So ziemlich jeder von euch hat ein Smartphone und nutzt auf diesem auch Apps. Die hinter diesen Apps stehenden Entwickler und Unternehmen haben fast immer ein Interesse daran zu erfahren, wie ihr diese benutzt, auf welche Fehler ihr stoßt und so weiter. Dafür muss man natürlich auch Daten sammeln, ohne geht halt nicht. Das sollte bzw. muss euch bekannt sein. In nahezu allen Fällen gibt es entsprechende Klauseln in den Datenschutzrichtlinien, dass Analyticstools eingesetzt werden.
Die Kollegen von TechCrunch sind nun aber auf einen Fund gestoßen, der dann doch etwas anrüchig ist. Apps wie Expedia, Air Canada, Hollister und Co. nutzen einen Dienst namens Glassbox, der nicht nur die üblichen Daten erfasst, sondern in der Lage ist, jeden Druck aufs Display, jeden Swipe, Tastatureingaben und Co. aufzunehmen und dem Entwickler bereitzustellen. Alles kein Problem, wenn der Nutzer darüber im Vorfeld informiert würde und basierend darauf entscheiden kann, ob er die App benutzt oder nicht. Ist aber leider nicht immer der Fall.
Nehmen wir das Beispiel Air Canada. Weder in den Nutzungsbedingungen noch in den Datenschutzrichtlinien wird etwas über Screenrecording erwähnt. Es findet sich lediglich der übliche allgemeine Absatz zu Analytics-Technologien:
Jedes Mal, wenn Sie aircanada.com aufrufen, werden ebenfalls einige Informationen automatisch erfasst (z. B. Cookies und Webbeacons). Wir und unsere Marketing-Partner, verbundenen Unternehmen, Analyse- oder Dienstanbieter verwenden Technologien wie Cookies, Webbeacons, Tags und Skripte, um Trends zu analysieren, die Website zu verwalten, das Nutzerverhalten auf der Website zu verfolgen und andere demografische Informationen über die Gesamtheit der Benutzer zu erfassen. Es kann sein, dass diese Unternehmen uns über die Verwendung dieser Technologien auf individueller oder aggregierter Basis Bericht erstatten.
Laut Glassbox selbst, muss man Screen Recording auch nicht separat erwähnen, da Glassbox als Dienst keinen Zugriff auf die Daten hat. Diese werden jedoch zum Teil in die Glassbox Cloud gesendet, ein gewisses „Geschmäckle“ hat die Sache also.
“Glassbox has a unique capability to reconstruct the mobile application view in a visual format, which is another view of analytics, Glassbox SDK can interact with our customers native app only and technically cannot break the boundary of the app,” … “Glassbox does not have access to it,”
Unter Nutzung von Glassbox ist der Entwickler auch in der Lage eure Eingaben in einem sogenannten Screen-Replay komplett nachzuvollziehen inklusive Kreditkarten-Daten und Co. Normalerweise werden sensible Daten in so einem Fall maskiert, wie TechCrunch herausfand ist auch das nicht immmer gegeben.
In einem Statement gegenüber den Kollegen äußerte sich Air Canada dahingehend, dass Daten nur innerhalb der Air Canada-App gesammelt werden und das für die Entwicklung notwendig sei.
“Air Canada uses customer provided information to ensure we can support their travel needs and to ensure we can resolve any issues that may affect their trips,” … ” This includes user information entered in, and collected on, the Air Canada mobile app. However, Air Canada does not—and cannot—capture phone screens outside of the Air Canada app.”
Am Ende bleibt ein mulmiges Gefühl. Man kann als Nutzer nichts weiter tun, als die Datenschutzrichtlinien und Nutzungsbedingungen der Apps wirklich zu lesen und darauf zu hoffen, dass das Unternehmen keinen Schabernack mit den Daten anstellt. Auch kann man nicht alle Betreiber über einen Kamm scheren, schwarze Schafe gibt es leider immer.