Anbieter: Mit ihm sind Sie im Geschäft
Jede App, die Sie im Google Play-Store herunterladen können, hat einen Entwickler, von uns auch Anbieter genannt. Den Namen sehen Sie im Play-Store direkt unter dem Titel der App.
Wenn Sie eine App auf Ihrem Smartphone installieren, treffen Sie die Entscheidung, eine Geschäftsbeziehung mit diesem Anbieter einzugehen.
Je nachdem, um welche App es sich handelt, können Sie erwarten, dass bestimmte Daten über Sie beim Anbieter landen. Wenn Sie sich in der App zum Beispiel ein Konto mit E-Mail-Adresse und Passwort anlegen, müssen Sie damit rechnen, dass beides an den Anbieter der App übertragen wird.
Wenn Sie einen Messenger nutzen oder Inhalte in ein soziales Netzwerk hochladen, können Sie erwarten, dass diese Daten über Server des Anbieters laufen.
Drittanbieter: In der Regel unbekannt
Ein Großteil der Apps im Play-Store nehmen nicht nur Kontakt zu den Servern des Anbieters auf, sondern auch noch zu anderen Internetadressen. Die Besitzer*innen solcher Internetadressen bezeichnen wir gesammelt als Drittanbieter.
Oft handelt es sich dabei um Firmen, die zum Beispiel Werbung in der App schalten oder Nutzungsdaten analysieren. Viele dieser Drittanbieter erhalten Daten von Ihnen, zum Beispiel eindeutige Kennummern, die E-Mail-Adresse oder Standortdaten. Über unsere Filter können Sie Apps suchen, die entweder gar keine Drittanbieter kontaktieren, oder sie können Apps mit bestimmten Drittanbietern gezielt ausschließen.
Drittanbieter können viele verschiedene Funktionen haben. Wir haben sie verschiedene Hauptgruppen eingeteilt, nach denen Sie ebenfalls über unsere Filter sortieren können.
Drittanbieter-Hauptgruppen
- Marketing/Werbung: Zum Beispiel Werbenetzwerke, Unternehmen, die Werbeplätze in Echtzeitauktionen versteigern oder Agenturen, die Unternehmen helfen, Ihre Kunden gezielt anzusprechen. In dieser Gruppe werden viele persönliche Daten gesammelt. Diese Anbieter sind für die Funktionalität einer App in der Regel jedoch nicht notwendig. Auch soziale Netzwerke erscheinen in dieser Kategorie, sofern sie ihre Einnahmen durch Werbung generieren.
- Betrugserkennung / Markenschutz: Viele Dienstleister versprechen Schutz gegen sogenannten Werbebetrug. Bei Werbebetrug klicken Roboter (Bots) automatisiert auf Anzeigen und kassieren dafür Geld von den Werbetreibenden. Unternehmen, die mit "Markenschutz" werben, versprechen zu verhindern, dass die eigene Werbeanzeige neben unliebsamen Inhalten erscheint (zum Beispiel neben gewaltsamen oder pornografischen Inhalten). Dienstleister aus dieser Gruppe sammeln oft sehr viele, sehr genaue Daten vom eigenen Gerät, um festzustellen, ob es sich bei den Nutzer*innen um Menschen oder um Bots handelt.
- Technische Dienste: Zu dieser Gruppe gehören zum Beispiel Cloud-Dienste, Hosting-Unternehmen und IT-Dienstleister. Sie fragen in der Regel keine persönlichen Daten ab und sind für die Funktionalität der App notwendig.
- Sonstige: Zu dieser Gruppe gehören alle Drittanbieter, die sich nicht in den anderen drei Kategorien einordnen lassen. Oft sind es Lieferanten von Inhalten, zum Beispiel Nachrichtenangebote, Video-Blogs oder andere Medienanbieter.
Mit all diesen Anbietern stehen Sie durch die Nutzung einer App auch in einer Beziehung – meistens ohne es zu wissen. Daher bewerten wir es kritischer, wenn eine App Daten an einen Drittanbieter versendet, als wenn sie dieselben Daten an den Hersteller schickt. Denn bei Drittanbietern können Sie als Nutzer*in nicht wissen, mit wem Sie da eigentlich im Geschäft sind.
Sonderfälle: Google, Facebook, MoPub
Um Googles Play-Store zu nutzen, müssen Sie sich mit Ihrem Google-Konto dort anmelden. Über diese Verknüpfung kann der Konzern alle Informationen, die er von Ihrem Handy erhält, ihrem Google-Konto zuordnen.
Bei dieser Verknüpfung erhält Google sehr genaue Informationen über Ihr Gerät. Zusätzlich erfährt der Google, welche Apps Sie aus dem Play-Store herunterladen, wann Sie diese das erste Mal öffnen und auch, welche Apps Sie deinstallieren. Alle diese Informationen kann Google nutzen, um auf Ihre Person zugeschnittene Werbung zu schalten.
Sobald Sie den Play-Store nutzen, sind Sie also mit Google im Geschäft. Diesen Informationsaustausch bewerten wir als kritisch - er findet aber für alle Apps aus dem Play-Store gleichermaßen statt.
Google bietet darüber hinaus viele Dienste an, zu denen Apps direkt Kontakt aufnehmen können. So könnte eine App Google Maps aufrufen, um eine Landkarte in der App zu zeigen, Googles Werbeplattform Google Ads (früher Doubleclick) kontaktieren, um Werbung in der App zu schalten, den Analysedienst Google Analytics anfragen, um zu analysieren, wie Nutzer*innen die App benutzen, oder mit Crashlyics den eigenen Absturz-Analysedienst des Internetkonzerns nutzen.
Für alle diese Google-Dienste gelten dieselben Datenschutzbestimmungen. In diesen Bestimmungen räumt sich Google das Recht ein, alle erhobenen Nutzerdaten für Werbezwecke zu verwenden und zwischen Diensten und Tochterfirmen des Google-Konzerns auszutauschen.
Aus diesem Grund unterscheiden wir derzeit in unserem Testsystem nicht zwischen den unterschiedlichen Diensten und Funktionalitäten von Google.
Der Facebook-Konzern betreibt neben dem bekannten sozialen Netzwerk noch viele andere Dienste. Alle Dienste können App-Anbieter über einen Softwarebaustein (ein sogenanntes SDK) von Facebook in ihrer App integrieren.
Facebook bietet folgende Dienste an (Auswahl):
- Single Login: Nutzer*innen können sich in der App mit ihrem Facebook-Konto registrieren.
- Inhalte auf Facebook teilen: Nutzer*innen können direkt aus der App Inhalte auf Facebook teilen.
- Facebook Analytics: Der Betreiber der App erhält detaillierte Informationen darüber, was Nutzer*innen innerhalb einer App tun.
- Facebook Advertising: Betreiber der App können von Facebook Werbung in der App schalten lassen und damit Geld verdienen.
Entscheidet sich ein App-Betreiber, das SDK von Facebook für eine oder mehrere dieser Funktionen zu nutzen, so erfährt Facebook mindestens, wann Sie die betreffende App nutzen. Über die Werbe-ID werden diese Informationen zu einem Profil verknüpft und mit Informationen aus Ihrem Facebook-Konto ergänzt, falls Sie eines haben. Facebook nutzt diese Profile, um auf Ihre Person zugeschnittene Werbung zu schalten.
Da dieser Informationsaustausch für Nutzer*innen nicht klar ersichtlich ist und die erfassten Daten durch die Verknüpfung mit dem Facebookkonto nicht mehr anonym sind, bewerten wir die Datenübertragung an Facebook als besonders kritisch.
MoPub von Twitter
MoPub ist eine Tochterfirma von Twitter. Sie betreibt eine Plattform, über die App-Anbieter freie Werbeplätze in ihrer App vermarkten und damit Geld verdienen können. App-Betreiber können sich direkt dort anmelden und ihre freien Werbeplätze zur Verfügung stellen.
Diese freien Werbeplätze füllt MoPub mit Anzeigen. Dazu betreibt die Firma unter anderem eine Echtzeit-Auktionsplattform. Dort können sich sogenannte DSPs (Demand Side Plattforms) anmelden. DSPs sind Firmen, bei denen Werbetreibende ihre Anzeigen einstellen können. Die DSP vermittelt diese Anzeigen auf einen geeigneten Anzeigenplatz. Auf der Auktionsplattform von MoPub bieten derzeit rund 125 DSPs gegeneinander um geeignete Werbeplätze.
Die DSPs nennt MoPub "Partner". Jeder Partner erhält bei jeder Auktion Informationen über den zur Verfügung stehenden Werbeplatz: In welcher App und auf welchem Gerät ist der Platz verfügbar, was ist über die Nutzer*innen bekannt, wo befinden sie sich?
MoPub erhebt dazu einerseits Informationen aus der App selbst, zum Beispiel den App-Namen, Ihre Werbe-ID, Informationen über Ihr Gerät, über alle anderen installierten Apps und über Ihren Standort (anhand der IP-Adresse). Mit Hilfe der Werbe-ID werden dann weitere Informationen über Sie von so genannten "Databrokern" abgefragt. Anhand dieser Informationen entscheiden die Teilnehmer*innen der Auktion, wie viel sie für den Werbeplatz bieten möchten.
Wenn eine App mit MoPub zusammenarbeitet, erhalten also potentiell 123 andere Parteien Informationen über Sie. MoPub übernimmt dabei keine Verantwortung dafür, was diese Partner mit Ihren Daten machen, sondern verweist in der eigenen Datenschutzerklärung auf die Datenschutzerklärungen der Partner. Eine informierte Entscheidung seitens der Endnutzer*innen ist somit praktisch nicht möglich. Wir bewerten es daher als besonders kritisch, wenn eine App Verbindung zu MoPub aufnimmt.
