Dominik HerrmannJürgen Schabel/Universit?t Bamberg

Dominik Herrmann erforscht unter anderem, ob App-Anbieter pers?nliche Daten auf Anfrage zur Verfügung stellen.

Informatiker im Undercover-Einsatz

Drei Forscher haben mehr als 200 Apps getestet: Geben die Anbieter pers?nliche Nutzerdaten auf Anfrage heraus?

Auch in der Wissenschaft gibt es verdeckte Ermittler: Mit sogenannter ?Undercover-Feldforschung“ haben drei Informatiker der Universit?ten Bamberg und Hamburg sowie der TU Berlin die Anbieter von Apps auf die Probe gestellt. Sie wollten herausfinden, ob diese wie vorgeschrieben die pers?nlichen Nutzerdaten auf Anfrage herausgeben. ?Unsere Studie zeigt, dass viele Anbieter ihrer gesetzlichen Auskunftspflicht nicht nachkommen“, sagt Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsph?re und Sicherheit in Informationssystemen an der Universit?t Bamberg. ?Insgesamt haben wir 225 iOS- und Android-Apps untersucht. Bei den meisten Anbietern gab es etwas zu beanstanden.“ Die Studie wurde im August auf der internationalen IT-Sicherheits-Konferenz ?ARES 2020“ vorgestellt und als beste Einreichung mit dem Best-Paper-Award ausgezeichnet.

Ein Fünftel der App-Anbieter antwortete nicht

Dominik Herrmann, Jens Lindemann von der Universit?t Hamburg und Jacob Leon Kr?ger von der TU Berlin haben die Verlaufsstudie zwischen 2015 und 2019 durchgeführt. Der Titel lautet: ?How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps“. Für ihre Undercover-Untersuchung legten die Informatiker fiktive Nutzerprofile an, sodass insgesamt 225 App-Anbieter Zugang zu diesen pers?nlichen Daten bekamen. Rund ein Drittel der Apps stammte aus Deutschland, die anderen aus L?ndern weltweit. In den Jahren 2015, 2018 und 2019 baten die Wissenschaftler die Anbieter darum, ihnen die pers?nlichen Daten zu nennen, die sie von ihnen gespeichert hatten. ?Viele Anbieter – im Schnitt 20 Prozent – antworteten gar nicht, manche waren nicht einmal erreichbar“, erl?utert Dominik Herrmann. H?ufig seien die Antworten ungenügend gewesen, etwa weil sie unverst?ndlich strukturiert waren oder die Links zu den angeforderten Daten nicht funktionierten. ?Ein Anbieter hat uns versehentlich sogar die sensiblen Daten einer anderen Person geschickt.“

DSGVO führte nicht zu einer Verbesserung

Besonderes Augenmerk legten die Wissenschaftler auf die Unterschiede zwischen 2018 und 2019. Im Mai 2018 wurde die Datenschutz-Grundverordnung (DSGVO) eingeführt, die unter anderem das Recht auf Auskunft über personenbezogene Daten konkretisiert. ?Nach der Einführung erwarteten wir einen positiven Trend“, so Dominik Herrmann. ?Stattdessen ging die Zahl der akzeptablen Antworten tendenziell eher noch zurück: von 53 Prozent im Jahr 2018 auf 41 Prozent im Jahr 2019.“ Eine Antwort war für die Wissenschaftler akzeptabel, wenn der Anbieter entweder die angeforderten Nutzerdaten schickte oder wenn er glaubwürdig begründen konnte, dass die Daten nicht mehr gespeichert waren. Bedenklich findet das Forscherteam, dass rund drei Viertel der Anbieter nicht die Identit?t der antragstellenden Person überprüften. Positive Entwicklungen stellten die Forscher innerhalb der vier Jahre nur in einzelnen Bereichen fest, beispielsweise wurden den Anfragenden h?ufiger verst?ndliche Daten zur Verfügung gestellt.

Verbesserung durch mehr Ressourcen und Stichproben

Was k?nnen Nutzerinnen und Nutzer tun, die nicht die gewünschte Auskunft erhalten? ?Betroffene sollten sich an Datenschutzbeh?rden wenden, die derartige Verst??e verfolgen“, erkl?rt Dominik Herrmann. Er empfiehlt au?erdem, Apps grunds?tzlich mit Bedacht auszuw?hlen und m?glichst wenig Pers?nliches preiszugeben – oder gar falsche Angaben zu machen, sofern m?glich. Um die Vorschriften der DSGVO besser durchzusetzen, sieht das Forscherteam vor allem den Staat in der Pflicht: ?Die zust?ndigen Aufsichtsbeh?rden ben?tigen mehr Budget und Personal, um ihre gesetzlich vorgesehene Aufgabe zu erfüllen. Sie k?nnten dann umfassende Stichprobenkontrollen durchführen oder branchenspezifische Richtlinien für Unternehmen erlassen. Idealerweise stellen uns App-Anbieter in Zukunft einheitliche und – automatisierte Schnittstellen für solche Auskunftsanfragen zur Verfügung. Dadurch k?nnten sie auf die fehleranf?llige manuelle Bearbeitung verzichten.“

Publikation (Open Access):

Jacob Leon Kr?ger, Jens Lindemann, Dominik Herrmann. 2020. How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps. ARES '20: Proceedings of the 15th International Conference on Availability, Reliability and Security.
https://dl.acm.org/doi/10.1145/3407023.3407057

Das Projekt stammt aus dem Forschungsschwerpunkt ?Digitale Geistes-, Sozial- und 球探足球比分“ der Universit?t Bamberg. Weitere Informationen und aktuelle Meldungen zum Schwerpunkt finden Sie unter www.uni-bamberg.de/forschung/profil/digitale-geistes-sozial-humanwissenschaften. ??

Bild(2.3 MB): Dominik Herrmann erforscht unter anderem, ob App-Anbieter pers?nliche Daten auf Anfrage zur Verfügung stellen.
Quelle: Jürgen Schabel/Universit?t Bamberg

Weiterführende Informationen für Medienvertreterinnen und -vertreter:

球探足球比分 für inhaltliche Rückfragen:
Prof. Dr. Dominik Herrmann
Lehrstuhl für Privatsph?re und Sicherheit in Informationssystemen
dominik.herrmann@uni-bamberg.de
www.uni-bamberg.de/psi

Hinweis: Derzeit ist der Ansprechpartner ausschlie?lich per Mail erreichbar. Er beh?lt seinen E-Mail-Account regelm??ig im Blick und meldet sich gerne zeitnah zurück.

Medienkontakt:
Patricia Achter
Projektstelle Forschungskommunikation
Tel.: 0951/863-1146
forschungskommunikation(at)uni-bamberg.de