»Klickt man in der TikTok-App auf einen Link, der in TikTok (etwa in der Kanalbeschreibung) gepostet wurde, wird dieser mittels des In-App-Browsers geöffnet, wodurch zahlreiche Daten an TikTok übermittelt werden, die mit dem User oder der Userin verknüpft werden, beispielsweise die vollständige URL, Zeitstempel und den Verlauf der Seiten, die im Browser aufgerufen werden.«
Meine Beobachtungen zeigen, dass Certificate-Pinning bei Apps nicht immer als Schutzmechanismus eingesetzt wird, sondern häufig dazu dient, rechtlich fragwürdige Praktiken und (kalkulierte) Datenschutzverstöße zu verschleiern. Auszug aus dem demnächst erscheinenden Artikel »In den Datenstrom eintauchen: Ein Werkzeugkasten für Tester von Android-Apps«.
Krebstherapien sind gut und wichtig. Aber, weshalb die App »Krebs Therapie Assistent Mika« unmittelbar nach dem Start personenbezogene Daten (Google-Advertising-ID) übermittelt, ist fraglich. Die Einwilligung dazu wird erst später beim Consent-Banner abgefragt. Leider zu spät.
Der Messenger »Doctolib Siilo« richtet sich an den medizinischen Bereich. Direkt nach dem Start verbindet sich die App zu:
Google Firebase
Adjust (Tracking)
Google Crashlytics (Analyse/Tracking)
Google Firebase Remote Config
Google Firebase Logging
Um Erlaubnis wird nicht gefragt. Besonders brisant: Das personenbezogene Datum (Google-Advertisting-ID) wird ausgelesen und an Adjust übermittelt. #DSGVO und #TTDSG Verstoß.
Für alle gut zu wissen: Tracker, die nicht abgewählt werden können, dürfen nur eingesetzt werden, wenn sie objektiv zwingend erforderlich sind. Es reicht nicht aus, wenn ein Anbieter diese Tracker nur dringend einsetzen will, weil sie irgendwie zum Geschäftsmodell gehören. 🧙♂️
Die aktuelle Diskussion um Outlook und die Weitergabe von Zugangsdaten und E-Mails an Microsoft ist wichtig. Noch wichtiger ist jedoch die konsequente Durchsetzung der bestehenden Gesetze, einschließlich der damit verbundenen Bußgelder. Microsoft wird nur dann reagieren, wenn es finanzielle Konsequenzen zu spüren bekommt. Bis dahin werden sie weiter behaupten, O365 sei datenschutzkonform und die Erde eine Scheibe. 😉
Dank der laschesten Datenschutzbehörde Europas (Rundfunkdatenschutzbehörde) kennt das ZDF kein Halten mehr. Bei der ZDF-Mediathek-App ist eine Erfolgsmessung nun »erforderlich« und kann nicht mehr abgewählt werden. Leseempfehlung dazu von @rufposten. 👇
Die SCHUFA bzw. der Geschäftsführer von Bonify hat mich kontaktiert. Sie haben einen »Action Plan« definiert, um die kritisierten Punkte baldmöglichst zu beheben. Wird aber sicher noch etwas dauern, nachdem @Lilith Bonify kaputt gemacht hat. 😉
Immer wieder die gleichen Anfängerfehler bei Apps zum Datenschutz. Als ob die Verantwortlichen die DSGVO / das TTDSG nur im Vorbeigehen gehört hätten. Unverantwortlich wird es aber immer dann, wenn sensible Daten verarbeitet werden. Und das tut die Bonify-App der SCHUFA. 👇
Deutsche Bahn [1], Deutsche Post [2] und Deutsche Telekom [3]. Alles große Unternehmen mit auffälligen Problemen beim Datenschutz - obwohl die Ressourcen vorhanden sein sollten, um es besser zu machen. 🙄
Auch Jahre nach Einführung der DSGVO sind Unternehmen noch immer nicht in der Lage, bestehende Datenschutzgesetze einzuhalten. Ein besonders schönes Beispiel dafür ist die App »MeinMagenta« der Telekom Deutschland GmbH. 👇
Deutsche Telekom: Die App »MeinMagenta« gibt ungefragt personenbezogene Daten an Facebook weiter, ohne Facebook/Meta in den Datenschutzhinweisen zu erwähnen. 👇
Das Datensendeverhalten der RMV-App (Rhein-Main-Verkehrsverbund) ist in Ordnung. Bevor man die App jedoch nutzt, sollte man einen Blick in die Datenschutzerklärung werfen und beim Consent-Banner die richtige Auswahl treffen! 👇