Kinder-Apps pfeifen auf den US-Datenschutz
Drei Viertel aller Apps für Kinder verletzen den US-Datenschutz. Google vertreibt die Apps trotzdem.
"Won’t Somebody Think of the Children?", fragen nordamerikanische Forscher angesichts des häufig ignorierten Kinder-Datenschutzes.
(Bild: Tony McNeill CC BY-SA 2.0)
Der in den USA speziell für Kinder vorgeschriebene Datenschutz (COPPA) wird von den meisten ausdrücklich Kindern angebotenen Android-Apps ignoriert. Von 5.855 Kinder-Apps aus dem Google Play Store (US-Version), übertragen drei Viertel (73%) sensible, personenbezogene Daten über das Internet. 40 Prozent der Apps verzichtet zumindest zeitweise auf Verschlüsselung bei der Datenübertragung. Die gesetzlich vorgeschriebene, verifizierbare Zustimmung der Erziehungsberechtigten versuchen die Apps gar nicht erst einzuholen.
Das zeigt der Appcensus, eine laufende automatisierte App-Analyse des International Computer Science Institute und Forschern mehrerer Universitäten in Kanada und den USA. Irwin Reyes von der Universität Kalifornien Berkeley und Primal Wijesekera von der Universität Britisch-Kolumbiens haben ihre Untersuchungsergebnisse diese Woche auf dem Symposium on Usable Privacy and Security (SOUPS 2018) in Baltimore präsentiert.
Google ist über die Ergebnisse informiert, hat aber, soweit bekannt, keine der verdächtigen Apps gesperrt. heise online hat den Konzern am Mittwoch um Stellungnahme gebeten. Eine inhaltliche Antwort steht noch aus.
Designed for Families
(Bild: Daniel AJ Sokolov)
Appcensus testet laufend mehr als 80.000 Android-Apps auf datenschutzrelevantes Verhalten. Das automatisierte Verfahren testet zehn Minuten lang, ohne menschliche Intervention und ohne User-Konten anzulegen. In Googles Play Store konnten die Forscher 5.855 Apps aufstöbern, die von Google die Kennzeichnung als Kinder-App ("designed for families") erwirkt haben. Dafür müssen die App-Betreiber unter anderem erklären, sich an bestimmte Vorgaben Googles sowie die einschlägigen gesetzlichen Vorschriften zu halten.
Dazu zählt insbesondere das US-Bundesgesetz COPPA (Children’s Online Privacy Protection). Während kontext-orientierte Reklame zugelassen wird, soll es keine Werbung geben, die sich am Verhalten der Kinder orientiert. Daher wird das Sammeln personenbezogener Daten untersagt, wenn sich damit Kind, Gerät oder Konto wiedererkennen lassen. Unter anderem ist es rechtswidrig, folgende Daten zu erheben, wenn sich eine App (auch) an Kinder richtet, sofern die Erziehungsberechtigten nicht im Voraus verifizierbar zugestimmt haben: Namen oder Usernamen, Kontaktdaten, Gerätekennzeichnungen, Adressen oder Ortsdaten auf Straßenebene, Fotos, Videos oder Tonaufnahmen des Nutzers.
Datenhunger oder Ignoranz?
Fast jede fünfte Kinder-App enthält Softwarebausteine (SDK) mindestens eines Werbevermarketers oder anderen Statistikdienstes, der die Verwendung gegenüber Kindern untersagt. Diese Unternehmen wollen sich offenbar keinen Ärger mit COPPA-Verstößen einhandeln. Umgekehrt unternehmen sie aber offenbar nichts, wenn ihnen dennoch Daten aus Kinder-Apps zugeschanzt werden. Alleine dieser Teil des untersuchten App-Corpus kommt laut Play Store auf mindestens 1,6 Milliarden Installationen.
Dazu kommen fehlerhafte Implementierungen von Software-Schnittstellen (API). Beispielsweise nutzt mehr als ein Fünftel der Kinder-Apps (1.280) eine Facebook-API. Facebook hat einen eigenen COPPA-Parameter (Flag) vorgesehen und verspricht, entsprechend gekennzeichnete Daten nur im Rahmen des Erlaubten auszuwerten. Doch fast alle App-Programmierer setzen Facebooks COPPA-Parameter entweder gar nicht, inkonsistent oder sogar ausdrücklich falsch. Nur bei 75 der 1.280 getesteten Kinder-Apps mit Facebook-Verbindung wurde der Kinderbezug korrekt angegeben. Bei Schnittstellen anderer Firmen ist die Lage ähnlich.
Drohbrief des Anwalts
(Bild: Screenshot tinylabproductions.com)
Nicht alle App-Betreiber dürften wissen, dass sie Softwarebausteine oder Schnittstellen anderer Unternehmen falsch oder in unzulässiger Weise einsetzen. Die Appcensus-Betreiber berichten, dass einige Apps in Folge der Tests verbessert wurden. Andere Betreiber hingegen dürften wissen, was sie tun, sonst würden sie GPS-Daten nicht versteckt übertragen.
Das Werbenetz Ironsource löschte kurzerhand den Passus aus seinen Nutzungsbedingungen, der die Verwendung gegenüber Kindern untersagt, und schickte den Forschern einen Drohbrief. Mehrere App-Betreiber behaupten derweil, sich gar nicht an Kinder zu richten – obwohl sie bei Google um das "designed for families"-Label angesucht haben. Dazu gehören Duolingo, Miniclip und Tiny Lab. Der hier abgebildete Screenshot von der Tiny-Lab-Webseite sagt mehr als tausend Worte. (ds)
