Nach diesen Daten suchen wir im Test

Bei der Analyse des Datensendeverhaltens von Apps finden wir viele Informationen, die nur in der Welt der Mobilgeräte auftauchen. Hier erklären wir die Daten und Kennnummern.

Datenschutzerklärung

Wir beurteilen nicht, ob die vorgelegte Datenschutzerklärung gesetzeskonform ist. Aber wir prüfen, ob im Google Play-Store überhaupt eine Datenschutzerklärung abrufbar ist und ob diese in deutscher Sprache vorliegt.

E-Mail-Adresse

Wird von Apps in der Regel abgefragt, wenn man ein Nutzerkonto anlegt. Sie enthält häufig den eigenen Namen und wird von Dienstleistern aus dem Bereich Werbung, Marketing und Nutzeranalyse dazu genutzt, Daten aus verschiedenen Quellen eine*r Nutzer*in eindeutig zuzuordnen.

Google Werbe-ID

(auch: GAID für Google Advertising ID)

Die Werbe-ID ist eine eindeutige ID für Werbezwecke, die von den Google-Play-Diensten bereitgestellt wird. Sie wird standardmäßig von Werbe- und Marketing-Firmen genutzt, um Nutzer*innen zuzuordnen und Daten aus verschiedenen Quellen zusammenzuführen.

Die Nummer ist als anonyme Kennnummer gedacht, da sie allein niemanden identifiziert. In Kombination mit anderen Daten können Nutzer*innen dennoch eindeutig erkennbar werden. Für den Zugriff benötigen Apps lediglich die Berechtigung "Zugriff auf alle Netzwerke" – welche fast alle Apps anfordern.

Sie können die Nummer in Ihrem Gerät (ab Android 6.0) ändern unter Einstellungen → Google → Werbung (manchmal auch: Anzeigen).

GSF Android-ID

Die GSF Android-ID wird vom Google Services Framework (GSF), einem Hintergrundprogramm für Googles eigene Apps, verwaltet. Handelsübliche Android-Geräte, auf denen Google-Apps vorinstalliert sind, nutzen das GSF.

Die ID wird erstellt, wenn man das Gerät das erste Mal bei einem Google-Konto anmeldet. Sie wird auf dem Gerät gespeichert und kann durch Zurücksetzen auf Werkseinstellungen gelöscht werden.

Geschützt wird sie von der Berechtigung "Google Service-Konfiguration lesen" – welche von zahlreichen Apps angefordert wird. Sie ist meist 16 Ziffern lang und besteht aus Zahlen und Buchstaben von A-F.

IMEI

(für „International Mobile Station Equipment Identity“)

Sie identifiziert jedes Mobilgerät weltweit eindeutig und ist normalerweise fest in dessen Hardware gespeichert. Die IMEI wird beim Kontakt zum Mobilfunknetz an den Netzbetreiber übertragen. Einige Netzbetreiber sperren Geräte anhand der IMEI, wenn diese als gestohlen gemeldet werden.

Es ist in Deutschland nicht verboten, sie zu ändern, könnte aber gegen Nutzungsbedingungen verstoßen. Geschieht es, um eine Straftat zu verschleiern, ist es strafbar. Apps mit der Berechtigung "Telefonstatus und Identität abrufen" können darauf zugreifen.

Kontakte

Einige Apps laden Einträge aus dem eigenen Adressbuch auf Ihre Server. Das geschieht häufig bei Diensten, bei denen sich Nutzer*innen miteinander vernetzen - etwa bei sozialen Netzwerken, aber auch bei Messengern. Mit Informationen aus dem Adressbuch können die Beziehungen der Nutzer*innen nachvollzogen werden.

Eine besondere Form der Kontaktübertragung sind Informationen, die von Visitenkarten ausgelesen werden. Dies betrifft Dienste zum Scannen und Verwalten von Visitenkarten. Wir prüfen, ob diese eingescannten Informationen auf dem Gerät bleiben oder über das Internet übertragen werden.

MAC-Adresse

Mit ihr werden die Netzwerk-Adapter identifiziert. Die Netzwerk-Adapter sind die Bauteile im Mobilgerät, die die WLAN- und Bluetooth-Verbindung herstellen. Es gibt also je Gerät eine MAC-Adresse für Bluetooth und eine für den WLAN-Adapter.

Die MAC-Adressen sind weltweit eindeutig – und lassen somit einen eindeutigen Rückschluss auf das Gerät zu. Sie sind fest im Gerät gespeichert, Nutzer*innen können sie nicht verändern. Apps benötigen die Berechtigung "Zugriff auf alle Netzwerke" um die WLAN-MAC-Adresse auslesen zu können.

Passwort

Wenn man ein Nutzerkonto erstellt, fordern Apps dazu auf, ein Passwort festzulegen. Passwörter sollten idealerweise nur in verschlüsselter Form (gehasht) übertragen werden.

Seriennummer des Gerätes

(auch: Device-ID, Hardware Serial)

Wie bei den meisten technischen Geräten üblich, gibt es auch bei Android-Smartphones und -Tablets eine Seriennummer. Diese Nummer ist in der Regel so gespeichert, dass sie selbst das Zurücksetzen auf Werkseinstellungen überlebt. Bis Android 8.0 können Apps ohne besondere Berechtigung auf diese Nummer zugreifen. Ab Android 8.0 benötigen Apps die Berechtigung "Telefonstatus und Identität abrufen", um auf die Device-ID zuzugreifen..

Anwender*innen können die gespeicherte Device-ID nur mit besonderen Zugriffsrechten, so genannten Root-Rechten, ändern. Man kann die Nummer aber anzeigen lassen. Meistens ist sie in den Geräte-Einstellungen unter Über dieses Telefon → Status → Serial zu finden. Sie wird vom Hersteller der System-Software vergeben, die auch das Betriebssystem mitbringt.

Standort

Viele Apps bieten Dienste an, die einen Ortsbezug haben, zum Beispiel die Anzeige des lokalen Wetterberichts. Aus Standortdaten können aber auch Bewegungsprofile erstellt werden, die viele Rückschlüsse auf Nutzer*innen zulassen. Zum Beispiel auf den Wohnort. Studien zeigen, dass Bewegungsprofile relativ leicht deanonymisiert werden können.

Telefonnummer

Handynummern sind weltweit eindeutig. Apps mit der Berechtigung "Telefonstatus und Identität abrufen" können darauf zugreifen. Über die Telefonnummer können Nutzer*innen direkt kontaktiert und identifiziert werden.

Weitere eingegebene Informationen

Viele Apps fragen beim ersten Öffnen zahlreiche Informationen ab. Zum Beispiel das eigene Geschlecht, das Gewicht oder die Körpergröße. Wir prüfen, ob diese Informationen auf dem Gerät bleiben oder ob die App sie über das Internet versendet.

Bei QR-Code-Scannern prüfen wir auch, was mit den Inhalten von gescannten QR-Codes geschieht.