Kinder-Tracking mit „Schutzranzen“ – Amazon, Google, Microsoft & Co. bekommen Daten
Wir haben uns die „Schutzranzen“-Apps und -Website näher angeschaut und festgestellt: Die Datenweitergabe wird alles andere als transparent kommuniziert.
Mitzeichnen: „VW muss Kinder-Überwachung stoppen!“
Unseren offenen Brief an die Unternehmen hier unterschreiben, damit die Überwachung von Grundschulkindern aufhört!
Wichtig ist: Keine „Schutzranzen“ und keine zukünftigen Projekte dieser Art!
Damit wir uns nicht falsch verstehen: Selbst wenn „Schutzranzen“ alle Regeln von Datenschutz und Datensicherheit vorbildlich umsetzen würde – wir würden trotzdem fordern, dass die Projekte zur Kinderüberwachung eingestellt werden. Eine Erziehung zu Freiheit und Mündigkeit geht nicht unter ständiger Kontrolle durch die Eltern. Dass die Standortdaten der Kinder auch zu Warnungen in Smartphones mit der Autofahrer-App und in Bediensystemen neuer VW-Modelle verarbeitet werden, macht es noch geschmackloser. Damit werden Kinder regelrecht zu einem Gegenstand im Internet der Dinge degradiert. In so einer Welt wollen wir nicht leben. Wie grob hierbei Grundsätze von Datenschutz und Datensicherheit missachtet werden, setzt dem ganzen nur die Krone auf.
Datenschutzbestimmungen: Über Nacht geändert, immer noch schlecht
Am 17. Januar haben wir festgestellt, dass auf der Website von „Schutzranzen“ plötzlich andere Datenschutzbestimmungen stehen, nun mit Stand November 2017, die vorherigen waren von November 2014.
Wir haben ein PDF mit der alten und neuen Fassung im Vergleich erstellt.
In den Datenschutzbestimmungen der Schutzranzen-Website und -Apps finden sich mehrere widersprüchliche Angaben zur Datenweitergabe an Dritte und dem Ort, an dem Daten gespeichert und verarbeitet werden. In der alten Version hieß es an einer Stelle: „Wir geben zu keinem Zeitpunkt deine Daten an Dritte weiter, insbesondere nicht zu Werbe- und Marketingzwecken, es sei denn du erklärst dich vorher ausdrücklich damit einverstanden.“ Der letzte Halbsatz zum Einverständnis wurde in der neuen Version gestrichen.
Aktuell finden sich noch diese Formulierungen:
- „Wir geben deine Daten niemals ohne vorherige Zustimmung an Dritte weiter.“
- „In keinem Fall werden wir personenbezogene Daten zu Werbe- oder Marketingzwecken an Dritte weitergeben.“
- „Alle von dir bewusst in der Schutzranzen-App eingegebenen Daten wie dein Vorname, der auch ein Synonym (sic!) sein kann, deine Mobilnummer, werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert.“
In einem Absatz zu Nutzungsprofilen heißt es, „Bei der Nutzung der Schutzranzen-App erstellen wir zur Verbesserung von Schutzranzen, Nutzungsprofile unter Verwendung von Pseudonymen“, noch im selben Passus wird angegeben: „Alle Nutzungsprofile werden anonymisiert.“ Wir wollen wissen, was zutrifft: Anonym, Pseudonym? Und welche Verfahren werden dazu benutzt? Eine telefonische Nachfrage bei dem Besitzer des Startups blieb ergebnislos. Immerhin ist laut Datenschutzbestimmungen ein Opt-Out aus dem Anlegen von Nutzungsprofilen möglich, durch eine formlose Mitteilung des Widerspruchs.
Werden Grundschulkinder direkt angesprochen?
Auffällig ist auch, dass in den Datenschutzbestimmungen geduzt wird, daran hat sich nichts geändert. Einige Details bestärken den Verdacht, dass Kinder angesprochen werden: „Dein aktueller Standort wird mit Hilfe deines Smartphones geortet (GPS-Daten) und an Mitglieder deiner Familie übermittelt“. In den aktuellen Pilotprojekten sind Grundschüler betroffen, deren Alter sich vermutlich auf maximal elf Jahre beläuft. Daher haben wir starke Zweifel, ob sie in der Lage sind, die Datenschutzbestimmungen zu verstehen und eine informierte Einwilligung abzugeben.
Unterstützen Sie die gute Sache: Freiheit, Grundrechte und Demokratie.
Viele Menschen engagieren sich bei uns in ihrer Freizeit, seien auch Sie dabei!
Bleiben Sie auf dem Laufenden über unsere Arbeit und unsere Themen.
Website und Apps benutzen Google Analytics
Auf die Nutzung des Webstatistik-Tools Google Analytics wird in den Datenschutzbestimmungen hingewiesen. Auch Cookies werden dort erklärt und dass damit Nutzungsdaten an Google-Server in den USA gehen. Unverständlich ist jedoch, warum offenbar , nirgendwo jedoch findet sich das Kürzel für die Anonymisierung der IP-Adressen. In den Datenschutzbestimmungen von Schutzranzen selbst heißt es, dass „in Ausnahmefällen“ ungekürzte IP-Adressen an die US-Server geschickt werden. Wieso? Und welche Ausnahmefälle sind das?
IP-Anonymisierung nicht aktiviert ist. Der Blick in den Quelltext der Website zeigt, dass Google Analytics genutzt wird„Schutzranzen“-Apps: 1&1, Akamai, Amazon, Facebook, Google und Microsoft lesen mit
Bereits bei einer ersten Untersuchung mit der freien App „Net Monitor“ haben wir festgestellt, dass die Angaben zur Datenweitergabe an Dritte nicht stimmen können: Screenshots belegen, dass die Kinder-App Daten an Amazon-Server in den USA sendet. Außerdem kontaktiert werden Server bei Akamai, Google, Microsoft und 1&1. Die Autofahrer- und Eltern-App kontaktieren sogar Facebook. Womöglich sind es noch mehr, denn je länger die Kinder-App läuft, desto mehr kontaktierte Server kommen unserer Beobachtung nach dazu. Die hier genannten haben wir im Zeitraum bis 17.1.2018 gefunden.
Datensicherheit: mangelhaft.
Bei näherer Begutachtung haben wir auch Schwachstellen in der Datensicherheit festgestellt. Die Bestandsdaten der Kinder und anderer App-Nutzer.innen und deren Positionsdaten sind hochsensibel. Deshalb wollen wir darüber keine Details veröffentlichen. Unser Ziel ist nicht, Überwachung von Kindern auf Datensicherheit zu optimieren. Unser Ziel ist eine freie Gesellschaft, in der Kinder zu überwachen und die Positionsdaten in Bediensysteme von Autos einzuspeisen als der Übergriff gesehen wird, der es ist.
Deshalb fordern wir von den beteiligten Unternehmen: „Kinder-Tracking stoppen!“
Unsere Recherche in Bildern.
Screenshots aus den Untersuchungen der Apps und der Server, die sie kontaktieren.
Diese Berechtigungen fordert die Kinder-App von „Schutzranzen“ u.a..
Diese Berechtigungen fordert die Kinder-App von „Schutzranzen“ u.a..
Diese Berechtigungen fordert die Kinder-App von „Schutzranzen“ u.a..
Mit QR-Codes kann das Kind bis zu 5 Personen „erlauben“ seinen Standort zu überwachen.
Ausschnitt aus dem Disclaimer: „The use of the App is for entertainment purposes only; (…) The User must therefore not rely upon the warning functions or missing warn-ings.“
Die Kinder-App kontaktiert Amazon-Server.
Die Autofahrer-App kontaktiert Facebook.