Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Pokemon GOPokémon GO heißt der neueste Hype auf dem Smartphone: Die Augmented Reality-App versetzt kleine virtuelle Monster in die reale Welt – und bringt genauso reale Datenschutz-Bedenken mit. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam.

Via GPS stoßen die Nutzer der App auf mehr als 100 Pokémons, die sie einfangen und gegeneinander kämpfen lassen. Vor einer Woche kam das Spiel aus den USA nach Deutschland und führt seither nahezu alle App-Charts an. Kurzweilig und spaßig ist die App, dafür jedoch verlangt Pokémon GO sehr viele Zugriffsrechte: Unter Android greift Version 0.29.2 auf Identität, Kontakte, Standort, Fotos und Medien, den Speicher sowie die Kamera zu. Darüber hinaus ruft Pokémon GO Daten aus dem Internet sowie Netzwerkverbindungen ab, steuert den Vibrationsalarm, führt Pairing mit Bluetooth-Geräten durch, verwendet Konten auf dem Gerät und deaktiviert den Ruhezustand des Smartphones. „Aufgrund der Augmented Reality-Basis des Spiels ist die Vielzahl der notwendigen Berechtigungen noch verständlich. Denn um Pokémon GO nutzen zu können, ist ein Großteil der Berechtigungen unabdingbar. Aber insgesamt ist unklar, auf welche Daten die App tatsächlich zugreift und was mit ihnen passiert“, sagt Christian Heutger, Geschäftsführer der PSW GROUP.

So äußert die Entwickler-Firma Niantic, übrigens als Start-up innerhalb des Google-Konzerns gegründet, bereits beim Login, dass „bestimmte Informationen“ eingeholt werden, „die zur Identifizierung genutzt werden können“. Welche Daten wie gespeichert werden geht nicht konkret aus den Datenschutzbedingungen hervor. „Je nachdem, wie die Daten nämlich gespeichert werden, wäre es entweder extrem leicht oder extrem schwer, aus kombinierten Daten Nutzerprofile anzulegen. Durch die GPS-Informationen wird zudem jeder Wegpunkt, den der Nutzer beim Spielen zurücklegt, aufgezeichnet und gespeichert, womöglich sogar veröffentlicht oder auch an Dritte weitergegeben. Daraus lassen sich hervorragend und kinderleicht Bewegungsprofile erstellen, die nachvollziehbar werden lassen, wo der User lebt und arbeitet, wo er sich gern aufhält und auch, mit wem er befreundet ist“, veranschaulicht Heutger.

Schwammige Formulierungen: Welche Daten werden gesammelt und was passiert mit ihnen?

Zwar ist nicht alles an der Datenschutzrichtlinie negativ, denn immer hin ist sie deutschsprachig veröffentlicht und Kinder unter 13 Jahren sind durch ein Elternteil bzw. einen gesetzlichen Vertreter zu ermächtigen. „Es fällt jedoch auf, dass sich Niantic weitgehend unklar ausdrückt. Schwammige Formulierungen lassen keinen Rückschluss darauf zu, welche Daten tatsächlich gesammelt oder weitergegeben werden“, bemängelt Christian Heutger. Dies äußert sich in Formulierungen wie: „Protokolldaten können solche Informationen enthalten wie die Internetprotokoll (IP)-Adresse, Useragent, Browser-Art, Betriebssystem, die Webseite, die ein Nutzer vor dem Zugriff auf unsere Services besucht hat, die Seiten oder Funktionen unserer Services, die ein Nutzer aufgesucht hat sowie die Zeit, die er auf diesen Seiten oder mit diesen Funktionen verbracht hat, Suchbegriffe, die Links in unseren Services, die ein Nutzer angeklickt hat und weitere statistische Daten.“

Schwammig formuliert sind auch die Aufklärung über Informationen, die von Mobilgeräten gesendet werden, beispielsweise „Wir erheben bestimmte Informationen, die Ihr Mobilgerät (oder das des von Ihnen ermächtigen Kindes) sendet [...]“ oder: „Wir könnten diese Informationen nutzen, um die Services bereitzustellen und unsere Services zu verbessern [...]“. Auch wenn es um die Weitergabe von Informationen an Drittanbieter geht, fällt der Konjunktiv extrem auf: Nahezu jeder Absatz beginnt mit „Wir könnten…“. „Es sträuben sich mir die Nackenhaare, wenn ich lesen muss, dass jegliche Informationen über den Spieler, die sich im Besitz von Niantic oder in dessen Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte weitergegeben werden, wenn das Unternehmen dies nach eigenem Ermessen für notwendig und angemessen erachtet“, kritisiert Heutger.

„Die Datenschutzrichtlinie ist ganz nach dem Motto "Friss, oder stirb" gestaltet: Entweder der Nutzer lässt sich gefallen, dass seine Daten wichtiger als deren Schutz sind, oder er fängt gar nicht erst an zu spielen. Denn einmal angemeldet, verbleiben gesammelte Daten selbst nach Löschung des Spiel-Accounts beim Entwickler, werden archiviert und munter weiterverwendet. In welchem Land das geschieht, ist unklar“, so das Fazit des IT-Sicherheitsexperten.

Weitere Informationen finden Sie hier.

www.psw-group.de
 

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security