Google speichert angeblich massenhaft sensible Verbindungsdaten

Vorratsdatenspeicherung, Lauschangriff, Vertrauensbruch, Straftat, Verstoß gegen die Grundrechte – die Vorwürfe, die Matthias Spielkamp von mobilsicher.de bzw. iRights e.V. gegenüber Google erhebt, wiegen schwer und rufen nun auch die ersten Datenschutzbeauftragten auf den Plan.

Angeblich erfasst und sammelt jedes Android-Smartphone bei jedem Telefonat Verbindungsdaten und überträgt diese im Hintergrund an Google-Server.

Ursache der Recherchen von mobilsicher.de soll ein genauer Blick in die Datenschutzerklärung von Google gewesen sein. Dort räumt sich Google das Recht ein, Daten wie die Telefonnummer, die Anrufernummer, eine eventuell genutzte Weiterleitungsnummer, das Datum und die Uhrzeit von Anrufen, die Dauer von Anrufen, SMS-Routing-Informationen und die Art der Anrufe in Form von Protokolldaten zu erfassen.

mobilsicher.de will in einem Test festgestellt haben, dass Android-Smartphones eine Verbindung zu Googles Servern aufbauen, sobald Benutzer ein Telefonat starten. Daraus schließt Spielkamp, dass Google die Einwilligung des Benutzers in Anspruch nimmt und die Daten tatsächlich erfasst und sammelt.

Nichts genaues weiß man nicht

Allerdings, so fügt man einschränkend hinzu, könne derzeit nicht festgestellt werden, welche Daten tatsächlich erfasst und gesammelt würden. Es gebe zwar einen zeitlichen Zusammenhang zwischen einem Telefonat und der Verbindungsaufnahme mit den Google-Servern, doch die Daten seien verschlüsselt – daher sei ihr Inhalt nicht kontrollierbar. Zum Umfang bzw. der Größe der Datenpakete äußert sich mobilsicher.de ebenfalls nicht.

In einer ersten Stellungnahme äußerte sich Johannes Caspar, seines Zeichens Datenschutzbeauftragter des Landes Hamburg. Wer Google-Produkte nutze, müsse eine derartige Datenerhebung in Kauf nehmen, zumal sich Google hierfür die individuelle Einwilligung des Benutzers einhole. Spielkamp bezweifelt, dass die Angelegenheit damit erledigt ist, denn für alle Fragen rund um die Telekommunikation sei die Bundesdatenschutzbeauftragte Andrea Voßhoff zuständig. Deren Vorgänger, der ehemalige Bundesdatenschutzbeauftragte Peter Schaar, widerspricht der Ansicht seiner Hamburger Ex-Kollegen schon mal vorgreifend: die Einwilligung des Benutzers sei schon “mangels Klarheit” nicht wirksam.

Schaar merkt an, dass die Datenübertragung auch all jene beträfe, die den Besitzer eines Android-Smartphones anrufen. Diese Personen – etwa Nutzer eines iPhones oder Festnetztelefons – hätten Google eine entsprechende Einwilligung selbstverständlich nicht erteilt. Selbiges gelte für angerufene Personen: der Benutzer eines Android-Smartphones könne ja nicht stellvertretend für angerufene Dritte eine umfassende Protokollierung der Rufnummer, Gesprächsdauer u.a. Metadaten genehmigen.

Randnotiz: Vor einem ähnlichen Problem steht gerade übrigens gerade Facebook beim Thema Gesichtserkennung. In der Praxis müsste der Dienst von jeder Person auf einem upgeloadeten Bild die Erlaubnis zur Erfassung und Auswertung einholen.

Abhängig von den tatsächlich übertragenen Daten sieht Schaar einen möglichen Verstoß gegen das Fernmeldegeheimnis und somit eine Straftat. Zudem sei es bedenklich, dass auch Vertrauenspersonen und Berufsgeheimnisträger wie Ärzte oder Anwälte betroffen sein könnten, die sich auf Grund ihrer eigenen Geheimhaltungspflicht gegenüber Dritten ebenfalls strafbar machen würden, wenn sie Google eine zu weitreichende Auswertungsvollmacht einräumen würden.

Google weist Vorwurf zurück

Google wies den Vorwurf einer “privaten Vorratsdatenspeicherung” unterdessen entschieden zurück. Gegenüber heise.de nannte ein Sprecher die Gründe für einen möglichen Datenaustausch im Zuge eines Telefonanrufs. Entsprechende Informationen würden nicht automatisch durch das Betriebssystem Android gesammelt, sondern nur im Zusammenhang mit entsprechenden Apps und Diensten. So sei es möglich, dass ein Unternehmen seine Rufnummer mit einem Business-Eintrag verknüpft habe, dieser werde dann mit der optional ein- und ausschaltbaren Anrufer-ID abgeglichen.

Randnotiz: Parallel zu Matthias Spielkamp meldet sich auch die “Nationale Initiative für Informations- und Internet-Sicherheit” (NIFIS) zu Wort. Die “neutrale Selbsthilfeorganisation” will in Zusammenarbeit mit dem “Internationalen Information Security Forum des Diplomatic Council” zu einem gleichlautenden Ergebnis gekommen sein: das Verhalten von Google gleiche einem Lauschangriff und ähnele dem, was die NSA tue. In der Pressemeldung des Vereinsvorsitzenden Dr. Thomas Lapp findet sich keinerlei Hinweis auf die Recherchen von Matthias Spielkamp – seltsam, wenn zwei offensichtlich nicht miteinander verbundene Parteien zeitgleich dieselben Recherchen, Erkenntnisse und Schlussfolgerungen für sich in Anspruch nehmen.

Nicht nur Fans des Android-Betriebssystems werden vor dem Hintergrund der Recherchen anmerken, dass eine Erfassung, Protokollierung und Speicherung von Meta-Daten auch in vielen anderen Anwendungs-Szenarien längst Alltag ist. So lassen sich viele Apps, die eigentlich nichts mit den Telefoniefunktionen eines Smartphones zu tun haben, bereits während der Installation die Einwilligung geben, auf die Rufnummern und Kontaktdaten des Geräts zuzugreifen. Kaum jemand weiß, wie diese Daten verwertet werden. Die meisten Benutzer nicken die entsprechenden App-Berechtigungen kommentarlos ab. Googles Erläuterung klingt im Gegensatz zum Verhalten anderer Anbieter zumindest im Ansatz plausibel, schließlich nutzt man das Android-Smartphone beim Telefonieren mit den entsprechenden, auf Daten basierenden Komfort-Funktionen.

Untersuchung: WhatsApp erstellt detaillierte Kommunikations-Protokolle

Zudem erscheint im aktuell vorliegenden Fall die Konzentration auf Android etwas … bemüht. Ohne Kenntnis der tatsächlich übertragenen Daten und allein ausgehend von den Datenschutzbestimmungen hätte man sich auch die entsprechenden Passagen in den Policys von Apple bzw. iOS anschauen können.

Dort räumt sich Apple ebenfalls das Recht ein, eine Vielzahl persönlicher Daten zu protokollieren und zu verwenden. So weist das Unternehmen aus Cupertino u.a. ausdrücklich darauf hin, dass man zur Bearbeitung von Anfragen, zur Bereitstellung von Produkten und Diensten und “zum Vorgehen gegen Betrug” den Namen, die Adresse, die E-Mail Adresse und die Telefonnummer von Personen erfasse, mit denen ein Apple-Nutzer “Inhalte teile” – was auch immer das heißen mag. In vielen Apple-Produkten werden der Beruf, die Sprache, die Postleitzahl, der Ort, die Zeitzone, die Vorwahl, individuelle Geräteidentifizierungsmerkmale, Suchanfragen, IP-Adressen oder eine Weiterleitungs-URL erfasst und dienen – ebenso wie bei Google – der “Verbesserung” von Diensten, Produkten und Werbeanzeigen. Auch einer Weitergabe von Daten an “strategische Partner” stimmt man bei Apple allein mit der Akzeptanz der Datenschutzbestimmungen ausdrücklich zu.

Update: Matthias Spielkamp hat angekündigt, dass ähnliche Untersuchungen zum Verhalten von iOS noch folgen werden. Die etwas vorgezogene Veröffentlichung sei der überraschenden Pressemeldung des Nifis e.V. geschuldet, siehe oben.

@spielkamp Frage 1: plant ihr basierend auf der nahezu gleichlautenden Policy auch eine Untersuchung der Datenerfassung von Apple/iOS? ^br
— Mobilegeeks.de (@Mobilegeeksde) July 4, 2016

Unzulässige Vermischung der Begrifflichkeiten

Solange wir also nicht wissen, welche Daten tatsächlich im Zusammenhang mit der Telefonie-Funktion eines Smartphones übertragen werden, sind Begriffe wie “Vorratsdatenspeicherung” oder “Lauschangriff” ebenso unangebracht wie ein Vergleich mit der “NSA”. Staatliche, gesetzlich legitimierte Überwachung einer Bevölkerung hat nichts – aber auch wirklich gar nichts – mit der Datenerfassung von Unternehmen zu tun, solange diese im Rahmen eines freiwillig abgeschlossenen “Dienstleistungsvertrages” stattfindet.

Bedrohungsszenarien wie das der us-amerikanischen “Datenkraken” enden nun einmal da, wo die Staatsgewalt – u.U. auch gegen die eigene Bevölkerung gerichtet – beginnt. Man sollte diese völlig verschiedenen Datenschutzbereiche auch bei der Wortwahl strikt voneinander trennen, um nicht – wie schon so oft – beim einzelnen Benutzer lediglich ein resigniertes Schulterzucken hervorzurufen.

Zudem muss man festhalten, dass entgegen allen individuellen Vereinbarungen zwischen Benutzer und Anbieter nahezu jedes an digitalen Prozessen beteiligte Unternehmen zur Herausgabe von Daten gezwungen werden kann. Die gesetzlichen Hürden und daraus resultierenden richterlichen Anordnungen unterscheiden sich in den USA und in Deutschland weitaus weniger, als man normalerweise vermuten mag.

Seitens Google wäre selbstverständlich eine transparente(re) Aufklärung wünschenswert. Ebenso von Apple, Facebook, WhatsApp, Mobilfunk-Netzbetreibern und anderen Anbietern. Auch vor dem Hintergrund der in gar nicht allzu weiter Ferne wirksamen EU-DSGVO. Gerade die us-amerikanischen Anbieter haben in den zurückliegenden Monaten immer wieder betont, dass sie sich mittlerweile mit ihren Benutzern im selben Boot sehen. Sie seien durchaus in der Lage, die ihnen zugestandene “Macht” zur Erfassung und Auswertung von persönlichen Daten nicht zu missbrauchen. Letztendlich sind aber auch die Benutzer selbst in der Pflicht, sich gegebenenfalls zu informieren und dann wissentlich gegen die ein oder andere Funktion oder App oder sogar für einen vollständigen Verzicht zu entscheiden.

Kommunikation im Jahr 2016 basiert auf dem Austausch von Daten. Die Frage ist: vertrauen wir denjenigen, die diese Daten erheben?