Digitalcourage, CC BY SA 2.0

Unsere Arbeit lebt von Ihrer Unterstützung

Wir freuen uns über Spenden und neue Mitglieder.

Wir haben uns die „Schutzranzen“-Apps und -Website näher angeschaut und festgestellt: Die Datenweitergabe wird alles andere als transparent kommuniziert – Facebook, Microsoft, Amazon & Co. bekommen Daten. Intransparent ist auch: Mitte Januar hat das Startup die Datenschutzbestimmungen geändert. Verbessert hat sich dadurch allerdings nichts.

Was weiterhin fehlt: An keiner Stelle wird darüber aufgeklärt, dass die größten Datensammel-Konzerne der Welt Daten bekommen. Die Apps kontaktieren nach unseren Beobachtungen Server bei 1&1, Akamai, Amazon, Facebook, Google und Microsoft; die Website übermittelt ungekürzte IP-Adressen für Nutzungsanalysen an Google-Server in den USA
Eltern, Schulen und Lehrer.innen werden nicht umfassend über die Datenweitergabe von „Schutzranzen“ informiert. All das nimmt die Volkswagen AG und die anderen Partner des Startups anscheinend in Kauf. Screenshots aus den Apps zeigen wir in einer kommentierten Bildergalerie am Ende dieses Artikels.
 

Mitzeichnen: „VW muss Kinder-Überwachung stoppen!“

Unseren offenen Brief an die Unternehmen hier unterschreiben, damit die Überwachung von Grundschulkindern aufhört!

Wichtig ist: Keine „Schutzranzen“ und keine zukünftigen Projekte dieser Art!

Damit wir uns nicht falsch verstehen: Selbst wenn „Schutzranzen“ alle Regeln von Datenschutz und Datensicherheit vorbildlich umsetzen würde – wir würden trotzdem fordern, dass die Projekte zur Kinderüberwachung eingestellt werden. Eine Erziehung zu Freiheit und Mündigkeit geht nicht unter ständiger Kontrolle durch die Eltern. Dass die Standortdaten der Kinder auch zu Warnungen in Smartphones mit der Autofahrer-App und in Bediensystemen neuer VW-Modelle verarbeitet werden, macht es noch geschmackloser. Damit werden Kinder regelrecht zu einem Gegenstand im Internet der Dinge degradiert. In so einer Welt wollen wir nicht leben. Wie grob hierbei Grundsätze von Datenschutz und Datensicherheit missachtet werden, setzt dem ganzen nur die Krone auf. 

Datenschutzbestimmungen: Über Nacht geändert, immer noch schlecht

Am 17. Januar haben wir festgestellt, dass auf der Website von „Schutzranzen“ plötzlich andere Datenschutzbestimmungen stehen, nun mit Stand November 2017, die vorherigen waren von November 2014.
Wir haben ein PDF mit der alten und neuen Fassung im Vergleich erstellt.

In den Datenschutzbestimmungen der Schutzranzen-Website und -Apps finden sich mehrere widersprüchliche Angaben zur Datenweitergabe an Dritte und dem Ort, an dem Daten gespeichert und verarbeitet werden. In der alten Version hieß es an einer Stelle: „Wir geben zu keinem Zeitpunkt deine Daten an Dritte weiter, insbesondere nicht zu Werbe- und Marketingzwecken, es sei denn du erklärst dich vorher ausdrücklich damit einverstanden.“ Der letzte Halbsatz zum Einverständnis wurde in der neuen Version gestrichen.
Aktuell finden sich noch diese Formulierungen:

  • „Wir geben deine Daten niemals ohne vorherige Zustimmung an Dritte weiter.“
  • „In keinem Fall werden wir personenbezogene Daten zu Werbe- oder Marketingzwecken an Dritte weitergeben.“
  • „Alle von dir bewusst in der Schutzranzen-App eingegebenen Daten wie dein Vorname, der auch ein Synonym (sic!) sein kann, deine Mobilnummer, werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert.“

In einem Absatz zu Nutzungsprofilen heißt es, „Bei der Nutzung der Schutzranzen-App erstellen wir zur Verbesserung von Schutzranzen, Nutzungsprofile unter Verwendung von Pseudonymen“, noch im selben Passus wird angegeben: „Alle Nutzungsprofile werden anonymisiert.“ Wir wollen wissen, was zutrifft: Anonym, Pseudonym? Und welche Verfahren werden dazu benutzt? Eine telefonische Nachfrage bei dem Besitzer des Startups blieb ergebnislos. Immerhin ist laut Datenschutzbestimmungen ein Opt-Out aus dem Anlegen von Nutzungsprofilen möglich, durch eine formlose Mitteilung des Widerspruchs.

Datum: 22.01.2018

Text: Kerstin Demuth & Christian Pietsch

Kerstin Demuth

Grid imageDigitalcourage, CC BY SA 2.0

Kerstin ist Campaignerin und Redakteurin. Sie schreibt Newsletter, Fundraisingbriefe und füttert das Blog mit Beiträgen zu aktuellen netzpolitischen Themen.

E-Mail: kerstin.demuth

Werden Grundschulkinder direkt angesprochen?

Auffällig ist auch, dass in den Datenschutzbestimmungen geduzt wird, daran hat sich nichts geändert. Einige Details bestärken den Verdacht, dass Kinder angesprochen werden: „Dein aktueller Standort wird mit Hilfe deines Smartphones geortet (GPS-Daten) und an Mitglieder deiner Familie übermittelt“. In den aktuellen Pilotprojekten sind Grundschüler betroffen, deren Alter sich vermutlich auf maximal elf Jahre beläuft. Daher haben wir starke Zweifel, ob sie in der Lage sind, die Datenschutzbestimmungen zu verstehen und eine informierte Einwilligung abzugeben.

Website und Apps benutzen Google Analytics

Auf die Nutzung des Webstatistik-Tools Google Analytics wird in den Datenschutzbestimmungen hingewiesen. Auch Cookies werden dort erklärt und dass damit Nutzungsdaten an Google-Server in den USA gehen. Unverständlich ist jedoch, warum offenbar die für den legalen Einsatz von Google Analytics in der EU erforderliche IP-Anonymisierung nicht aktiviert ist. Der Blick in den Quelltext der Website zeigt, dass Google Analytics genutzt wird, nirgendwo jedoch findet sich das Kürzel für die Anonymisierung der IP-Adressen. In den Datenschutzbestimmungen von Schutzranzen selbst heißt es, dass „in Ausnahmefällen“ ungekürzte IP-Adressen an die US-Server geschickt werden. Wieso? Und welche Ausnahmefälle sind das?

„Schutzranzen“-Apps: 1&1, Akamai, Amazon, Facebook, Google und Microsoft lesen mit

Bereits bei einer ersten Untersuchung mit der freien App „Net Monitor“ haben wir festgestellt, dass die Angaben zur Datenweitergabe an Dritte nicht stimmen können: Screenshots belegen, dass die Kinder-App Daten an Amazon-Server in den USA sendet. Außerdem kontaktiert werden Server bei Akamai, Google, Microsoft und 1&1. Die Autofahrer- und Eltern-App kontaktieren sogar Facebook. Womöglich sind es noch mehr, denn je länger die Kinder-App läuft, desto mehr kontaktierte Server kommen unserer Beobachtung nach dazu. Die hier genannten haben wir im Zeitraum bis 17.1.2018 gefunden.

Datensicherheit: mangelhaft.

Bei näherer Begutachtung haben wir auch Schwachstellen in der Datensicherheit festgestellt. Die Bestandsdaten der Kinder und anderer App-Nutzer.innen und deren Positionsdaten sind hochsensibel. Deshalb wollen wir darüber keine Details veröffentlichen. Unser Ziel ist nicht, Überwachung von Kindern auf Datensicherheit zu optimieren. Unser Ziel ist eine freie Gesellschaft, in der Kinder zu überwachen und die Positionsdaten in Bediensysteme von Autos einzuspeisen als der Übergriff gesehen wird, der es ist.

Deshalb fordern wir von den beteiligten Unternehmen: „Kinder-Tracking stoppen!“

Ähnliche Artikel

Appell: Polizeigesetze Stoppen!

In mehreren Bundesländern will die Union mit Ihren Koalitionspartner die Polizeigesetze verschärfen. Die Entwürfe enthalten haarsträubende Überwachungsmaßnahmen, Präventivhaft und teils sogar Kriegswaffen für die Polizeie. Wir appellieren an SPD, Grüne und FDP: Hören Sie auf Ihre Bürgerrechtsflügel – stimmen Sie gegen die Verschärfungen!

Hier mitzeichen und unserer Forderung mehr Gewicht verleihen!

Über Uns

Digitalcourage e.V. engagiert sich seit 1987 für Grundrechte, Datenschutz und eine lebenswerte Welt im digitalen Zeitalter. Wir sind technikaffin, doch wir wehren uns dagegen, dass unsere Demokratie „verdatet und verkauft“ wird. Seit 2000 verleihen wir die BigBrotherAwards. Digitalcourage ist gemeinnützig, finanziert sich durch Spenden und lebt von viel freiwilliger Arbeit. Mehr zu unserer Arbeit.

Veröffentlicht am 18.01.2018

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld