Anbieter und Drittanbieter

In unseren App-Tests unterscheiden wir, an wen eine App Daten sendet. Ist es ihr Anbieter, dessen Namen Sie bei der Installation sehen – oder eine dritte Partei, von der Sie nichts wissen? Hier erklären wir, warum der Unterschied wichtig ist.

Jede App, die Sie im Google Play-Store herunterladen können, hat einen Autor - von uns auch Anbieter genannt. Den Namen sehen Sie im Play-Store direkt unter dem Titel der App.

Wenn Sie eine App auf Ihrem Smartphone installieren, treffen Sie die Entscheidung, eine Geschäftsbeziehung mit diesem Anbieter einzugehen.

Anbieter: Mit dieser Partei sind Sie im Geschäft

Je nachdem, um welche App es sich handelt, können Sie erwarten, dass bestimmte Daten über Sie bei diesem Anbieter landen: Wenn Sie sich in der App zum Beispiel ein Konto mit E-Mail-Adresse und Passwort anlegen, müssen Sie damit rechnen, dass beides an den Anbieter der App übertragen wird.

Wenn Sie einen Messenger nutzen oder Inhalte in ein soziales Netzwerk hochladen, können Sie erwarten, dass diese Daten über Server des Anbieters laufen.

Drittanbieter: Diese Parteien kennen Sie in der Regel nicht

Ein Großteil der Apps im Play-Store nehmen nicht nur Kontakt zu den Servern des Anbieters auf, sondern auch noch zu anderen Internetadressen. Die Besitzer*innen solcher Internetadressen bezeichnen wir gesammelt als Drittanbieter.

Oft handelt es sich dabei um Firmen, die zum Beispiel Werbung in der App schalten oder Nutzungsdaten analysieren. Viele dieser Drittanbieter erhalten Daten von Ihnen, zum Beispiel eindeutige Kennummern, die E-Mail-Adresse oder Standortdaten. Über unsere Filter können Sie Apps suchen, die entweder gar keine Drittanbieter kontaktieren, oder sie können Apps mit bestimmten Drittanbietern gezielt ausschließen.

Drittanbieter können viele verschiedene Funktionen haben. Wir haben sie in vier Hauptgruppen eingeteilt, nach denen Sie ebenfalls über unsere Filter sortieren können.

Drittanbieter-Hauptgruppen

  • Marketing/Werbung: Zum Beispiel Werbenetzwerke, Unternehmen, die Werbeplätze in Echtzeitauktionen versteigern oder Agenturen, die Unternehmen helfen, Ihre Kunden gezielt anzusprechen. In dieser Gruppe werden viele persönliche Daten gesammelt. Diese Anbieter sind für die Funktionalität einer App in der Regel jedoch nicht notwendig. Auch soziale Netzwerke erscheinen in dieser Kategorie, sofern sie ihre Einnahmen durch Werbung generieren.
  • Betrugserkennung / Markenschutz: Viele Dienstleister versprechen Schutz gegen sogenannten Werbebetrug. Bei Werbebetrug klicken Roboter (Bots) automatisiert auf Anzeigen und kassieren dafür Geld von den Werbetreibenden. Unternehmen, die mit "Markenschutz" werben, versprechen zu verhindern, dass die eigene Werbeanzeige neben unliebsamen Inhalten erscheint (zum Beispiel neben gewaltsamen oder pornografischen Inhalten). Dienstleister aus dieser Gruppe sammeln oft sehr viele, sehr genaue Daten vom eigenen Gerät, um festzustellen, ob es sich bei den Nutzer*innen um Menschen oder um Bots handelt.
  • Technische Dienste: Zu dieser Gruppe gehören zum Beispiel Cloud-Dienste, Hosting-Unternehmen und IT-Dienstleister. Sie fragen in der Regel keine persönlichen Daten ab und sind für die Funktionalität der App notwendig.
  • Sonstige: Zu dieser Gruppe gehören alle Drittanbieter, die sich nicht in den anderen drei Kategorien einordnen lassen. Oft sind es Lieferanten von Inhalten, zum Beispiel Nachrichtenangebote, Video-Blogs oder andere Medienanbieter.

Mit all diesen Anbietern stehen Sie durch die Nutzung einer App auch in einer Beziehung - meistens ohne es zu wissen. Daher bewerten wir es kritischer, wenn eine App Daten an einen Drittanbieter versendet, als wenn sie dieselben Daten an den Hersteller schickt. Denn bei Drittanbietern können Sie als Nutzer*in nicht wissen, mit wem Sie da eigentlich im Geschäft sind.

Besonderer Drittanbieter: Google

Um Googles Play-Store zu nutzen, müssen Sie sich mit Ihrem Google-Konto dort anmelden. Über diese Verknüpfung kann der Konzern alle Informationen, die er von Ihrem Handy erhält, ihrem Google-Konto zuordnen.

Bei dieser Verknüpfung erhält Google sehr genaue Informationen über Ihr Gerät. Zusätzlich erfährt der Google, welche Apps Sie aus dem Play-Store herunterladen, wann Sie diese das erste Mal öffnen und auch, welche Apps Sie deinstallieren. Alle diese Informationen kann Google nutzen, um auf Ihre Person zugeschnittene Werbung zu schalten.

Sobald Sie den Play-Store nutzen, sind Sie also mit Google im Geschäft. Diesen Informationsaustausch bewerten wir als kritisch - er findet aber für alle Apps aus dem Play-Store gleichermaßen statt.

Google bietet darüber hinaus viele Dienste an, zu denen Apps direkt Kontakt aufnehmen können. So könnte eine App Google Maps aufrufen, um eine Landkarte in der App zu zeigen, Googles Werbeplattform Google Ads (früher Doubleclick) kontaktieren, um Werbung in der App zu schalten, den Analysedienst Google Analytics anfragen, um zu analysieren, wie Nutzer*innen die App benutzen, oder mit Crashlyics den eigenen Absturz-Analysedienst des Internetkonzerns nutzen.

Für alle diese Google-Dienste gelten dieselben Datenschutzbestimmungen. In diesen Bestimmungen räumt sich Google das Recht ein, alle erhobenen Nutzerdaten für Werbezwecke zu verwenden und zwischen Diensten und Tochterfirmen des Google-Konzerns auszutauschen.

Aus diesem Grund unterscheiden wir derzeit in unserem Testsystem nicht zwischen den unterschiedlichen Diensten und Funktionalitäten von Google.

Besonderer Drittanbieter: Facebook

Der Facebook-Konzern betreibt neben dem bekannten sozialen Netzwerk noch viele andere Dienste. Alle Dienste können App-Anbieter über einen Softwarebaustein (ein sogenanntes SDK) von Facebook in ihrer App integrieren.

Facebook bietet folgende Dienste an (Auswahl):

  • Single Login: Nutzer*innen können sich in der App mit ihrem Facebook-Konto registrieren.
  • Inhalte auf Facebook teilen: Nutzer*innen können direkt aus der App Inhalte auf Facebook teilen.
  • Facebook Analytics: Der Betreiber der App erhält detaillierte Informationen darüber, was Nutzer*innen innerhalb einer App tun.
  • Facebook Advertising: Betreiber der App können von Facebook Werbung in der App schalten lassen und damit Geld verdienen.

Entscheidet sich ein App-Betreiber, das SDK von Facebook für eine oder mehrere dieser Funktionen zu nutzen, so erfährt Facebook mindestens, wann Sie die betreffende App nutzen. Über die Werbe-ID werden diese Informationen zu einem Profil verknüpft und mit Informationen aus Ihrem Facebook-Konto ergänzt, falls Sie eines haben. Facebook nutzt diese Profile, um auf Ihre Person zugeschnittene Werbung zu schalten.

Da dieser Informationsaustausch für Nutzer*innen nicht klar ersichtlich ist und die erfassten Daten durch die Verknüpfung mit dem Facebookkonto nicht mehr anonym sind, bewerten wir die Datenübertragung an Facebook als besonders kritisch.

Wie Facebook unbemerkt Informationen aus Smartphone-Apps sammelt, erklärt mobilsicher.de hier: Facebooks unsichtbare Datensammlung.

Besonderer Drittanbieter: MoPub

MoPub ist eine Tochterfirma von Twitter. Sie betreibt eine Plattform, über die App-Anbieter freie Werbeplätze in ihrer App vermarkten und damit Geld verdienen können. App-Betreiber können sich direkt dort anmelden und ihre freien Werbeplätze zur Verfügung stellen.

Diese freien Werbeplätze füllt MoPub mit Anzeigen. Dazu betreibt die Firma unter anderem eine Echtzeit-Auktionsplattform. Dort können sich sogenannte DSPs (Demand Side Plattforms) anmelden. DSPs sind Firmen, bei denen Werbetreibende ihre Anzeigen einstellen können. Die DSP vermittelt diese Anzeigen auf einen geeigneten Anzeigenplatz. Auf der Auktionsplattform von MoPub bieten derzeit rund 125 DSPs gegeneinander um geeignete Werbeplätze.

Die DSPs nennt MoPub "Partner". Jeder Partner erhält bei jeder Auktion Informationen über den zur Verfügung stehenden Werbeplatz: In welcher App und auf welchem Gerät ist der Platz verfügbar, was ist über den*die Nutzer*in bekannt, wo befindet er*sie sich?

MoPub erhebt dazu einerseits Informationen aus der App selbst, zum Beispiel den App-Namen, Ihre Werbe-ID, Informationen über Ihr Gerät, über alle anderen installierten Apps und über Ihren Standort (anhand der IP-Adresse). Mit Hilfe der Werbe-ID werden dann weitere Informationen über Sie von so genannten "Databrokern" abgefragt. Anhand dieser Informationen entscheiden die Teilnehmer*innen der Auktion, wie viel sie für den Werbeplatz bieten möchten.

Wenn eine App mit MoPub zusammenarbeitet, erhalten also potentiell 123 andere Parteien Informationen über Sie. MoPub übernimmt dabei keine Verantwortung dafür, was diese Partner mit Ihren Daten machen, sondern verweist in der eigenen Datenschutzerklärung auf die Datenschutzerklärungen der Partner. Eine informierte Entscheidung seitens der Endnutzer*innen ist somit praktisch nicht möglich.

Wir bewerten es daher als besondern kritisch, wenn eine App Verbindung zu MoPub aufnimmt.