Der Privacy-Score: So bewerten wir

Für Apps im Volltest vergeben wir einen Privacy-Score von eins bis fünf – von „kein Risiko“ bis „sehr problematisch“. Wie die Bewertung zustande kommt, erklären wir hier.

An alle Apps, die einen erfolgreichen Volltest durchlaufen haben, vergeben wir anhand der Ergebnisse einen Score. Dieser Score berücksichtigt ausschließlich unsere Testergebnisse und gibt keine Auskunft über die Funktionalität, den Spaßfaktor oder Mehrwert einer App.

Wichtig: Der Score sagt auch nichts darüber aus, ob eine App sich an die geltenden Datenschutzbestimmungen hält oder Nutzer*innen ordnungsgemäß informiert hat. Denn das können - wenn überhaupt - nur Jurist*innen beurteilen.

Wenn wir im folgenden von "Daten" oder "relevanten Daten" sprechen, meinen wir Daten, mit denen Sie oder Ihr Gerät identifiziert werden können oder die persönliche Dinge über Sie verraten. Zum Beispiel die Geräte-Seriennummer, Standortdaten, E-Mail-Adressen oder Ihr Alter.

Alle Daten, nach denen wir im Test suchen, finden Sie hier.

Score 1: Kein Risiko

Diesen Score erhalten nur Apps, die Sie vollkommen bedenkenlos nutzen können. Sie senden nur die nötigsten Daten an den Anbieter der App. Drittanbieter aus der Gruppe "Marketing, Nutzeranalyse, Werbung" werden gar nicht kontaktiert.

Andere Drittanbieter dürfen von diesen Apps kontaktiert werden, aber keine relevanten Daten erhalten. Das passiert typischerweise bei Cloud-Anbietern oder Content Delivery Networks (CDN), die nur dazu dienen, große Dateien schneller in die App zu laden.

Was bedeutet "nur die nötigsten" Daten?

  • Der Anbieter der App darf keine Informationen erhalten, mit denen Sie oder Ihr Gerät identifizierbar wären - also keine eindeutigen Kennnummern, keine E-Mail-Adressen, keine Telefonnummern.
  • Eine Fitness-App könnte aber zum Beispiel Ihr Alter und Gewicht erfassen, wenn damit keine Werbe-ID oder eine andere Kennnummer verbunden ist. Dann können diese Informationen nicht mit Informationen aus anderen Quellen zu einem Profil zusammengeführt werden.

Score 2: Geringes Risiko

Auch Apps mit diesem Score sind noch klar empfehlenswert und verhalten sich allem Anschein nach legitim. Es werden aber einige Daten erfasst, mit denen ein gerinfügiges Risiko verbunden ist - daher gibt es hier nicht den besten Score.

In dieser Gruppe finden Sie Apps, deren Anbieter*innen zum Beispiel den Standort oder beim Anlegen eines Nutzerkontos E-Mail-Adresse und Passwort abfragen. Diese Daten dienen in der Regel einem nachvollziehbaren Zweck. Sie werden explizit informiert und müssen zustimmen, sobald eine App beispielsweise auf den Standort zugreift. Dennoch können diese Daten Rückschlüsse auf eine Person zulassen.

Weitere Beispiele für Apps mit Score 2

  • Apps, bei denen ein Drittanbieter den Standort erhält - sofern dieser nicht in den Branchen Werbung, Marketing oder Nutzeranalyse tätig ist. So können Apps zum Beispiel die GPS-Koordinaten an einen Wetterdienst senden, um die lokale Wettervorhersage abzufragen, oder an einen Nahverkehrsanbieter, um die beste Bahnverbindung zu präsentieren.
  • Karten- und Navigations-Apps senden die GPS-Koordinaten oft an Geo-Informationsdienste, die dann die korrekten Orts- und Straßennamen für die Koordinaten zurückliefern. All diese Datenübertragungen sind legitim, für die Funktion notwendig und das Risiko ist überschaubar.
  • Apps, bei denen (ausschließlich) Google eine- oder mehrere Kennnummern erhält. Hintergrund dieser scheinbar paradoxen Bewertung: Diese Kennnummern erfasst Google, sobald Sie ein Google-Konto mit Ihrem Handy verknüpfen. Wenn Sie Apps aus dem Play-Store laden, erfasst Google das selbstverständlich auch. Wir bewerten dies durchaus als kritisch. Allerdings: Wenn nun eine App im laufenden Betrieb ebenfalls Kennnummern an Google sendet, erhält der Konzern damit kaum zusätzliche Informationen.
  • Zudem sind Apps, bei denen Bezahlvorgänge möglich sind (Abos, in-App-Käufe, Bezahlapps) an den Bezahldienst des Play-Stores gebunden. Dieser löst fast immer eine Datenübertragung an Google aus - auch wenn man gar nicht bezahlt.

Score 3: Mittleres Risiko

Diese Bewertung erhalten Apps, bei denen wir ein nennenswertes und vermeidbares Risiko für die Privatsphäre sehen, die sich aber nicht ungewöhnlich verhalten. Sie liegen also im - durchaus kritikwürdigen - Mittelfeld. Die meisten Apps landen hier, weil sie eindeutige Kennnummern aus dem Gerät auslesen und an den Anbieter oder an Dritte senden.

Mit Kennummern meinen wir zum Beispiel die Werbe-ID oder die Seriennummer des Gerätes. Diese Nummern sind für die Funktionalität einer App niemals notwendig, sind aber für jedes Gerät eindeutig und ändern sich nicht oder nur selten.

Sie werden erhoben, um das Gerät später im Netz oder in einer anderen App wiederzuerkennen und dann gezielt Werbung auszuspielen. Weiterhin können Informationen anhand der Kennnummer mit hinzugekauften oder bestehenden Daten verknüpft werden.

Weitere Beispiele für Score 3

  • Apps, bei denen Passwort und E-Mail-Adresse beim Anlegen eines Nutzerkontos an einen Drittanbieter gehen, landen in dieser Gruppe. Prinzipiell sollte etwas so sensibles wie E-Mail-Adresse und Passwort gar nicht an Unternehmen gesendet werden, von denen man eventuell noch nie gehört hat. Allerdings ist es nicht unüblich und mitunter technisch sogar sicherer, einen Dienstleister für die Login-Abwicklung in Apps einzubinden. Wenn diese Dienstleister nicht auch noch im Feld Nutzeranalyse, Werbung oder Marketing tätig sind, bewerten wir dieses Verhalten daher noch als mittleres Risiko.
  • Apps, die Standortinformationen an Drittanbieter senden, die im Bereich Werbung, Analyse, Marketing tätig sind, erhalten diesen Score. Allerdings nur, wenn keine weiteren Informationen mit dem Standort verknüpft sind.

Score 4: Hohes Risiko

Bei Apps mit diesem Score gibt es ernsthafte Probleme, die dringend behoben werden sollten. Der häufigste Grund, aus dem wir diesen Score vergeben, ist eine Datenübertragung ohne TLS-Verschlüsselung. Eine TLS-verschlüsselte Verbindung gehört zum absoluten Mindeststandard in Sachen Datensicherheit. Über Verbindungen ohne eine solche Transportverschlüsselung können Angreifer*innen bösartigen Code auf das Gerät einschleusen.

Apps erhalten diesen Score auch, wenn Drittanbieter aus der App neben einer Kennnummer noch weitere Informationen erhalten, die Rückschlüsse über die Nutzer*innen zulassen - zum Beispiel das Gewicht, das Alter oder den Nachnamen.

Besonders streng sind wir bei Apps, bei denen schon allein die Tatsache, dass jemand sie nutzt, Rückschlüsse auf besonders geschützte Informationen zulässt. Wer zum Beispiel eine App für Diabetiker*innen installiert hat, sagt etwas über seine Gesundheit aus, eine Koran-Gebets-App lässt auf den Glauben schließen. Selbiges gilt für Apps mit eindeutigem Bezug auf sexuelle Vorlieben oder auf die politische Überzeugung. Bei Apps aus diesen Gruppen werten wir es schon als problematisch, wenn Drittanbieter auch nur eine einzige eindeutige Kennnummer erheben.

Wenn der Anbieter der App Einträge aus dem Adressbuch ausliest oder den Standort mit einer Kennnummer kombiniert, bewerten wir das ebenfalls als problematisch. Denn bei dieser Kombination lassen sich Bewegungsprofile erstellen, die dann über die Kennnummer mit anderen Daten ergänzt und zugeordnet werden können.

Score 5: Sehr problematisch

Bei Apps mit diesem Score raten wir klar von einer Nutzung ab, weil wir große Risiken für Ihre Privatsphäre sehen.

Wir vergeben diesen Score zum Beispiel, wenn Drittanbieter den Standort des Gerätes zusammen mit einer eindeutigen Kennnummer auslesen. Bei dieser Kombination lassen sich Bewegungsprofile erstellen, die dann über die Kennnummer mit anderen Daten ergänzt und zugeordnet werden können.

Aus Bewegungsprofilen können private Informationen ermittelt werden, zum Beispiel der Wohnort. Wenn solche Informationen bei Drittanbietern landen, bewerten wir das als hochproblematisch.

Weitere Beispiele für Score 5

  • Besonders streng sind wir bei Apps, bei denen schon allein die Tatsache, dass man sie nutzt, Rückschlüsse auf besonders geschützte Informationen zulässt (Begründung Siehe Score 4). Apps aus diesen Gruppen erhalten Score 5, wenn Sie zusätzlich zu einer eindeutigen Kennnummer noch weitere Informationen erheben.
  • Wenn eine App den Namen des verbundenen WLAN-Netzes (die SSID) an den Anbieter oder auch an einen Drittanbieter überträgt, bewerten wir das ebenfalls als sehr kritisch. Denn mit diesen Informationen lässt sich der Standort des Gerätes unbemerkt bestimmen, weil der*die Nutzer*in dafür keine Berechtigung akzeptieren muss.

Score 0: Kein Internet

Dieser Score kennzeichnet Apps, die ohne die Berechtigung "Internet" auskommen und somit selbst  keine Daten über das Internet versenden können.

Diese Apps laufen bei uns außerhalb der eigentlichen Einordnung. Es gibt Funktionalitäten, die ohne Internetzugang gar nicht möglich wären. Insofern wäre es unfair, diese Apps in Sachen Privatsphäre mit Offline-Apps zu vergleichen.

Gleichzeitig haben Apps ohne Internetzugriff durchaus Charme: Sie können sich sicher sein, dass alle Daten, die Sie der App anvertrauen, auf Ihrem Gerät bleiben. Daher bieten wir Ihnen die Möglichkeit, gezielt nach solchen Apps zu suchen.