Was interessieren mich die Daten meiner Freunde? – Die Post-Privacy-Kollateralschäden

In den Datenschutzdebatten der letzten Monate ging es häufig um Facebook. Bei Facebook ist im Grunde genommen jeder selbst dafür verantwortlich, welche und wie viele Daten er preisgeben will. Problematischer ist aber der Umgang mit fremden Daten: Mit sensiblen Informationen von Freunden und Bekannten wird nur so um sich geworfen. Die Verantwortung gegenüber anderen Menschen, auch in Datenschutzfragen, sollte in den Mittelpunkt der Diskussion gelangen.

Im Mai 2010 habe ich bereits auf die datenschutzrechtlichen Probleme bei WhatsApp hingewiesen. WhatsApp fordert von dem Nutzer den kompletten Zugriff auf sein Adressbuch und lädt diese Daten auf die eigenen Server. In den Lizenzbedingungen schreibt WhatsApp, dass man dem Vorgang nur zustimmen darf, falls man von allen betroffenen Personen eine Zustimmung erhalten hat (was auch nach deutschem Recht erforderlich wäre). Bei einem mit hunderten Einträgen gefüllten Kontaktverzeichnis kann es sich dabei allerdings nur um einen schlechten Scherz handeln. Dennoch: Die App ist in den AppStores als Dauerbrenner unter den Top 5. Von vielen Bekannten wurde ich schon drauf angesprochen: “Warum bist du eigentlich nicht bei WhatsApp?”. Was ich nun aber weiß, meine Kontaktinformationen haben sie dank meiner Bekannten schon.

Andere Apps, wie Facebook, Instagram oder viele andere, greifen mit der Funktion “Weitere Freunde finden” ebenfalls u. U. auf das Adressbuch zu. Aber auch hier muss ich als Anwender diese Funktion zumindest auswählen. Und bei manchen (hier sei Facebook positiv (!) erwähnt) werde ich noch einmal mit einer Warnung über das Hochladen der Daten informiert.

Jetzt kann man WhatsApp wenigstens zugutehalten, dass man zumindest die Möglichkeit hat, den Vorgang abzubrechen. Anders sieht es bei den Social Networks Path und Foursquare aus. Wie ich in meinem gestrigen Blogpost mit “Beweisfotos” geschildert habe, überträgt Foursquare im Hintergrund ohne jegliche Nachfrage oder Warnmeldung E-Mail-Adressen und Telefonnummern an den firmeneigenen Server. In einer ersten Reaktion begründet Foursquare Labs Inc. diesen Schritt damit, dass man dem Nutzer auf einfachem Weg seine Freunde und Bekannte anzeigen möchte, damit diese sich auch auf Foursquare “befreunden” können. Doch dabei ist eine Übertragung der Daten in reiner Form nicht notwendig. Denn: Ginge es Foursquare tatsächlich nur darum und wäre ihnen die datenschutzrechtlichen Fragen der Nutzer wichtig, so könnten sie auf dem Smartphone sogenannte Hashwerte erstellen und nur diese mit dem Server abgleichen. Dabei werden aus Rohdaten (z. B. E-Mail-Adressen) bestimmte eindeutige Zeichenfolgen erstellt. Aus diesen Hashs kann man die ursprünglichen Rohdaten nicht wiederherstellen, aber dennoch hat eine E-Mail-Adresse immer den gleichen Hash, egal, von welchem Smartphone sie erstellt werden. Somit müssen auf dem Server nur die Hashwerte und nicht die Rohdaten gespeichert werden, um die gleiche Funktionalität anbieten zu können.

Unter Umständen kann die Übertragung der Adressbuchdaten noch viel schlimmere Konsequenzen haben. Bei Path wurden diese Daten sogar im Klartext, ohne Verschlüsselung, übertragen. Ein Mitlesen als “Man-In-The-Middle” ist somit denkbar einfach. Aber auch HTTPS-Verbindungen können, z. B. durch gefälschte Zertifikate, nicht 100%ige Sicherheit garantieren. So könnte in autoritären Regimen, in denen insbesondere soziale Netzwerke zu Koordination von Protesten genutzt werden, die Preisgabe der Kontakte in dem Adressbuch schwerwiegende Konsequenzen haben.

Was muss getan werden?

  1. Es wird Zeit, dass Apple ein klares Rechtemanagement in seine Apps integriert. Dies lässt sich nicht über zig Pop-Up-Dialoge lösen, die einzeln fragen: “Diese Anwendung möchte Ihren Standort abfragen”, “Diese Anwendung möchte auf Ihr Adressbuch zugreifen”, usw. Klare Regelungen und Berechtigungen müssen definiert werden und für jede einzelne App einzeln konfigurierbar sein. (UPDATE: Apple hat bereits reagiert)
  2. Dennoch darf man Apple hier nicht als Sündenbock darstellen. Nicht Apple schreibt die Apps, sondern die App-Entwickler selbst. Bei Desktop-Betriebssystemen wird generell nur zwischen normalen Anwendungen und Anwendungen mit Administrationsrechten unterschieden. Dort wird ebenfalls nicht jeder einzelne Abfrage vom Betriebssystem blockert (auch ein Mac OS oder Windows haben ein Adressbuch!). Hier gilt es insbesondere an die Ethik eines Software-Entwicklers zu appellieren. Wer das Datenschutz Ein-Mal-Eins bricht sollte sanktioniert werden. Bei sozialen Netzwerken geht das ganz einfach: die Nutzer müssen sich abmelden!
  3. Viel wichtiger ist aber auch der Datenschutzdiskurs. Die Ich-Bezogenheit muss verschwinden. Jeder einzelner ist nicht nur für seine Daten verantwortlich, sondern auch für die Daten anderer. Wenn im eigenen Adressbuch persönliche Daten notiert sind (neben Kontaktmöglichkeiten können dies auch sensible Informationen sein, die als Notiz hinterlegt sind!), muss man mit diesen noch vorsichtiger umgehen, als mit den eigenen. Warum wird darüber nicht diskutiert?
11 Antworten
  1. Max
    Max says:

    Na ich denke schon, dass Apple auch daran schuld ist, schließlich geben sie die Apps im AppStore nach einer Prüfung frei. Eine Information welche Rechte die App hat, bekommt man wohl vor Download und Installation nicht angezeigt.

    Antworten
  2. Elias
    Elias says:

    Das eine reine Rechteverwaltung nichts bringt und dass selbst erschreckende Rechteforderungen von vielen Anwendern einfach schnell weggefingert werden, als wären es lästige Fliegen, belegt Android.

    Es sind die Autoren der Apps, die ihren Anwendern hinterrücks unerwünschte Funktionen reinwürgen. Diese Autoren haben dafür in meinen Augen die gleiche Ächtung verdient wie ein Spammer, ein betrügerischer Klinkenputzer oder ein andereres weniger vorteilhaftes Exemplar der Gattung Mitmensch, die sie offenbaren den gleichen Charakter. Und wenn man sieht, in welchen Unternehmungen Menschen mit derartigem Charakter etwas werden können (Facebook zum Beispiel), dann wirft das ein deutliches Schlaglicht auf den Charakter der Menschen, die in diesen Unternehmungen Entscheidungen treffen. Allein das ist ein Grund, derartige Unternehmen nicht zu unterstützen. Man lässt ja schließlich auch nicht jemanden in die Wohnung, den man schon an der Türe als Trickbetrüger erkennt.

    Antworten

Trackbacks & Pingbacks

  1. […] ist nur der technische Aspekt. Der zweite wichtige Punkt ist der eigene Umgang mit seinen Daten und den Daten seiner Mitmenschen. Der NSA-Skandal zeigt, dass man generell davon ausgehen muss, dass jede Kommunikation […]

  2. […] das Adressbuch an den Hersteller geladen. Ein Vorgang, das im analogen Zeitalter eine Welle der Empörung hervorgerufen […]

  3. […] habe bereits mehrfach über WhatsApp berichtet (siehe hier oder hier). Vor allem wegen der sehr bedenkenswerten Datenschutzpolitik lehne ich die Software seit ihrem […]

  4. […] Henning Tillmann: Was interessieren mich die Daten meiner Freunde? – Die Post-Privacy-Kollateralschäden (via +Enno […]

  5. […] Was interessieren mich die Daten meiner Freunde? – Die Post-Privacy-Kollateralschäden Was interessieren mich die Daten meiner Freunde? – Die Post-Privacy-Kollateralschäden: […]

  6. […] was wäre ein Datenleak ohne einen mahnenden Zeigefinger, in diesem Falle den eines Sozialdemokraten in Berlin: Das was die Spackeria nun schon seit langer Zeit sagt, nämlich, dass ein großer Teil der […]

  7. […] UPDATE: Ich habe dazu auch eine datenschutzrechtliche Einstufen geschrieben. Siehe auch meinen Debattenbeitrag „Was interessieren mich die Daten meiner Freunde? – Die Post-Privacy-Kollateralschäden“. […]

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über ihren Beitrag!

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>