, weil UniNow den Werbekunden auch technologieferne oder datenschutzkritische Personengruppen anbieten kann, die in anderen Apps oder Portalen nicht so umfangreich zu finden sind, wie der Gründer Tobias Steenweg in diesem Video erklärt. Diese besondere Stellung führt bei UniNow erfreulicherweise zu einem erheblich besseren Datenschutz als bei den meisten anderen Apps, zumindest soweit ich das in meinem Test beobachten konnte.
Die App kann auch ohne Login genutzt werden. Erstellt man ein Nutzungskonto, erhält UniNow E-Mail-Adresse und Passwort. Auch wenn man die App ohne Login nutzt, ist man mit verschiedenen pseudonymen IDs registriert (dazu später mehr):
"device": { "id": "k+/orFkJTFUhxvDZ9BP5r01UmcbPca+wPyqYRvuo8Ks=\n",(…)
"user_id": "fdb208ba-fd56-4a33-8266-ded29af3981e" Die App erhebt unter diesen IDs relativ präzise Verhaltensanalysen: Es wird beispielsweise erhoben, welche Inhalte gesehen oder angeklickt wurden:
{
"action": "post:seen",
"payload": {
"feedIndex": 5,
"mode": "myFeed",
"postID": "CompanySuggestion",
"postViewabilityConfig": {
"itemVisiblePercentThreshold": 45,
"minimumViewTime": 500
},
"type": "CompanySuggestion"
},
"type": "event",
"uniID": "de_hdm"
}
3. Werbe-IDs
Die App liest nachweislich die Android-Werbe-ID (AAID) aus und, soweit ich das im Code erkennen konnte, auch die Apple-Werbe-ID (IDFA). Beides ist ohne Einwilligung ein Verstoß gegen die e-Privacy-Richtlinie. Diese schreibt in Artikel 5 vor, dass
der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer (…) seine Einwilligung gegeben hat.
Eine Ausnahme davon gilt nur, wenn der Zugriff für den Dienst absolut notwendig ist.
So weit verbreitet dieser Verstoß auch ist: Gesetz und Urteile dazu sind eindeutig und die ersten großen Verfahren zur AAID laufen bereits.
Die Werbe-IDs werden von der App allerdings weder an Drittanbieter noch direkt an UniNow gesendet, sondern mit einem Salt gehasht und erst dann an UniNow gesendet.
UniNow erhält also nicht die AAID, sondern nur eine „Schablone“ davon. Auf Nachfrage erklärte UniNow, dass die gehashten IDs für eine möglichst valide Nutzungsstatistik verwendet werden, da eine Re-Installation damit von einer Neu-Installation unterschieden werden kann. UniNow versicherte, die Daten nicht für Werbezwecke zu verwenden. Das ist insofern glaubwürdig, als in der normalen Werbevermarktung nur die Original-AAIDs eine Rolle spielen.
Dennoch muss man nüchtern festhalten, dass eine verbesserte Installationsstatistik nicht im Sinne der e-Privacy-Richtlinie notwendig für den Dienst ist. Zusätzlich bleibt die rein technische Möglichkeit, dass ein Werbekunde für die Zielgruppengenerierung mit Unterstützung von UniNow prüfen könnte, ob sich eine gegebene AAID im Nutzerpool der App befindet.
Ansonsten bietet der Hash immerhin den Schutz, dass UniNow seine Nutzer’innen nicht einfach so an andere Unternehmen als Zielgruppe weitergeben kann. Das Verfahren ist durch den Hash also immer noch besser als bei den meisten anderen Apps.
4. Corona-Tracing
Website und App werden für das Corona-Tracing verwendet, das auch im Wintersemester 2021/2022 an vielen Hochschulen gesetzlich vorgeschrieben ist. Dabei verschlüsselt der Anbieter die angegebenen Daten bereits auf dem Gerät mit OpenPGP und sendet sie erst dann an seine Datenbank. Dafür wird für jede Hochschule ein Schlüsselpaar verwendet. So erhält UniNow die Angaben nicht selbst und nur die zuständige Person für die Kontaktnachverfolgung an der Uni kann diese Daten im Ansteckungsfall entschlüsseln.
Dennoch entsteht hier nach meiner Beurteilung ein nicht unerhebliches rechtliches Problem: Die Corona-Verordnung für den Studienbetrieb von Baden-Württemberg schreibt beispielsweise vor, dass die Hochschule die Datenerhebungen durchführt:
Die Hochschulen haben in Bereichen mit Studienbetrieb eine Datenverarbeitung nach § 8 CoronaVO in folgenden Fällen durchzuführen
Also muss UniNow als Auftragsverarbeiter für die Hochschule operieren, um überhaupt das gesetzlich vorgeschriebene Tracing durchführen zu können – und die Hochschule verantwortlich für die Datenverarbeitung sein. UniNow hat bestätigt, dass dies der Fall ist.
Nur: Darauf findet sich sowohl auf der Website als auch in der App kein Hinweis: UniNow tritt dort als alleinige Verantwortliche auf, gibt aber als Rechtsgrund eine rechtliche Verpflichtung an (DSGVO Art. 6 Abs. 1 lit. c). UniNow hat als Unternehmen aber keine gesetzliche Verpflichtung für die Kontaktnachverfolgung von Studierenden. Das passt also nicht zusammen. Alleine verantwortlich wäre UniNow nur dann, wenn die Kontakterfassung von den Studierenden damit freiwillig beziehungsweise zusätzlich gemacht werden würde.
Hinzu kommt: Vor allem die App, die sich durch personalisierte Werbung finanziert, passt nicht in den Rahmen einer Auftragsverarbeitung für die Hochschulen, weil UniNow mit der App auch eigene Interessen verfolgt. Auch wenn das Modul für die Kontaktnachverfolgung keine Werbung enthält, muss man bei der App insgesamt davon ausgehen, dass hier Daten in gemeinsamer Verantwortung erhoben werden. Das würde wiederum komplizierte Verträge nach sich ziehen, um die Datenverarbeitungen und ihre Verantwortungen zu klären und zu trennen. Fraglich ist zudem, ob es überhaupt rechtlich möglich ist, eine Werbevermarktung und eine gesetzlich vorgeschriebene Kontaktnachverfolgung in einer App zu vermischen.
In manchen Datenschutzerklärungen wird das einfach ignoriert, die Hochschule Reutlingen nennt sich beispielsweise als alleinige Verantwortliche auch bei dem Check-In über die App. In einem PDF der Hochschule für Medien in Stuttgart findet sich immerhin Hinweis, dass es vor allem mit der App juristische Probleme gibt:
Da es derzeit noch (…) Unstimmigkeiten zwischen den Datenschutzerklärungen in der App und auf der Webseite gibt, empfehlen wir derzeit die Nutzung von UniNow zur Erfassung ohne die App
Auf Rückfrage teilte mir die Hochschule für Medien in Stuttgart nur mit, dass UniNow beim Corona-Tracing im Auftrag der Hochschule arbeite und man diese rechtliche Konstruktion nach bestem Wissen abgeschlossen habe. Warum UniNow überall als Verantwortliche genannt wird, konnte man mir nicht erklären.
Hier hat man offenbar vor den rechtlichen Aufgaben einfach kapituliert.
Probleme gab es in einem Fall auch mit dem Papier-Check-In, der als rechtskonforme Lösung eine gute Alternative zu den obigen Problemen wäre: An der Hochschule für Medien in Stuttgart hat man die Nutzung von UniNow „per App oder online“ verpflichtend vorgeschrieben. Eine Studentin hat sich dort unbeirrt per E-Mail nach einem Papier-Check-In erkundigt, aber die Hochschule beharrte auf der UniNow-Lösung. Erst auf meine Nachfrage hin wurde ihr die alternative Option zugesichert.
Bei der Website ist die Sache weniger problematisch: Mit Ausnahme der nur für die Uni entschlüsselbaren Daten versendet die Check-in-Website keine personenbeziehbaren Daten, setzt keine Cookies und enthält keine Drittanbieter. Und weil sie obendrein werbefrei ist und wirklich nur das Corona-Tracing durchführt, kann man auch de facto von einer Auftragsverarbeitung ausgehen. Bleibt nur zu kritisieren, dass auch hier die Verantwortlichkeit von UniNow in der Datenschutzerklärung falsch angegeben ist. Da UniNow aber nur verschlüsselte Daten erhält, ist das dann wirklich ein rein juristisches Problem.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
Fazit
UniNow ist ein Angebot, das im Vergleich mit vielen anderen Apps relativ datensparsam ist. Wer auch sonst viele Apps nutzt, die Verhaltensdaten über die AAID sammeln, wird über UniNow nicht nennenswert Daten hinzufügen.
Wer streng auf seine Privatsphäre achtet, sollte die App nicht nutzen, da seine AAID theoretisch mit den Profilen von Werbekunden abgeglichen werden kann und seine Appnutzung von UniNow statistisch ausgewertet wird. Wer die App dennoch nutzen will, sollte die AAID regelmäßig zurücksetzen (das empfiehlt sich grundsätzlich, z.B. einmal pro Woche oder pro Monat) oder ein Custom-Android wie GrapheneOS verwenden, das keine AAID generiert. Die App versendet dann nur eine zufällig generierte Installations-ID.
Apple-Nutzer können die Verwendung der IDFA einfach deaktivieren.
Bedauerlich ist, dass man sich bei einem so weitreichenden Eingriff wie der verpflichtenden Kontaktnachverfolgung auf beiden Seiten keine Mühe gegeben hat, eine rechtlich einwandfreie Lösung zu erstellen. Das schafft leider kein Vertrauen. Die strengen Datenschutzregelungen von Verantwortlichkeiten hat ja gerade zum Ziel, dass Nutzer’innen sich nicht erst mit technischen Details oder verschiedenen Stellen beschäftigen müssen, sondern sich sicher sein können, dass die Hochschule die komplette Verantwortung für erhobene Daten trägt und die Anwendung genau geprüft hat. Das war bei meinen Stichproben aber nicht der Fall.
Aus technischer Sicht gibt es bei der Check-In-Umsetzung keine Bedenken. Wer die personalisierte Werbevermarktung in der App vermeiden will, sollte den Check-In mit dem Browser seines Smartphones oder Laptops aufrufen. Auch die QR-Codes kann man bequem mit dem Browser nutzen. Eventuell benötigt man dazu noch eine QR-Code-App wie BinaryEye (Open Source).
Obwohl man durch die Mängel nach meiner Einschätzung ein Recht dazu hätte, die Nutzung von UniNow zu verweigern und eine Papierversion zu fordern, würde ich persönlich davon abraten. Da Papierdokumente in der Praxis oft schlecht gegen Zugriff geschützt sind, erscheint mir die Variante mit der Website sicherer, weil die Daten dann lokal verschlüsselt und erst dann versendet und gespeichert werden.
Über den Autor | Eberl
Matthias Eberl ist freiberuflicher Multimedia-Journalist und schreibt außerdem für verschiedene Publikationen über Datenschutz-Themen. Für Journalisten gibt er auch Kurse im Bereich Informantenschutz. Er ist als Datenschutzbeauftragter von der IHK zertifiziert.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Google Play Services: Die Überwachungswanze von Google
Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse
Leserfrage: Nutzt die Corona-Tracing-App proprietäre Google-APIs?
Kommentar: Die Gefahr des COVID-19-Tunnelblicks
Topographie der Daten: Eine Blackbox für den Nutzer
1 Ergänzungen zu “UniNow App: Rechtsprobleme beim Corona-Tracing”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Schöner Beitrag, der den Finger in die Wunde legt. Nicht nur, dass in der Datenschutzinformation UniNow als Verantwortlicher auftritt. Er übernimmt zudem die Verpflichtung(en) eines Verantwortlichen: Denn die Verpflichtung einer Art. 13 DSGVO-Information trifft den Verantwortlichen (… so teilt der Verantwortliche (…) mit…). Zwar verweist UniNow z.B. in V) auf die Hochschule als Verantwortlichen: „Die Hochschule ist die einzige Partei, die die Daten entschlüsseln kann. Verantwortlicher der Datenverarbeitung ist die jeweilige Hochschule“. Ist aber die Hochschule Verantwortlicher, warum gibt ein Auftragsverarbeiter eine Datenschutzinformation für diesen ab? Schließlich entscheidet der Auftragsverarbeiter nicht über die Zwecke einer Verarbeitung – wie kann er dann eine korrekte Information hierzu abgeben?
Weshalb ist eine saubere Angabe des Verantwortlichen wichtig? Was geschieht nun, wenn z.B. ein Betroffener gegenüber UniNow sein Recht auf Auskunft zu der in V) geschilderten Verarbeitungstätigkeit geltend macht? UniNow kann das nach eigenem Bekunden gar nicht erfüllen, geschweige denn prüfen, ob der Auskunftsanspruch berechtigt ist. D.h. das Auskunftsersuchen wird von einer Organisation zur nächsten geschoben – ggf. kann UniNow den Verantwortlichen, aufgrund der Verschlüsselung gar nicht benennen. Das ist kaum Sinn und Zweck des Rechts auf Auskunft.
Letztlich erzeugt das bei allen Beteiligten nur Frust. Dies ist umso bedauerlicher, da man, wie es scheint, durchaus verantwortungsbewusste technische Entscheidungen getroffen hat.