Mozilla Studie: Die Datenschutz-Label für die meisten der Topp-Apps im Google Play Store sind falsch oder irreführend

*Datenschutz nicht inbegriffen-Forscher*innen decken Diskrepanzen zwischen Google Play Stores Datenschutz-Label und Datenschutzrichtlinien von fast 80 % der geprüften Apps auf

Google Play Stores Datenschutz-Label geben an, dass weder TikTok noch Twitter Ihre Daten an Dritte weitergeben. Die Datenschutzrichtlinien beider Apps geben jedoch explizit an, dass Nutzer*inneninformationen mit Werbetreibern, Internetserviceanbietern, Plattformen und zahlreichen anderen Arten von Unternehmen geteilt werden.

Dies sind zwei der ungeheuerlichsten Beispiele, die Mozillas *Datenschutz nicht inbegriffen-Forscher*innen als Teil einer Studie aufdeckten, in der sie der Frage nachgingen, ob die Datenschutz-Label aus dem Google Play Store Konsument*innen mit zutreffenden Informationen darüber versorgen, ob Apps ihre personenbezogenen Daten sammeln, nutzen und weitergeben. Bei fast 80 Prozent der geprüften Apps waren Mozillas Recherche zufolge die Labels falsch oder irreführend, basierend auf Diskrepanzen zwischen den Datenschutzrichtlinien und den Informationen, die die Apps selbst über ein Google Datenschutz-Formular bereitgestellt hatten. Die Forscher*innen zogen daraus den Schluss, dass Verbraucher*innen mit diesem System keine Hilfe dabei erhalten, fundiertere Entscheidungen in Bezug auf den Schutz ihrer Daten zu treffen, bevor sie eine der 2,7 Millionen Apps im Google Play Store kaufen oder herunterladen.

Die Studie „See No Evil: How Loopholes in the Google Play Store's Data Safety Labels Leave Companies in the Clear and Consumers in the Dark“ deckt schwerwiegende Schlupflöcher im Datenschutz-Formular auf, die es Apps leicht machen, falsche oder irreführende Informationen anzugeben. So nimmt Google beispielsweise Apps, die Daten mit „Dienstanbietern“ austauschen, von Offenlegungspflichten aus, was sowohl aufgrund der engen Definition von Dienstanbietern als auch aufgrund der großen Menge an Verbraucher*innendaten, um die es geht, problematisch ist. Google entbindet sich selbst von der Verantwortung, zu überprüfen, ob die Informationen der Wahrheit entsprechen, indem es erklärt, dass Apps „für die Abgabe vollständiger und genauer Erklärungen“ in ihren Datenschutz-Labels verantwortlich sind.

Für die Studie verglich Mozilla die Datenschutzrichtlinien und Labels von 20 der beliebtesten kostenpflichtigen und kostenlosen Apps im Google Play Store. Die Labels wurden dann mit „Ungenügend“, „Verbesserungen nötig“ oder „OK“ bewertet. Apps, die eine „Ungenügend“-Bewertung erhielten, wiesen massive Diskrepanzen im Datenschutz-Formular in Bezug darauf auf, welche Art von Daten weitergegeben oder gesammelt werden und zu welchem Zweck. Bei Apps mit der Note „OK“ stimmten die Datenschutzrichtlinie gut mit den Angaben im Datenschutz-Formular überein. Apps mit der Bewertung „Verbesserungen nötig“ liegen irgendwo dazwischen. Die Studie ergab:

• Bei fast 80 % der Apps fand Mozilla Diskrepanzen zwischen den Datenschutzrichtlinien der Apps und den Informationen, die die Apps selbst über das Google Datenschutz-Formular bereitgestellt hatten.
• 16 von 40 Apps oder 40 % erhielten die Beurteilung „Mangelhaft“, darunter auch Minecraft, Twitter und Facebook.
• 15 Apps – 37,5 % – erhielten eine mittlere Beurteilung, „Verbesserungen nötig“, darunter YouTube, Google Maps, Gmail, WhatsApp Messenger und Instagram.
• Nur 6 von 40 Apps oder 15 % erhielten eine Beurteilung „OK“. Diese Apps waren: Candy Crush Saga, Google Play Games, Subway Surfers, Stickman Legends Offline Games, Power Amp Full Version Unlocker und League of Stickman: 2020 Ninja.
• 3 Apps, UC Browser - Safe, Fast, Private; League of Stickman Acti; und Terraria füllten das Formular gar nicht aus.

„Die Verbraucher*innen legen Wert auf den Schutz ihrer Daten und möchten beim Herunterladen von Apps intelligente Entscheidungen treffen. Die Datenschutz-Labels von Google soll ihnen dabei helfen. Leider tun sie das nicht. Stattdessen befürchte ich, dass sie mehr schaden als nützen“, so Jen Caltrider, Projektleiterin bei Mozilla. „Wenn ich Datenschutz-Labels sehe, die besagen, dass Apps wie Twitter oder TikTok keine Daten mit Dritten teilen, macht mich das wütend, weil es gar nicht stimmt. Natürlich geben Twitter und TikTok Daten an Dritte weiter. Die Verbraucher haben etwas Besseres verdient. Google muss es besser machen.“

Caltrider fügte hinzu: „Die irreführenden Datenschutz-Label des Google Play Stores wiegt Verbraucher*innen in trügerischer Sicherheit. Ehrliche Nährwertkennzeichnungen helfen uns, besser zu essen. Es ist an der Zeit, dass wir ehrliche Datenschutz-Label haben, damit wir unsere Privatsphäre besser schützen können.“

Mit Hinweis auf eine Untersuchung der Washington Post aus dem Jahr 2021, in der ähnliche Probleme mit den Kennzeichnungen im Apple App Store festgestellt wurden, erklärte Caltrider, dass die Studie auch die Frage aufwirft, ob Google und Apple die Sicherheit von Apps in ihren Stores objektiv überwachen können. Google Play und der App Store erwirtschafteten im Jahr 2021 einen Bruttoumsatz von ca. 48 Milliarden US-Dollar bzw. 60 Milliarden US-Dollar mit mobilen Apps. Nachdem die Biden-Administration beide App-Stores beschuldigt hat, „eine bedeutende Gatekeeping-Rolle zu spielen, indem sie kontrollieren (und einschränken), wie Apps verbreitet werden“, sagte Caltrider. Es sei wichtig, dass die Tech-Industrie Schritte unternimmt, um standardisierte Datenschutz-Labels zu schaffen, ähnlich wie die Nährwertkennzeichnungen, die man jetzt auf verpackten Waren und Fast-Food-Speisekarten findet.

„Die Geschichte der Nährwertkennzeichnung zeigt, dass es möglich ist, ein standardisiertes System zu schaffen, das Teil des kulturellen Gefüges wird und einen positiven Einfluss auf das tägliche Leben der Menschen hat“, so Caltrider.

Um das Problem zu lösen, empfiehlt Mozilla, dass Google und Apple ein universelles, standardisiertes Datenschutzsystem auf ihren Plattformen einführen. Mozilla empfiehlt außerdem, dass die Unternehmen ihre Durchsetzungsmaßnahmen gegen Apps, die sich nicht daran halten, ausweiten und erläutern und eine gewisse Verantwortung für die Richtigkeit der von den Apps gemeldeten Informationen übernehmen.

Die Studie baut auf Mozillas laufender *Datenschutz nicht inbegriffen-Initiative auf, einer doppelten Bemühung, die Verbraucher*innen mit den Informationen auszustatten, die sie zum Schutz ihrer Privatsphäre benötigen, und gleichzeitig die Tech-Industrie dazu zu bewegen, mehr für den Schutz der Verbraucher*innen zu tun. Seit 2017 hat Mozillas Projekt den Datenschutz und Sicherheit von mehr als 100 Apps und 300 mit dem Internet verbundenen Geräten überprüft.