9. Fazit und Ausblick

Die Studie zeigt, welche Vielzahl privater Daten auf einem Smartphone vorhanden sind und wie die einzelnen Betriebssysteme mit diesen umgehen. Bei der Untersuchung des Einrichtungsvorgangs stellte sich heraus, dass die Betriebssysteme bereits Netzwerkverbindungen mit verschiedenen Servern im Internet herstellen, bevor der Anwender persönliche Informationen auf das Smartphone eingegeben oder geladen hat. Der Zweck einiger Verbindungen lässt sich nachvollziehen, so werden manche zur Bereitstellung von Funktionalitäten wie beispielsweise Push-Benachrichtigungen oder dem Abgleich der Uhrzeit benötigt. Die Anzahl der in den Untersuchungen festgestellten intransparenten Verbindungen – bereits direkt nach dem Start und vor jeder Nutzerinteraktion – ist dennoch erstaunlich. Erfreulich ist, dass viele der Verbindungen verschlüsselt sind und die dabei übertragenen Daten so beim Transport abgesichert sind. Allerdings blieb dadurch ein potenziell unerwünschter Datenabfluss über diese Verbindungen auch vor den Untersuchungen, die im Rahmen dieser Studie durchgeführt worden sind, verborgen.

Mit steigendem Nutzungsumfang und Personalisierung des Geräts wird eine Vielzahl an Daten erhoben und gespeichert. Insbesondere die beiden Basisdienste Ortungsdienste und Sprachsteuerung dienen den Herstellern auch als Datenquellen, worüber ein Nutzer formell in den Nutzungsbedingungen aufgeklärt wird. Bei den Ortungsdiensten werden beispielsweise WLANs und Mobilfunkantennen kartografiert und an den Hersteller weitergeleitet, während bei der Sprachsteuerung Tonaufnahmen und Metainformationen weitergeleitet werden. Nutzungs- und Diagnosedaten stellen eine weitere wertvolle Datenquelle für die Hersteller dar.

In den Datenschutzbestimmungen erhält der Nutzer grundsätzliche Informationen darüber, welche Daten von den Betriebssystemen erhoben werden und welche Rechte der Nutzer dem Hersteller in Bezug auf diese Daten einräumt. Dies schließt in der Regel die Nutzung der Daten zur Bereitstellung und der Verbesserung der genutzten Dienste ein, ebenso die Weitergabe der Daten an Partner. Insgesamt enthalten die Bestimmungen oft einen gewissen Interpretationsspielraum, sowohl dabei, welche Daten wie lange genau gespeichert werden, als auch, wofür diese genutzt werden dürfen.

Die meisten Betriebssysteme ermöglichen eine Datensynchronisierung mit Cloud-Diensten des Herstellers. Welche Daten dabei synchronisiert werden können, unterscheidet sich von Betriebssystem zu Betriebssystem. Windows Phone synchronisiert die Kontakte seiner Nutzer automatisch, ohne die Möglichkeit, dies zu deaktivieren, sobald ein Microsoft-Konto mit dem Windows Phone verknüpft wurde.

Zum Ökosystem eines jeden Betriebssystems gehört ein Vertriebskanal für Apps, der es ermöglicht, sie auf dem Telefon zu installieren. Diese App-Markets versuchen, eine gewisse Qualität sicherzustellen. Jeder Hersteller veröffentlicht Kriterien, die von den Entwicklern für eine Veröffentlichung eingehalten werden müssen. Deren Einhaltung wird beim Veröffentlichungsprozess des App-Markets überprüft. Fällt eine solche Untersuchung negativ aus, wird die App nicht publiziert. Dies umfasst unter anderem die korrekte Verwendung von Programmierschnittstellen, aber auch inhaltliche Bewertungen, z.B. zur Vermeidung von anstößigen Inhalten.

Die bestehenden Regularien und Prüfungsverfahren der App-Markets bieten einen gewissen, aber mitnichten vollständigen Schutz gegen Missbrauchsmöglichkeiten durch Apps. Mit der Installation und Nutzung von Drittanbieter-Apps verlässt der Nutzer den Raum der Datenschutzbestimmungen des Herstellers und vertraut sich denen des Drittanbieters an. Der Zugriff auf die privaten Daten des Nutzers durch eine App ist oft bedingt durch die angebotene Funktionalität, kann aber auch ohne eigentliche Relevanz für den angebotenen Dienst verlangt werden. Drittanbieter-Apps verwerten Daten der Nutzer oft für kommerzielle Zwecke. Hier ist eine Sensibilisierung des Anwenders wichtig, um ihm eine bewusste Entscheidung der Erteilung oder der Verweigerung einer Zugriffsberechtigung auf bestimmte Daten zu ermöglichen.

Das Sicherheitsmodell eines Betriebssystems ist verantwortlich dafür, dass die Daten des Nutzers vor unberechtigtem Zugriff durch Drittanbieter-Apps geschützt werden. Die eingesetzten Modelle unterscheiden sich zum Teil erheblich und wurden unter verschiedenen Aspekten, wie z.B. dem Umfang der geschützten Daten oder dem Zeitpunkt der Zugriffserlaubnis, genauer betrachtet. Besonders relevant ist dabei der Aspekt der Benutzbarkeit, der allerdings stark durch die anderen beeinflusst wird. Je leichter benutzbar ein Sicherheitsmodell für den Nutzer ist, desto einfacher fällt es ihm, bewusst Entscheidungen zu fällen, ob der Zugriff auf private Daten gerechtfertigt ist oder nicht.

Die Sensibilisierung der Anwender sowie die Darstellung von Implikationen der Datenübertragung an die jeweiligen Betriebssystemhersteller ist umso wichtiger, als dass einige der Betriebssysteme nicht nur auf Smartphones eingesetzt werden, sondern sich bereits auf weiteren Gegenständen unseres täglichen Lebens befinden: Android kommt beispielsweise auf der Datenbrille von Google (Glass) zum Einsatz oder wird auf vielen Set-Top-Boxen eingesetzt, die an Fernseher angeschlossen werden. Auch Apple bietet eine auf iOS basierende Set-Top-Box (Apple TV) an und unternimmt nun Anstrengungen, iOS auch in Autos zum Einsatz zu bringen. Die hier aufgezeigten Zusammenhänge zwischen Funktionalität und Informationsfreigabe und -nutzung sind daher nicht nur für die Nutzung eines Smartphones wichtig, sondern künftig auch bei der Verwaltung privater Daten auf Datenbrillen, im Auto und bei der Nutzung unterschiedlichster App-Angebote auf dem heimischen Fernseher.