Übertragene Daten

Eigene E-Mail-Adresse

Die E-Mail-Adresse wird in der Regel abgefragt, wenn Sie ein Nutzerkonto in einer App anlegen. Sie müssen Sie selbst eingeben. Sie enthält oft den eigenen Namen und stellt eine direkte Kontaktmöglichkeit dar. Wir bewerten es als kritisch, wenn Apps diese Information an Drittanbieter weitergeben.

Eigene E-Mail-Adresse (gehasht)

Hier wird die E-Mail-Adresse, die beim Test in der App angegeben wurde, zwar übertragen, aber in verschlüsselter (gehashter) Form. Dieses Verfahren gilt als besonders sicher. Sollten die gehashten E-Mail-Adressen zum Beispiel vom Server des Empfängers gestohlen werden, kann der*die Angreifer*in trotzdem nichts damit anfangen. Allerdings handelt es sich dabei nicht um eine Anonymisierung.

Geburtsdatum (Nutzerangabe)

Das eigene Geburtsdatum, das man selbst eintippt.

Geschlecht (Nutzerangabe)

Das Geschlecht, das Sie während der App-Nutzung angegeben haben.

MAC-Adresse

Mit der MAC-Adresse werden Netzwerk-Adapter identifiziert. Das sind Bauteile im Mobilgerät, die die WLAN- und Bluetooth-Verbindung herstellen. Es gibt je eine MAC-Adresse für Bluetooth und eine für den WLAN-Adapter. Die MAC-Adressen sind weltweit eindeutig und lassen somit einen eindeutigen Rückschluss auf das Gerät zu. Apps mit der Berechtigung „Netzwerkverbindungen abrufen", „Bluetooth“, "Standort (grob und genau)" sowie "Zugriff auf alle Netzwerke" können auf die MAC-Adressen zugreifen.

Mobilfunk-Teilnehmerkennung (IMSI)

Nachname (Nutzerangabe)

Den Nachnamen, den Sie zum Beispiel beim Anlegen eines Nutzerkontos in der App angegeben haben. Über den Nachnamen können Sie identifiziert werden.

Nutzerkennung im Mobilfunknetz (IMEI)

IMEI steht für „International Mobile Station Equipment Identity“. Sie identifiziert jedes Mobilgerät weltweit eindeutig und ist normalerweise fest in dessen Hardware gespeichert. Die IMEI wird beim Kontakt zum Mobilfunknetz an den Netzbetreiber übertragen. Apps, die die Berechtigung "Telefonstatus und Identität" abrufen, können darauf zugreifen.

Nutzername

Der selbst gewählte Nutzername, den man in die App eingibt.

Ortsname (GPS-basiert)

Vom Gerät per GPS ermittelter Ort, an dem man sich befindet.

Ortsname (Nutzerangabe)

Hier handelt es sich um eine Ortsangabe, die Sie selber machen. Zum Beispiel, um sich einen Ort auf der Landkarte anzeigen zu lassen, oder eine Nahverkehrsverbindung. Diese Information ist insofern weniger sensibel, als daraus kein Bewegungsprofil erstellt werden kann und diese Angabe auch nicht unbedingt Ihrem Aufenthaltsort entspricht. Unser Testsystem unterscheidet daher Standortangaben, die Nutzer selber eingeben und solche, die Apps direkt auslesen.

Passwort

Das Passwort, das Sie zum Beispiel beim Anlegen eines Nutzerkontos gewählt haben. Sollte niemals an Drittanbieter übertragen werden.

Passwort (verschlüsselt)

Wenn Sie ein Nutzerkonto anlegen, ist dafür in der Regel ein Passwort notwendig. Dieses wird meistens an den anbietenden Dienst übertragen, um Sie später zu authentifizieren. Besonders sicher ist es, wenn diese Passwörter „gehasht“ übertragen und gespeichert werden. Dabei werden die Passwörter mit einem mathematischen Verfahren so verändert, dass es nicht mehr möglich ist, auf die ursprüngliche Form zurückzurechnen. So sind die Passwörter selbst dann sicher, wenn sie vom Server des Anbieters gestohlen werden.

Postleitzahl (GPS-basiert)

Die Postleitzahl, die zum eigenen Standort gehört. Vom eigenen Gerät per GPS ermittelt.

Seriennummer des Gerätes

Wie bei den meisten technischen Geräten üblich, gibt es auch bei Android-Smartphones und -Tablets eine Seriennummer – die Device-ID. Diese Nummer ist in der Regel so gespeichert, dass sie selbst das Zurücksetzen auf Werkseinstellungen überlebt. Apps können einfach so auf diese Nummer zugreifen. Sie müssen dazu keine Berechtigung abfragen. Anwender*innen können die gespeicherte Device-ID nur mit besonderen Zugriffsrechten, so genannten Root-Rechten, ändern. Man kann die Nummer aber anzeigen lassen. Meistens ist sie in den Geräte-Einstellungen unter Über dieses Telefon → Status → Serial zu finden. Sie wird vom Hersteller der System-Software vergeben, die auch das Betriebssystem mitbringt. Ab Android 8 benötigen Apps die Berechtigung Telefonstatus und Identität abrufen, um auf die Device-ID zuzugreifen.

SIM-Kartennummer

Standortdaten (GPS-basiert)

Moderne Smartphones können ihre eigene Position bestimmen – anhand von GPS-Daten, aber auch über WLAN-Netze, Funkmasten und Bluetooth-Signale in der Umgebung. Dazu müssen die Standortdienste auf dem Gerät aktiviert sein. Ist dies der Fall, können Apps den ermittelten Standort von dem Gerät abfragen. Sie benötigen dazu die Berechtigung „Standort“, der Sie als Nutzer*in zustimmen müssen. Diese ausgelesenen Standortinformationen sind deshalb besonders heikel, weil damit Bewegungsprofile erstellt werden können. Es ist relativ einfach, einzelne Personen alleine anhand von solchen Bewegungsprofilen zu identifizieren. Daher bewerten wir es stets als kritisch, wenn solche Standortdaten an Drittanbieter gesendet werden.

Standortdaten (Nutzerangabe)

Straßenname (GPS-basiert)

Verbindungsaufbau

Zu diesem Empfänger baut die App eine Internetverbindung auf, überträgt aber keine Daten, mit denen Sie oder Ihr Gerät identifiziert werden können. Oft handelt es sich dabei um Dienstleister für App-Funktionen oder Anbieter von Inhalten, deren Geschäftsmodell nicht auf Nutzerdaten beruht. Dies ist meistens der Fall bei Hostern, bei Anbietern von sogenannten "Content Delivery Networks", welche für eine schnellere Auslieferung von Dateien sorgen, sowie für Anbieter von Funktionsbausteinen.

Vorname (Nutzerangabe)

Der Vorname, den Sie zum Beispiel bei der Anmeldung in einer App angegeben haben.

Vornamen (Nutzerangabe)

Werbe-ID

Die Werbe-ID ist eine eindeutige Identifikationsnummer für Werbezwecke, die von den Google-Play-Diensten bereitgestellt wird. Wird von Werbe- und Marketingunternehmen oft genutzt, um Informationen aus verschiedenen Quellen zu einem Profil zusammen zu führen. Sie kann vom Anwender unter „Google Einstellungen → Werbung“ (Ab Android 6.0 über Google-Konto) zurückgesetzt werden. Für den Zugriff benötigen Apps lediglich die Berechtigung „Zugriff auf alle Netzwerke“ – welche fast alle Apps anfordern.