Editorial: Xiaomi telefoniert nach Hause
Xiaomis "Mi"-Logo vor dem Hauptquartier in Beijing, China
(c) dpa
Der chinesische Smartphone-Hersteller Xiaomi hat
vor kurzem öffentlich zugegeben, den kompletten Browser-Verlauf seiner Nutzer zu sammeln - inklusive deren Formulareingaben.
Das gilt zwar nur für den mitgelieferten Standardbrowser, doch nur
ein Bruchteil der Nutzer dürfte eine eigene Browser-App installieren
und verwenden.
Zwar erfolgt die Datensammlung nach Xiaomi-Angaben "anonym". Da jedoch
in jedem übermittelten Datensatz dieselbe eindeutige ID enthalten ist,
lässt sich so problemlos ein Surfprofil des Nutzers anlegen. Bestellt
dann der Nutzer auch nur einmal eine Kleinigkeit in einem Onlineshop,
erhält Xiaomi dank der Übermittlung der Formulardaten auch seinen Namen
und seine Adresse. "anonym" ist das definitiv nicht.
Xiaomi hatte anfangs abgestritten, dass der Browser auch dann Daten sammelt, wenn der Inkognito-Modus aktiviert ist. Diesbezüglich ist Xiaomi inzwischen zurückgerudert und hat angekündigt, in einem künftigen Browser-Update eine Opt-Out-Möglichkeit für die Datenübermittlung im Inkognito-Modus einzubauen.
Mit der ungefragten und illegalen Datenübermittlung ist Xiaomi nicht allein. Auch Android, Windows und iOS telefonieren alles mögliche zu den Servern ihrer Programmierer nach Hause. Es ist schwer bis unmöglich, alle Schaltflächen zu finden, die man aktivieren muss, um der Datensammelei der Betriebssystemhersteller zu entkommen. Selbst Microsofts teure professionelle Office-Anwendungen für Desktop-PCs sammeln Telemetrie-Daten zehntausender verschiedener Ereignisse, vom Anlegen eines neuen Dokuments (inklusive Dateinamen) bis hin zum Nutzen der Backspace-Taste zum Korrigieren von Tippfehlern. Vermutlich ist ein Großteil selbst der geheimen Beschlussvorlagen der europäischen Parlamente bereits nach Redmond telegrafiert worden, bevor überhaupt die zuständigen Parlamentarier davon erfahren.
Durch Edward Snowden ist bekannt, dass die NSA im Telemetrie-Datenschatz von Microsoft, Google, Apple, Facebook und Co. spioniert. Mit Sicherheit hat auch das Ministerium für Staatssicherheit der Volksrepublik China Zugriff auf die bei Xiaomi und Co. auflaufenden Daten.
Bitte zubeißen!
Xiaomis "Mi"-Logo vor dem Hauptquartier in Beijing, China
(c) dpa
Hoffentlich kocht der Xiaomi-Skandal hoch genug, dass die zuständigen
Datenschutzbehörden aufwachen und endlich einmal zubeißen. Es müssen
so lange so hohe Bußgelder gegen Xiaomi (bzw. hilfsweise gegen deren
Importeure) festgesetzt werden, bis die Browser-Datensammlung ein
freiwilliges Opt-In geworden ist - und zwar sowohl für den
normalen Surf-Modus wie für den Inkognito-Modus.
Es ist zwar verständlich und wohl auch von der Mehrheit der Nutzer verstanden und akzeptiert, dass die Nutzung vieler Apps und Web-Inhalte nur deswegen kostenfrei möglich ist, weil im Gegenzug die allgemein verfügbaren Daten des Nutzers zur Auslieferung von Werbung verwendet werden. Wer Sudoku spielt, bekommt Werbung für andere Logik-Puzzles angezeigt. Und wer sich Aerobic-Videos anschaut, der erhält Werbung für Fitness-Nahrung. Aber dazu ist es nicht nötig, Daten in einem Umfang zu sammeln, der die Identifikation einzelner Nutzer durch NSA und/oder China-Stasi ermöglicht.
Zu verbieten sind die automatisierten Datensammlungen aber überall dort, wo der Nutzer für die Hardware oder Software explizit bezahlt hat, oder wo die Daten aufgrund ihrer Fülle zu einer Identifikation zumindest einer erheblichen Teilmenge der User reichen würden. Wer sich ein Smartphone kauft, darf erwarten, dass das sein Gerät ist, egal, ob er 100 oder 1000 Euro dafür ausgegeben hat. Eine Opt-In-Box für die Datenspende an den Hersteller, damit dieser Bugs finden und das Nutzungserlebnis optimieren kann, bleibt natürlich zulässig.
Auch das besonders perfide Vorgehen bei vielen kostenpflichtigen Apps, bei hohen Datenschutzeinstellungen den Funktionsumfang zu beschränken, gehört verboten. Wer in Google Maps beispielsweise den Suchverlauf nutzen will, um schnell bereits einmal besuchte Orte wieder aufsuchen zu können, der muss auch die Standortübermittlung an Google zulassen. Programmtechnische Gründe gibt es dafür sicher keine: Die lokale Speicherung ist gerade bei Kartenprogrammen meist effizienter als die entfernte Speicherung. Google Maps bietet sogar explizit die Möglichkeit zum Download von Karten in den lokalen Speicher. Warum werden dort nicht auch die Verlaufsdaten gespeichert? Geheimdiensttechnische Gründe für die Standortübermittlung an Google gibt es dafür um so mehr. Und nein, Google Maps ist nicht kostenlos, sondern wird vom Smartphone-Nutzer beim Handykauf zusammen mit dem Gerät erworben. Will Google die Maps-App stattdessen als Adware vertreiben, dürfen sie das natürlich tun - dann aber die App nicht mehr vorinstallieren. Und auch dann nicht so viele Daten übermitteln, dass ein Profiling einzelner Nutzer möglich wird.