Datenschutz

Editorial: Xiaomi telefoniert nach Hause

Opt out selbst im Inko­gnito-Modus nicht möglich. Wann werden daten­schutz­freund­liche Vorein­stel­lungen zur Pflicht?

Xiaomis "Mi"-Logo vor dem Hauptquartier in Beijing, China Xiaomis "Mi"-Logo vor dem Hauptquartier in Beijing, China
(c) dpa
Der chine­si­sche Smart­phone-Hersteller Xiaomi hat vor kurzem öffent­lich zuge­geben, den kompletten Browser-Verlauf seiner Nutzer zu sammeln - inklu­sive deren Formu­lar­ein­gaben. Das gilt zwar nur für den mitge­lie­ferten Stan­dard­browser, doch nur ein Bruch­teil der Nutzer dürfte eine eigene Browser-App instal­lieren und verwenden. Zwar erfolgt die Daten­samm­lung nach Xiaomi-Angaben "anonym". Da jedoch in jedem über­mit­telten Daten­satz dieselbe eindeu­tige ID enthalten ist, lässt sich so problemlos ein Surf­profil des Nutzers anlegen. Bestellt dann der Nutzer auch nur einmal eine Klei­nig­keit in einem Online­shop, erhält Xiaomi dank der Über­mitt­lung der Formu­lar­daten auch seinen Namen und seine Adresse. "anonym" ist das defi­nitiv nicht.

Xiaomi hatte anfangs abge­stritten, dass der Browser auch dann Daten sammelt, wenn der Inko­gnito-Modus akti­viert ist. Dies­be­züg­lich ist Xiaomi inzwi­schen zurück­ge­ru­dert und hat ange­kün­digt, in einem künf­tigen Browser-Update eine Opt-Out-Möglich­keit für die Daten­über­mitt­lung im Inko­gnito-Modus einzu­bauen.

Mit der unge­fragten und ille­galen Daten­über­mitt­lung ist Xiaomi nicht allein. Auch Android, Windows und iOS tele­fo­nieren alles mögliche zu den Servern ihrer Program­mierer nach Hause. Es ist schwer bis unmög­lich, alle Schalt­flä­chen zu finden, die man akti­vieren muss, um der Daten­sam­melei der Betriebs­sys­tem­her­steller zu entkommen. Selbst Micro­softs teure profes­sio­nelle Office-Anwen­dungen für Desktop-PCs sammeln Tele­me­trie-Daten zehn­tau­sender verschie­dener Ereig­nisse, vom Anlegen eines neuen Doku­ments (inklu­sive Datei­namen) bis hin zum Nutzen der Back­space-Taste zum Korri­gieren von Tipp­feh­lern. Vermut­lich ist ein Groß­teil selbst der geheimen Beschluss­vor­lagen der euro­päi­schen Parla­mente bereits nach Redmond tele­gra­fiert worden, bevor über­haupt die zustän­digen Parla­men­ta­rier davon erfahren.

Durch Edward Snowden ist bekannt, dass die NSA im Tele­me­trie-Daten­schatz von Micro­soft, Google, Apple, Face­book und Co. spio­niert. Mit Sicher­heit hat auch das Minis­te­rium für Staats­si­cher­heit der Volks­re­pu­blik China Zugriff auf die bei Xiaomi und Co. auflau­fenden Daten.

Bitte zubeißen!

Xiaomis "Mi"-Logo vor dem Hauptquartier in Beijing, China Xiaomis "Mi"-Logo vor dem Hauptquartier in Beijing, China
(c) dpa
Hoffent­lich kocht der Xiaomi-Skandal hoch genug, dass die zustän­digen Daten­schutz­be­hörden aufwa­chen und endlich einmal zubeißen. Es müssen so lange so hohe Bußgelder gegen Xiaomi (bzw. hilfs­weise gegen deren Impor­teure) fest­ge­setzt werden, bis die Browser-Daten­samm­lung ein frei­wil­liges Opt-In geworden ist - und zwar sowohl für den normalen Surf-Modus wie für den Inko­gnito-Modus.

Es ist zwar verständ­lich und wohl auch von der Mehr­heit der Nutzer verstanden und akzep­tiert, dass die Nutzung vieler Apps und Web-Inhalte nur deswegen kosten­frei möglich ist, weil im Gegenzug die allge­mein verfüg­baren Daten des Nutzers zur Auslie­fe­rung von Werbung verwendet werden. Wer Sudoku spielt, bekommt Werbung für andere Logik-Puzzles ange­zeigt. Und wer sich Aerobic-Videos anschaut, der erhält Werbung für Fitness-Nahrung. Aber dazu ist es nicht nötig, Daten in einem Umfang zu sammeln, der die Iden­ti­fi­ka­tion einzelner Nutzer durch NSA und/oder China-Stasi ermög­licht.

Zu verbieten sind die auto­ma­ti­sierten Daten­samm­lungen aber überall dort, wo der Nutzer für die Hard­ware oder Soft­ware explizit bezahlt hat, oder wo die Daten aufgrund ihrer Fülle zu einer Iden­ti­fi­ka­tion zumin­dest einer erheb­li­chen Teil­menge der User reichen würden. Wer sich ein Smart­phone kauft, darf erwarten, dass das sein Gerät ist, egal, ob er 100 oder 1000 Euro dafür ausge­geben hat. Eine Opt-In-Box für die Daten­spende an den Hersteller, damit dieser Bugs finden und das Nutzungs­er­lebnis opti­mieren kann, bleibt natür­lich zulässig.

Auch das beson­ders perfide Vorgehen bei vielen kosten­pflich­tigen Apps, bei hohen Daten­schutz­ein­stel­lungen den Funk­ti­ons­um­fang zu beschränken, gehört verboten. Wer in Google Maps beispiels­weise den Such­ver­lauf nutzen will, um schnell bereits einmal besuchte Orte wieder aufsu­chen zu können, der muss auch die Stand­ort­über­mitt­lung an Google zulassen. Programm­tech­ni­sche Gründe gibt es dafür sicher keine: Die lokale Spei­che­rung ist gerade bei Karten­pro­grammen meist effi­zi­enter als die entfernte Spei­che­rung. Google Maps bietet sogar explizit die Möglich­keit zum Down­load von Karten in den lokalen Spei­cher. Warum werden dort nicht auch die Verlaufs­daten gespei­chert? Geheim­dienst­tech­ni­sche Gründe für die Stand­ort­über­mitt­lung an Google gibt es dafür um so mehr. Und nein, Google Maps ist nicht kostenlos, sondern wird vom Smart­phone-Nutzer beim Handy­kauf zusammen mit dem Gerät erworben. Will Google die Maps-App statt­dessen als Adware vertreiben, dürfen sie das natür­lich tun - dann aber die App nicht mehr vorin­stal­lieren. Und auch dann nicht so viele Daten über­mit­teln, dass ein Profi­ling einzelner Nutzer möglich wird.

Weitere Edito­rials