Die beiden Android-Apps Google Telefon und Google Messages sind sehr weit verbreitet und werden auch außerhalb der Pixel-Smartphones von vielen Nutzern verwendet. Wie nun bekannt wurde, sollen beide Apps im regen Austausch mit den Google-Servern sein und ohne Wissen der Nutzer viele Daten senden. Laut einem Bericht könnte das mit Blick auf die DSGVO problematisch sein.
Google-Produkte sind sehr stark auf die Cloud ausgelegt und die allermeisten Daten von den Kontakten über E-Mails und Google Drive-Dateien bis hin zum Standortverlauf werden auf den Google-Servern rund um die Welt gespeichert. Aber es gibt auch Daten, die die Nutzer vielleicht nicht mit Google teilen wollen – vor allem dann nicht, wenn sie nicht darüber informiert werden. Genau das soll wohl bei Google Telefon und Google Messages der Fall sein.
In einer sehr umfangreichen Untersuchung (PDF) hat ein Professor für Informatik in Dublin, Douglas J. Leith, herausgefunden, dass die beiden Kommunikations-Apps ungefragt und ohne Wissen der Nutzer Daten an die Google-Server senden. Das soll in recht großem Stil und mit großen Datenmengen geschehen, wobei in der folgenden Auflistung nur einige beispielhaft genannt werden sollen:
- SHA256 Hash jeder einzelnen versendeten Nachricht
- Telefonnummern aller eingehenden und ausgehenden Nachrichten
- Telefonnummern aller eingehenden und ausgehenden Telefonate
- Zeitstempel für ausgehende und eingehende Nachrichten
- Zeitstempel für ausgehende und eingehende Anrufe
- Dauer der ausgehenden und eingehenden Anrufe
Alles in Kombination mit den verfügbaren Nutzerdaten, sodass es eindeutig zugeordnet werden kann.
Man kann sagen, dass es sich dabei vor allem um Metadaten handelt, die sehr viele Apps über die Telemetrie sammeln und zum Teil auch mit den Entwicklern teilen. Das kann man gut finden oder weniger gut, aber es gehört heutzutage dazu. Die größte Kritik geht aber weniger von den Metadaten aus, sondern vor allem vom Hash der Nachrichten. Leigh ist davon überzeugt, dass diese mit einer gigantischen Vergleichstabelle und der heutigen Computerpower wieder Rückschlüsse auf die Nachricht geben können.
Google hat bereits darauf reagiert und viele der gesammelten Daten erklärt. Der Nachrichten-Hash wird zur Erkennung von Übertragungsfehlern benötigt, die Telefonnummern werden für die Spam-Erkennung oder die Einstufung von Nachrichten benötigt. Etwa für Einmalpasswörter. Das Event-Logging zahlreicher weiterer Aktivitäten wird benötigt, um die breite Nutzung der App zu analysieren und dementsprechend zu wissen, was die Nutzer brauchen. Auch das ist bei Google und anderen IT-Größen absoluter Standard, dass jeder Klick getrackt und ausgewertet wird.
Aus Nutzersicht ist es meiner Meinung nach kein Drama, aber dennoch könnte es aus DSGVO-Sicht etwas anders aussehen. Es werden Daten gesammelt, über die der Nutzer nicht informiert wird, zu deren Sammlung er weder zustimmen noch das Ganze abschalten kann. Mal sehen, ob da noch was kommt…
» Der Untersuchungsbericht (PDF)