Das App-Entwicklerstudio Path wurde aus Datenschutzgründen abgestraft, nachdem es zugegeben hatte, dass es die Adressbücher seiner Kunden auf die eigenen Server lädt und speichert. Damit haben sie nun aufgehört und die betroffenen Daten gelöscht - das eigentliche Problem ist jedoch noch nicht gelöst. In der Tat ist es gängige Praxis bei App-Entwicklern, die Adressbücher der Kunden zu speichern.

Apple - Datenschutzskandal: App-Entwickler stehlen Adressbücher der Kunden

alle Bilderstrecken
Weitere Bilder zuApple
Wischen für nächstes Bild, klicken um Infotext ein- / auszublendenBild 1/2Bild 105/1061/106
Apple sichert die Adressdaten der Kunden nur sehr unzureichend.
mehr Bildersteckenalle Bilderstrecken

Dustin Curtis berichtet in seinem Weblog von diese Praxis - die in der Allgemeinheit nicht wirklich bekannt ist und die ein um so größeres Datenschutzproblem mit sich bringt.

Wie es scheint, ist es unter vielen iOS-Entwicklern gängige Praxis, das komplette Adressbuch der Nutzer auf eigene Server zu laden und es in Zukunft als Referenz zu benutzen. Für Nutzer von Apples Geräte heißt das, dass das eigene Adressbuch mittlerweile auf den Servern von vielen verschiedenen Entwicklerfirmen liegen dürfte. Angeblich werden diese Daten genutzt, um die Funktionsweisen der Apps zu verbessern. Wie und auf welche Art und Weise wird aber keineswegs klar.

Wie Curtis schreibt, hat er auf die Schnelle 15 Entwickler befragt und 13 erklärten, dass sie Kontaktdatenbanken mit mehreren Millionen Einträgen haben. Eine dieser Firmen hat sogar die Handynummern von Mark Zuckerberg und Bill Gates. All diese Daten sind natürlich nicht dazu gedacht gewesen, veröffentlicht zu werden. Man kann schließlich eine gewisse Privatsphäre erwarten, wenn es um das eigene Adressbuch geht.

Es ist fraglich, warum Apple diese Praxis, das Adressbuch der Nutzer jederzeit und ohne deren Erlaubnis einfach zu stehlen. Bei Android läuft das gänzlich anders - dort benötigt jede App die explizite Erlaubnis des Nutzers, um auf die lokal gespeicherten Kontaktdaten zuzugreifen. Bei iOS sind dafür alle anderen Datenquellen, die auch nur ansatzweise privat sein könnten, stark gesichert. Die Apps können nicht einmal auf die Fotos im Bilderspeicher zugreifen, ohne dass der Nutzer es ihnen explizit erlauben würde. Außerdem gibt es eine ganze Menge Einstellungsmöglichkeiten, die den Nutzern die Kontrolle darüber erlauben, welche Apps Zugriff auf Ortungsdaten haben dürfen. In Anbetracht all dieser Sicherheitsvorkehrungen ist es unglaublich verwundernd, dass das Adressbuch überhaupt nicht geschützt wird.

Es ist außerdem sehr fragwürdig, warum die Entwickler trotz der Wahrscheinlichkeit, das es zu größeren, öffentlichen Protesten kommt, nach wie vor die Adressbücher ihre Kunden auf ihre Server laden. Möglicherweise überwiegen hier die Vorteile die Nachteile, denn immerhin lassen sich die gesammelten Daten zum einen dazu verwenden, die Nutzererfahrung zu verbessern, zum anderen aber auch als Instrumente für virales Marketing und das Wachstum Nutzerzahl. Path nutzte die Adressdaten beispielsweise dazu, um „Freunde hinzuzufügen“, sodass man seine Kontakte einladen konnte, die Anwendung zu benutzen.

Nicht selten kommt es aber nur zu sehr kurzen Auseinandersetzungen mit dem Thema und nach einer Weile wird es dann wieder totgeschwiegen. Es gerät schlicht in Vergessenheit, dass die Entwickler die Adressbücher speichern und alle nutzen die Anwendungen völlig blauäugig und ohne weiter darüber nachzudenken.

Apple könnte hier durchaus verhindern, dass diese sensiblen Daten einfach so verwendet werden können. Das ist ein massiver Vertrauensbruch seitens des kalifornischen Herstellers, denn die Leute vertrauen darauf, dass ihre Daten in den Geräten geschützt sind. Es ist eine grobe Sicherheitsverletztung, dass es jeder beliebigen Anwendung erlaubt ist, Zugriff auf das Adressbuch zu nehmen.

Für Deutschland entsteht hier auf zweierlei Art und Weise ein noch viel größeres Problem mit den Adressdaten: Nach deutschem Datenschutzrecht ist es eine Ordnungswidrigkeit, personenbezogene Daten ohne die Einwilligung des Inhabers an Dritte weiterzugeben. Kopiert nun eine App das Adressbuch, passiert genau das. Hier ist man als Anwender wohl oder übel fein raus, denn man gibt die Daten ja nicht bewusst weiter, für die Entwickler, die sich dieser Informationen aber einfach bemächtigen, sieht das weit aus schwieriger aus.

Ein weiteres Problem ist allerdings die Verwendung der iCloud-Dienste. Hier werden die Adressdaten (personenbezogene Daten) ganz bewusst von den Nutzern an einen Dritten (Apple) weitergegeben und zudem noch online gespeichert. Um eine bewusste Einwilligung zur Speicherung der Daten abgeben zu können, müsste man allerdings genau wissen, wie die Daten gespeichert werden, wie sie geschützt werden, wer darauf Zugriff haben könnte und was überhaupt genau mit ihnen geschieht. Und? Wer hat all seine Kontakte, die er im Adressbuch gespeichert hat, gefragt, ob er ihre Daten an Apple weitergeben darf? Da die Angelegenheit durchaus Konfliktpotenzial beinhaltet, haben wir das Bayrische Landesamt für Datenschutzaufsicht um weitere Ermittlungen gebeten, da dieses für Apple in Deutschland zuständig ist.