DSGVO: Google sammelte heimlich Daten in vorinstallierten Apps

Googles Textnachrichten- und Telefonie-Apps unter Android haben persönliche Daten der Nutzer gesammelt und an das Unternehmen gesendet. Das geht aus einem Forschungsbericht des Informatikprofessors Douglas Leith vom Trinity College Dublin hervor. Den Nutzern wurde demnach weder mitgeteilt, dass die Daten gesammelt werden, noch war ein Widerspruch möglich. Damit dürfte es sich um einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) handeln. Zuerst hatte das Onlinemagazin The Register berichtet.

"Die von Google Messages gesendeten Daten enthalten einen Hash des Nachrichtentextes, der eine Verknüpfung von Absender und Empfänger in einem Nachrichtenaustausch ermöglicht", heißt es in dem Papier (PDF). "Die von Google Dialer gesendeten Daten enthalten die Anrufzeit und -dauer, was wiederum eine Verknüpfung der beiden an einem Telefonat beteiligten Handgeräte ermöglicht. Auch die Telefonnummern werden an Google gesendet".

Ebenso der Zeitpunkt und die Dauer anderer Nutzerinteraktionen wurden demnach an Google Play Services Clearcut Logger-Dienst und an den Trackingdienst Google Firebase Analytics übermittelt. "Ich war überrascht, dass diese Daten von diesen Google-Apps gesammelt wurden", sagte Leith, der seine Funde im November 2021 Google mitteilte, woraufhin mehrere Gespräche mit dem Unternehmen folgten.

In dem Forschungspapier gibt er sechs Ratschläge, die Google teils bereits umgesetzt hat oder vorhat, diese umzusetzen. So schlägt Leith vor, die Protokollierung von anrufbezogenen Ereignissen in Firebase Analytics sowohl von Google Dialer als auch von Messages zu beenden. Zudem solle die Absendertelefonnummer nicht mehr in den Logs erfasst werden. Ebenso sollten Telemetriedaten nicht mehr mit einer so langlebigen Kennung wie der Android ID erfasst werden.

Google sammelte die Daten trotz einer abgelehnten Datenerfassung

Allerdings bleibt unklar, ob Google alle Bedenken von Leith ausräumen wird: "Google hat angekündigt, eine Option in die Messages-App zu integrieren, mit der die Nutzer die Datenerfassung ablehnen können", sagte Leith. "Allerdings deckt die Ablehnung nicht die Daten ab, die Google als 'wesentlich' ansieht."

Das bedeute, dass Google auch weiterhin Daten sammeln werde, selbst wenn die Nutzer einer Datensammlung aktiv widersprochen hätten, erklärte Leith. In seinen Tests habe er bereits die Google-Option Nutzung und Diagnose in den Einstellungen des Android-Smartphones deaktiviert gehabt, die bisher übertragenen Daten habe Google daher offensichtlich bereits als wesentlich eingestuft.

Er sieht zwei grundsätzliche Probleme unter Android: "Das erste ist, dass die von Google Play Services gesendeten Protokolldaten mit der Google Android ID versehen sind, die oft mit der echten Identität einer Person verknüpft werden kann – die Daten sind also nicht anonym", sagte er. "Zweitens wissen wir sehr wenig darüber, welche Daten über die Google Play Services gesendet werden und zu welchem Zweck. Diese Studie ist die erste, die etwas Licht in diese Angelegenheit bringt, aber sie ist nur die Spitze des Eisbergs."

Google bestätigte die Datensammlung in einem Statement an The Register und betonte, man fühle sich zur Einhaltung der europäischen Datenschutzgesetze verpflichtet und wende strenge Datenschutzbestimmungen für die mittels der Apps Dialer und Messages gesammelten Daten an. Es handle sich um begrenzte Daten, um Probleme mit der Produktfunktionalität zu diagnostizieren. Zu Werbezwecken würden die Daten nicht verwendet.