π

Die uneingeschränkten Rechte der App-Hersteller

Show Sidebar

Aktueller Anlassfall: ich habe die ÖBB hat sich grundlegend Gedanken gemacht, wie sie den Ticketkauf per Handy besser machen können. Das fand ich sehr löblich.

Aus diesem Grunde wollte ich die Android-App selbst testen. Jedoch musste ich feststellen, dass diese App weitreichende Rechte einfordert:

Damit bin ich nicht einverstanden. Insbesondere bin ich nicht einverstanden, dass die ÖBB Zugriff auf alle Dateien bekommt. Da liegen nicht nur meine eigenen sensiblen Daten 'rum, sondern auch noch alle Adressen meiner Kontakte.

Die Geschichte ist damit aber noch nicht aus.

Die Reaktion der ÖBB

Die ÖBB meldete sich löblicherweise aufgrund meines Tweets:

#ÖBB Beta #Android App will alle meine Dateien lesen: https://t.co/F6TRMJJy34
Schade - damit bin ich keinesfalls einverstanden. @unsereOEBB

— Karl Voit (@n0v0id) November 13, 2015

Per anregungen.kritik@pv.oebb.at erfuhr ich dann folgendes:

[...]
Foto-, Musik- und Videobibliotheken: Diese Berechtigung wird aus technischen Gründen zum Erstellen der Live-Kachel-Grafiken (Karten) benötigt. Es werden keine privaten Daten ausgelesen und auch keine Daten geschrieben, die für andere Apps sichtbar wären
Kontaktdaten: Diese werden nur dazu verwendet, um Ihnen die Verkehrsbindung zu oder von einem Kontakt aus Ihrem Adressbuch anzuzeigen. Es werden nur Orte, Straßen und Hausnummern übertragen. Diese Daten werden durch uns nicht gespeichert (auch nicht zwischengespeichert).
[...]
Zurückkommend auf die gegenständliche Anfrage möchten wir abschließend festhalten, dass von der ÖBB-Personenverkehr AG Informationen zur Datenverwendung gegenüber ihren Kunden umfassend und transparent erteilt werden.
In diesem Zusammenhang verweisen wir auf
- die von der ÖBB-Personenverkehr AG im Handbuch für Reisen unter Punkt D.6 veröffentlichte Datenschutzerklärung (http://www.oebb.at/static/tarife/handbuch_fuer_reisen_mit_der_oebb_in_oesterreich/index.html ) - die beim Datenverarbeitungsregister (österreichischen Datenschutzbehörde) vorgenommenen Registrierungen zu den unterschiedlichen Datenanwendungen sowie - die Veröffentlichung zum Verwendungsumfang iZm mit der Fahrplanabfrage  http://www.oebb.at/de/Reiseplanung/Fahrplanauskunft/SCOTTY_mobil/Datenschutz.jsp
Darüber hinaus finden keine weiteren Datenverwendungen durch die ÖBB-Personenverkehr AG statt.
Aus unserer Sicht wird die Datenhandhabung und der Umfang der Datenanwendung in einer für alle Kunden nachvollziehbarer und transparenten Weise geregelt, wobei dabei die Vorgaben des Datenschutzgesetzes vollumfassend Berücksichtigung gefunden haben.
Mit freundlichen Grüßen
[...]

In diesem Anwaltsdeutsch wird also recht umständlich erklärt, dass sie ja ohnehin "nur" die in den verlinkten definierten wenigen Daten anzapfen.

Einerseits ist es mir zuwider, diese Dokumente duchzulesen, zu interpretieren und auszuwerten - von wegen "nachvollziehbar und transparent". Andererseits ist dies auch nicht der springende Punkt.

Meiner Meinung nach ist es vergleichsweise so, dass die ÖBB nach meinem Hausschlüssel verlangen und behaupten, dass sie ja ohnehin nur der Ablageort meiner ÖBB Vorteilskarte interessiert. Damit können sie mir meiner Bequemlichkeit halber sagen, wo die Vorteilscard liegt, falls ich sie mal suchen sollte. Ist das nicht toll? Die ganzen anderen interessanten Sachen bei mir daheim schauen sie nicht an. Versprochen. Indianerehrenwort.

Blindes Vertrauen?

Das bedeutet in letzter Konsequenz, dass ich der ÖBB blind vertrauen muss, dass sie sich an ihre eigenen Regeln halten. Verhindern kann ich es nicht, dass sie sich selbst mehr herausnehmen. Und ein Mitspracherecht an den Regeln oder eine Kontrollmöglichkeit gibt es natürlich nicht.

Der Programmcode der App ist nicht frei verfügbar - niemand kann also nachsehen, ob das stimmt, was sie behaupten.

Android gibt mir keine sinnvolle Möglichkeit, Zugriffe sehr detailiert einzuschränken. Beispielsweise Nur-Leseberechtigung auf einzelne Ordner des Speichers. Keine Chance.

Die einzige Lösung

Die einzige logische Möglichkeit für Leute mit etwas Selbstachtung in Punkto Privatspähre ist, die ÖBB-App nicht zu installieren.

Und das tat ich auch.

Abschließend sei noch zu erwähnen, dass die ÖBB hier nur /ein/ Beispiel von Millionen darstellt. Zu viele Apps verlangen zu viele Berechtigungen. Zukünftige Android-Versionen sollen hier mehr Einschränkungsmöglichkeiten vorsehen. Doch darauf baue ich nicht, denn offensichtlich hat Google beschlossen, keiner App den Kontakt zum Internet zu verbieten: jede App bekommt volle Rechte auf Datentransfer. Finde ich auch absolut nicht OK.

Comment via email or via Disqus comments below: