In diesem Beitrag

 

www.zdf.de/nachrichten/digitales/corona-app-google-play-datenschutz-102.html

bespreche ich die Studie Contact Tracing App Privacy: What Data Is SharedBy Europe’s GAEN Contact Tracing Apps

 von Douglas Leith und Stephen Farrell.

 

Nun war natürlich klar, dass weder die Studie noch eine Besprechung derselben Google gefallen würde. So ließ die Protest- und Beschwerdemail von Ralf Bremer, dem Senior Manager Communications & Site Lead Google Berlin, nicht lange auf sich warten. Normalerweise ist mir meine Zeit zu schade, fragwürdige Mails dieser Art von Google-Agenten zu beantworten, denn es kommt zu keinem wirklichen Dialog. Google will einfach die Berichterstattung beeinflussen bzw. kritische Berichterstattung verhindern.

 

Aber das musste ich Herrn Bremer hier mal mitteilen.

 

Meine Antwortmail an ihn:

 

 

 

 

 

 

Sehr geehrter Herr Bremer,

 

 

in Ihrer Mail vom 24. Juli 2020 geht ja so einiges durcheinander. Deshalb will ich die Dinge einmal hübsch sortieren, damit alle wissen, was hier thematisch anliegt.

 

 

Vorab: Die für Sie vermutlich schlechte Nachricht lautet, dass ich auch weiterhin über wissenschaftliche Studien rund um das Thema Privacy berichten werden, ohne bei Google vorher um eine Berichtserlaubnis nachzufragen.

 

 

Die Verfasser der Studie hatten Google übrigens ausdrücklich Gelegenheit zur Stellungnahme gegeben, so zum Beispiel: „We have informed Google of our findings and delayed publication to allow them to respond.” (3)

 

 

Ihre Einschätzung, mein ZDF-Beitrag enthalte „einige Pasagen (sic!), die so nicht den Tatsachen entsprechen oder durch Unterschlagung wesentlicher Aspekte den Leser in die Irre leiten“, ist falsch.

 

 

Ich weise diesen unbegründeten Anwurf scharf zurück, zumal Sie in dieser Hinsicht ja als Wiederholungstäter zu bezeichnen sind.

 

 

 

Dass Google hier über die Play Services ausspäht, schreiben Leith&Farrell an mehreren Stellen, z.B.

 

 

“In marked contrast, we find that the Google Play Services component of these apps is extremely troubling from a privacy viewpoint. In one “privacy conscious” configuration, Google Play Services still contacts Google servers roughly every 20 minutes, potentially allowing fine-grained location tracking via IP address. In addition, Google

 

Play services also shares the phone IMEI, hardware serial number, SIM serial number, handset phone number, the WiFi MAC address and user email address with Google, together with fine-grained data on the apps running on the phone. This data collection is enabled simply by enabling Google Play Services, even when all other Google services and settings are disabled. It therefore appears to be unavoidable for users of GAEN-based

 

contact tracing apps on Android. This level of intrusiveness seems incompatible with a recommendation for population-wide usage.” (1)

 

 

 

“In contrast to the client app component, our measurements indicate that the Google Play Services component of these contact tracings apps is troubling from a privacy point of view. Google Play Services connects to Google servers roughly every 20 minutes. These requests necessarily disclose the handset IP address to Google, a rough proxy for location, and also contain persistent identifiers that allow requests from the same device to be linked together. These requests therefore potentially allow fine-grained tracking by Google of device location over time.” (2)

 

 

 

“The broad nature of this data collection and the inability of users to change Google settings so as to opt out of it appears, on the face of it, in conflict with GDPR rules in Europe and we therefore recommend it be brought to the attention of the national data protection authorities.“ (3)

 

 

 

“Using the data sent in these p/log/batch and checkin requests, Google therefore gathers detailed, fine-grained information on how the handset is being used and can link this data to the handset hardware, SIM and user email. When combined with the fine-grained location tracking via IP address made possible by the frequent nature of the requests Google Play Services makes to Google servers its hard to imagine a more intrusive data collection setup.“ (10)

 

 

 

 

 

Sie sehen, meine Einordnung entspricht dem Kern der Aussagen der Studie. Sie sollten Ihre diesbezügliche falsche Aussage zurücknehmen.

 

 

 

Sie unterstellen mir: „Hier suggerieren Sie, Google würde Nutzungsdaten der Corona-Warn-App erhalten, um damit ‚persönliche Profile‘ zu erstellen. Das ist falsch. Wie oben ausgeführt erhält Google keine entsprechenden Informationen aus der Corona-Warn-App.“

 

 

 

Ich habe an keiner Stelle des Beitrags behauptet, dass Google Informationen aus der Corona-Warn-App erhält. Google erhält Nutzungsdaten über die Play Services. Und das passiert eben auch bei Smartphone-Besitzern, die die Corona-Warn-App installiert haben.

 

Ich darf die entsprechende Stelle meines Beitrages noch einmal in Erinnerung rufen: „Viel Lob gibt es dabei für die Corona-Warn-App, wie sie von SAP und der Deutschen Telekom entwickelt wurde, also den sogenannten Client. Der Austausch der Kontakt-IDs und die Warnung nach einer Positiv-Testung erfolgen nach dem Urteil der Forscher datenschutzfreundlich. Doch dann kommt der Riesentadel. Und der richtet sich auf die Google Play Services. Das ist eine Sammlung von Schnittstellen und Hintergrunddiensten unter anderem für den Datenaustausch. Diese Google Play Dienste müssen bei der Corona Warn App laufen, weil darüber auf die Bluetooth-Schnittstellen zugegriffen wird.“

 

Da habe ich eine völlig zutreffende Beschreibung vorgenommen. Dass die Schilderung dieses Sachverhalts Ihnen nicht gefällt, weil Ihr Haus mit einem äußerst fragwürdigen Geschäftsmodell der Datensammlung und –auswertung – und dazu gehört das massenweise Abgreifen von Smartphone-Daten über die Play Services – viel Geld verdient, ist nachvollziehbar, macht es aber nicht besser.

 

 

 

Interessant ist auch Ihre Einlassung: „Ferner unterlassen Sie es, die Leser zu informieren, warum die regelmäßige Erfassung verschiedener Daten tatsächlich erfolgt. Jegliche Geräte (nicht nur Android) benötigen diese Informationen, um auf dem neuesten Stand zu bleiben und Menschen und Systeme vor Angriffen schützen. Wie in unserer Android-Hilfe erläutert, verwenden wir die Daten, die wir über den Android-Gerätekonfigurationsdienst erheben, für unterschiedliche Zwecke.“

 

 

 

Ich habe einige dieser „unterschiedlichen Zwecke“ geschildert, und zwar nur die in Bezug auf die Studie relevanten. Das ist sachadäquat und journalistisch geboten. Ich habe ausdrücklich keine Betrachtung darüber angestellt, „warum die regelmäßige Erfassung verschiedener Daten tatsächlich erfolgt“.

 

 

 

Die Frage ist leicht zu beantworten: Google erfasst diese Daten, um sie zu monetarisieren. Allerdings habe ich mich in dem von Ihnen genannten Beitrag mit der wissenschaftlichen Studie „Contact Tracing App Privacy: What Data Is Shared By Europe’s GAEN Contact Tracing Apps” von Douglas J. Leith und Stephen Farrell auseinandergesetzt und nicht generell mit dem fragwürdigen Geschäftsmodell auf Grundlage derartiger Datensammlungen. Die Motivation, warum Google über die Play Services die von Douglas Keith und Stephen Farrell nachgewiesenen und gemessenen Daten erfasst, ist in diesem ausdrücklich nicht thematisiert.

 

 

 

Kommen wir zur letzten Ihrer Einlassungen: „Auch Ihre Ausführungen zur Rolle der Google Play Services greifen zu kurz. Sie schreiben: ‚Nutzt der Anwender die Corona-Warn-App, sind auch die Google Play Services aktiv und fragen seine personenbezogenen Daten ab.‘

 

Erneut unterstellen Sie einen Zusammenhang mit der Corona-Warn-App, den es so nicht gibt.“

 

 

 

Hier gilt es, nur eine einzige Frage zu beantworten, und zwar mit „Ja“ oder „Nein“, nämlich: Müssen die Google Play Services aktiv sein, damit die Corona Warn App laufen kann?

 

Die Antwort ist: Ja.

 

 

 

Sie sehen hoffentlich ein, dass Sie mit Ihrer Mail wieder einmal so ziemlich daneben lagen. Ihnen dies noch einmal gründlich hier mitzuteilen, wird vermutlich nicht viel bringen.

 

 

 

Denn hinter solchen Mails steckt eine Strategie der Medienbeeinflususng, die ich in meinem Beitrag „Recherchen auf der dunklen Seite“ für das Fachmagazin „Wirtschaftsjournalist“, 04/2019, ausführlich schilderte:

 

„Die zweite Medienstrategie der großen Internetkonzerne besteht darin, die Qualität von Berichterstattung und Recherche anzuzweifeln. Dieses Vorgehen, nicht selten flankiert von einer regelrechten Flut an Beschwerdemails, soll dem Journalisten, der da unbotmäßig berichtet hat, vor allen Dingen eines signalisieren: Bei unangenehmer Berichterstattung machen wir Dir so viel Arbeit, dass Du so etwas künftig lieber unterlässt.

 

Deshalb müssen wir diesen Mehraufwand, der bei Berichterstattung über Facebook, Google & Co anfällt, auch von vornherein mit einkalkulieren. Inzwischen lasse ich sogar jeden Text, in dem einer der großen Datenkonzerne auch nur erwähnt wird, von einem Medienrechtler gegenlesen. Auch die dafür benötigte Zeit muss bei der Projektplanung berücksichtigt werden.“(20)

 

Diese Zeit habe ich mir übrigens auch beim Verfertigen des hier diskutierten ZDF-Beitrags genommen. Und die von mir konsultierte Kanzlei der Rechtsanwälte kam zu der Einschätzung, meine Einordnung der Datensammelei und –auswertung durch Google als „Ausspähen“ bzw. „Ausspionieren“ sei medienrechtlich nicht zu beanstanden.

 

Mit freundlichen Grüßen

 

Peter Welchering