Datenkrake Quizduell: Wissen ist Macht. Nichtwissen auch.

Es ist „so simpel wie fesselnd“, schreibt n-tv.de.
„Das ganze Leben ist ein Quiz“, singt Hape Kerkeling.
„Ja, ich möchte die App downloaden“, sagt der Nutzer, wenn er auf seinem Smartphone oder Tablet „Quizduell“ installiert.

Was er – und seine 10 Mio. potentiellen Mitspieler, die es allein in Deutschland gibt – beim Starten des „simpel anmutendes Wissensspiels“ (N-TV)  in Kauf nehmen, dürfte den wenigsten Ratefreunden bewusst sein:
Die App ist ein Beispiel für exzessive Datensammlung – und deren Vermarktung durch den App-Anbieter FEO Media AB.


Berechtigungen

Zunächst einmal erfordert die App beim Download mehr Berechtigungen für den Zugriff auf Smartphone oder Tablet, als für ein Onlinequiz erforderlich sind. In der Android-Version, die von den meisten Quizduellanten genutzt wird, ist es unter anderem der Zugriff

  • auf die Protokolldateien des Handies oder Tablets. Dabei geht es um die Dateien, in denen Apps und das Handybetriebssystem alle möglichen Ereignisse speichern. „Diese [Daten] könnten persönliche oder geheime Daten enthalten“, warnt selbst der Google Playstore
  • auf die eigene Telefonnummer
  • darauf, ob gerade ein Anruf getätigt wird und wenn ja, mit wem (Telefonnummer)
  • auf die Liste der im Handy eingerichteten Konten, also z. B. die Emailadresse, das Facebook-Login oder den Whatsapp-Namen

Datenschutzerklärung

Untitled DatenschutzerklärungDie Datenschutzerklärung von Quizduell trägt diesen Namen nicht ganz zu Recht: Sie schützt keine Daten, sondern legt im Wesentlichen fest, welche weiteren Daten außer den obigen die App den Entwicklern noch in die Hände spielt. Die Erklärung ist im Appstore oder im Google-Playstore verlinkt und wird durch Herunterladen der App akzeptiert. Leider ist sie nur auf Englisch, was Sprachfremde vom Verständnis der Erklärung logischerweise ausnimmt. Wieviel Mühe sich die Entwickler mit der Erklärung gemacht haben, sieht man aber auch noch daran, dass die Seite im Browser den Titel „Unitled Document“ trägt.

Viel interessanter ist aber deren Inhalt. Neben den durch die Berechtigungen erteilten Möglichkeiten zur eindeutigen Identifizierung des Spielers gibt die Datenschutzerklärung zu, auch die Handyidentifikationsnummer („Device ID“, das dürfte die IMEI-Nummer des Smartphones/Tablets sein) zu nutzen.

Desweiteren nutzt Quizduell die Infos,

  • zu welchen Zeiten die App verwendet wird
  • welche Antworten auf die Quizfragen gegeben werden

Die Informationen, wann ein Nutzer Zeit zum Spielen hat und wie lange er dann spielt, ist für die kommerzielle Datensammlung natürlich erheblich – immerhin gibt sie Auskunft über das Freizeitverhalten des Nutzers.

In dem Geschäftsmodell Datensammlung bislang keine Rolle spielt aber die Frage, was der Nutzer weiß. Denn das, worin man richtig gut ist, scheint entweder Interesse oder Profession des Spielers zu sein – und zwar eine, die belastbarer ist als ein einfaches „Gefällt mir“ bei Facebook (das nicht selten reine Selbstinszenierung ist).

Diese Infos sind für personalisierte Werbung Gold wert. Und das ist freilich Ziel und Finanzierungsquelle der App – das Recht solche Werbung zu schalten nehmen sich die Entwickler in dem Dokument freilich auch heraus.

We may […] send you our newsletter and other marketing communications relating to our business which we think may be of interest to you, by email or in-App messaging

Änderungen still und heimlich

Weiter heißt es, dass mögliche künftige Änderungen an den Datenschutzregelungen durch Nutzung des Spiels akzeptiert werden.

We reserve the right to change or modify this Agreement or any other policies referred to herein related to use of the App at any time and at our sole discretion by posting revisions on our website or in the App. Continued use of the App following the posting of these changes or modifications will constitute acceptance of such changes or modifications.

Der Spieler wird also nicht im Spiel darauf hingewiesen: „Hallo, wir würden gerne in der Zeitung schreiben, wie schlau oder blöd du bist“ oder „Wir geben deine Antworten jetzt an deinen Arbeitgeber weiter“ oder „Wir verkaufen deine Daten ab sofort an Dritte“.
Nein, die eventuell geänderten Regeln werden akzeptiert, in dem der Nutzer weiterspielt.

Quelle: Google Play StoreVeröffentlicht werden sie auf der Webseite oder in der App, teilt uns das Dokument mit. Das stimmt allerdings nicht. Auf den offiziellen Webseiten des Spiels, quizduell-game.de für die deutsche oder quizkampen.se für die originale schwedische Version, gibt es den Link zu dem „Untitled“ Datenschutz-Dokument nicht. Nur über den Appstore / Google Play kommt man heran, und dort ist die Erklärung sehr schwer zu finden.

Schnellregistrierung über Facebook

Noch dramatischer wird der Verlust der Kontrolle über die eigenen Daten, wenn ein Nutzer sich über Facebook in der Quizduell-App registriert. Über das so genannte „Facebook Connect“ geht zwar schneller und ist für den Spieler deshalb komfortabler, aber:
Quizduell wird damit das Recht zugestanden, auf alle öffentlichen Facebookinfos zuzugreifen. Diese können die Quizduellmacher dann mit den anderen gesammelten Informationen verknüpfen. Öffentlich sind in Facebook z.B. das Profilbild, der Facebookname und die Freundesliste. Durch Letztere bietet sich FEO Media AB eine weitere wichtige Verbindung, wenn es um Interessen und Freizeitverhalten geht. Denn was ich in meiner Freizeit mache, könnte auch das Interesse meiner Freunde wecken.

Facebook Connect ist datenschutzrechtlich grundsätzlich höchst bedenklich. Im Fall Quizduell sollte es jedem Nutzer zu denken geben, dass bei der Nutzung dieser „Schnellregistrierung“

  • die Menge der verknüpften Daten überhaupt nicht notwendig sind, um die App nutzen zu können (womit Quizduell nebenbei gegen Facebooks Bedingungen für die Connect-Nutzung verstößt)
  • die Verbindung zwischen der App und Facebook erhalten bleibt, auch wenn man die App nicht mehr nutzt oder deinstalliert. Lediglich auf ausdrückliches Geheiß des Kunden müssen, so die Facebook-Richtlinien, die Daten gelöscht werden. Doch wer denkt daran, wenn er Apps deinstalliert?

Auch Facebook profitiert von der Verknüpfung. Das Unternehmen bekommt zwar nicht alle Quizduell-Daten („Connect“ ist datenmäßig eine Einbahnstraße, wie Social Technology Review aufklärt), aber selbstverständlich registriert Facebook, wann ein (über Facebook registrierter) Quizduellspieler die App startet. Diese Info: „Der Nutzer spielt dann und dann Quizduell“ ist natürlich eine weitere vorzügliche Informationsquelle, die Facebook für eigene, personalisierte Werbung nutzen kann. Denkbar wäre, zur üblichen Quizduell-Zeit andere Quizspiele anzubieten.

Fazit

Quizduell ist ein Millionenprojekt. Es gibt ein Buch zum Spiel, die Entwickler sind derzeit offenbar in Verhandlungen mit Produzenten für eine Fernsehshow – und nebenbei sammeln sie Minute für Minute wertvolle Daten für die digitalen Persönlichkeitsprofile der Ratefreunde.
Persönliche Daten sind die Währung im digitalen Zeitalter, das wissen wir seit Facebook. Doch während Facebook hart daran arbeiten muss, sein Positivimage zu behalten und nicht als böse, kommerzielle Datenkrake dazustehen, gilt Quizduell als unverfängliche Raterei für Zwischendurch – die Erfahrungsberichte im Play Store belegen das.

Ich habe das Spiel ausprobiert (und ihr über XPrivacy nur die Berechtigungen zugestanden, die sie wirklich braucht) und kann mich dem Reiz des Mal-eben-schauens-wie-schlau-ich-bin ebenfalls nur schwer entziehen. Aber dass hinter Quizduell keine netten Informatikstudenten stehen, die sich und der Welt ein bisschen Spaß bereiten wollen, sondern das  Quizduell ein großer Player im knallharten Geschäft mit den Daten ist, sollte allen Nutzern bewusst sein. Nur dann können sie sich mündig für oder gegen die Raterei entscheiden.

Obamas Reform – viel guter Willen, wenig Änderung

DonkeyHotey, The Bug stops here / CC-BY 2.0

Eines muss man Obama zugestehen: Guten Willen. Seine Rede zu den Konsequenzen aus der NSA-Affäre ist vermittelnd, vorsichtig… nichtsdestotrotz aber US-präsidial, und das heißt: loyal seinen Behörden gegenüber.

Meint: Grundsätzlich ändert sich nichts.

Merkel wird zwar nur noch im Notfall abgehört (und über einen Notfall entscheidet Obama), andere Regierungen aber auch ohne Notfall. Telefondaten werden weiterhin gesammelt, aber künftig nicht mehr von der NSA, sondern nach Obamas Willen von den Telefongesellschaften. Die NSA bekommt die Daten dann per Gerichtsbeschluss, wenn sie Terrorismus wittert. Dabei handelt es sich übrigens um das FISC-Gericht, dass bislang auch schon PRIM-Anfragen geprüft hat, und zwar fast immer wohlwollend. Künftig wird es für NSA nach dem Willen des Präsidenten aber schwerer, an die Daten ranzukommen.

Noch nicht entschieden ist, ob die Daten wirklich bei den Telekomfirmen lagern werden, denn die sind nicht sonderlich begeistert (im Zuge der Diskussion um die deutsche Vorratsdatenspeicherung wurde klar, warum: Die Speicherkapazitäten sind saumäßig teuer).

Über die meisten anderen Daten-Sammlungen der NSA sagte Obama nix. Ob täglich weiterhin Hunderttausende SMS gesammelt werden, ob Googles und Yahoos Datenleitungen weiterhin angezapft werden, ob die Verschlüsselung privater Daten weitergeht, die Spähtrojaner weiter auf fremde Rechner eingeschleust werden… und ob das irgendeine Auswirkung auf die nicht minder paranoide Datensammelwut des britischen Geheimdienstes hat. Ich vermute nicht.

Eine Chance ist, dass Obama nun für die Frage der Speicherung von Telefondaten den Kongress miteinbezieht. Das gibt auch deutschen Politikern die Möglichkeit durch Gespräche mit ihren US-Kollegen auf die Meinungs- und Mehrheitsfindung einzuwirken.

Wie aufrichtig Obama in dieser Sache ist, ob er mit den Begrenzungen der NSA wirklich „die Privatsphäre und Bürgerrechte aller Menschen schützen“, wie es Obama sagte, oder nur seinen Hintern, weiß ich nicht.

Neu für mich war: Bis zu seiner zweiten Präsidentschaft, und dieser Artikel in der gedruckten FAZ von gestern („Obamas Reform macht es keinem recht“), hat mich wirklich umgehauen, hat Obama die Privatsphäre und Bürgerrechten vehement gegen die Geheimdienste verteidigt. Also damals, als er den Friedensnobelpreis verliehen bekam.

Wired: How the NSA Almost Killed the Internet

Wired.com "How the NSA Almost Killed the Internet"

Google, Apple, Facebook, Microsoft, Yahoo – die Großen des Internets stehen vor einem massiven Glaubwürdigkeitsverlust. Bislang scheint sich das nicht in schwindenden Nutzerzahlen niederzuschlagen (ich scheine mit meinen Prism Break-Aktionen I II III IV in der Minderheit zu sein), aber der Vertrauensverlust ist da.

Das „Wired„-Magazin beleuchtet den NSA-Skandal in dem Mammutartikel „How the NSA Almost Killed the Internet“. Technik-Autor Steven Levy sprach dazu – und das macht den Artikel relevant – mit einigen Top-Managern, unter anderem mit Facebookchef Mark Zuckerberg. Er sprach aber auch mit US-Regierungsverantwortlichen und dem NSA-Chef Keith Alexander. Und er fand Parallelen zwischen den großen Internetunternehmen und der Geheimdienstbehörde.

Ja, nach Lektüre des (wirklich langen) Artikels kann ich alle Seiten ein bisschen besser verstehen – und verstehen, warum sie sich unverstanden fühlen.
Dennoch stehe ich nun noch überzeugter als bisher auf der Seite von Facebook, Microsoft & Co. Deren Verzweiflung darüber, dass sie vom US-Staat gezwungen werden, Sachen zu tun, die gegen ihre Firmenpolitik verstoßen, oder noch schlimmer: dass der Staat deren Server anzapft und sämtliche Verschlüsselungen umgeht, ist enorm. Sie ist wohl noch größer als meine Verzweiflung darüber, dass mein Email-Adressbuch als damaliger Gmailnutzer möglicherweise auch von der NSA gesichtet wurde. Ich kann nun immerhin Alternativen nutzen, während die Internetgiganten, die die Onlinegesellschaft mit ihren (natürlich kommerziell nutzbaren, aber trotzdem) Visionen bereichern, einfach nur neue und mehr Verschlüsselungen einsetzen können – wohl wissend, dass die NSA diese auch knacken kann.

Ich führe hier die Passagen des Artikels an, die mich am meisten beindruckt haben.
Zum ganzen Artikel geht’s hier:

“The fact is, the government can’t put the genie back in the bottle,” says Face­book’s global communications head, Michael Buckley. “We can put out any statement or statistics, but in the wake of what feels like weekly disclosures of other government activity, the question is, will anyone believe us?”
[…] The Snowden leaks called into question the Internet’s role as a symbol of free speech and empowerment. If the net were seen as a means of widespread surveillance, the resulting paranoia might affect the way people used it. Nations outraged at US intelligence-gathering practices used the disclosures to justify a push to require data generated in their countries to remain there, where it could not easily be hoovered by American spies. Implementing such a scheme could balkanize the web, destroying its open essence and dramatically raising the cost of doing business.
[…] Yahoo waged a secret battle in the FISA court to resist turning over user data. But it was for naught. An August 22, 2008, order determined that the government’s interest in national security, along with safeguards in the program, outweighed privacy concerns in a manner consistent with the law. A subsequent appeal went nowhere.
[…] There appear to be smaller ways to resist, though. “The government can request the information, but they can’t compel how the information is given,” says Twitter’s general counsel, Vijaya Gadde. “You can make it easy or you can make it hard.” Google also says it pushes back when a request is “overly broad.” Pocket­book issues present a subtler means of resistance. FISA requires the government to reimburse companies for the cost of retrieving information. Google says it doesn’t bother to charge the govern­ment. But one company says it uses that clause, hoping to limit the extent of the requests. “At first, we thought we shouldn’t charge for it,” says an executive of that company. “Then we realized, it’s good—it forces them to stop and think.”
In the end, though, there is a greater financial motive to cooperate. “Large com­panies do a lot of business with the government,” one top technology executive points out. “It’s hard to look at the government officers and say, “‘We’re fighting you on this—oh, and can I have that $400 million contract?’”
[…] Still, news of the government raid on data-center traffic hit the industry with the visceral shock of having one’s home robbed. The betrayal was most strikingly illustrated in a PowerPoint slide that showed how the NSA had bypassed Google’s encryption, inserting a probe as data moved from its servers across the open Internet. Between two big clouds—one representing the public Internet, the other labeled “Google Cloud”—there was a little hand-drawn smiley face, a blithe emoji gotcha never meant to be seen by its victim. Google’s Drummond wrote an indig­nant statement to the Post, describing the company as “outraged.” Yahoo’s direc­tor of security, Ramses Martinez, endorses the sentiment. “It was news to us,” he says of Muscular. “We put a lot of work into securing our data.”
[…] “At first we were in an arms race with sophisticated criminals,” says Eric Grosse, Google’s head of security. “Then we found ourselves in an arms race with certain nation-state actors [with a reputation for cyberattacks]. And now we’re in an arms race with the best nation-state actors.” Primarily, the US government.
[…] „Fuck these guys. I’ve spent the last ten years of my life trying to keep Google’s users safe and secure from the many diverse threats Google faces. I’ve seen armies of machines DOS-ing Google. I’ve seen worms DOS’ing Google to find vulnerabilities in other people’s software. I’ve seen criminal gangs figure out malware. I’ve seen spyware masquerading as toolbars so thick it breaks computers because it interferes with the other spyware. I’ve even seen oppressive govern­ments use state-sponsored hacking to target dissidents … But after spending all that time helping in my tiny way to protect Google—one of the greatest things to arise from the internet—seeing this, well, it’s just a little like coming home from War with Sauron, destroying the One Ring, only to discover the NSA is on the front porch of the Shire chopping down the Party Tree and outsourcing all the hobbit farmers with half-orcs and whips.“
[…] Though the major companies have not yet reported losing large amounts of business, they do acknowledge that their overseas customers are worried. Forrester Research estimates that as much as $180 billion could be lost due in large part to overseas companies choosing not to patronize the American-based cloud.
[…] “The Internet was built without reference to international borders, and that has allowed for huge innovation,” Yahoo’s Mawakana says. “But how does it function when countries try to pin the cloud to the ground? What if Indonesia pins, Brussels pins, and Brazil pins? Will companies invest equally across the world?”
[…] “This isn’t the companies’ fault. They were compelled to do it. As a nation, we have a responsibility to stand up for the companies, both domestically and internation­ally. That is our nation’s best interest. We don’t want our companies to lose their economic capability and advantage. It’s for the future of our country.”
Those words could have come from a policy spokesperson for Google, Facebook, Microsoft, or Yahoo. Or one of the legislators criticizing the NSA’s tactics. Or even a civil liberties group opposing the NSA. But the source is US Army general Keith Alexander, director of the NSA. Still, even as he acknowledges that tech companies have been forced into a tough position, he insists that his programs are legal, necessary, and respectful of privacy.
[…] “Gmail is the most popular terrorist mail service in the world,” one official says. “Second place is Yahoo. It’s not because Google and Yahoo are evil, it’s because they offer a great service.”
[…] They understand that journalism conferences routinely host sessions on protecting information from government snoops, as if we were living in some Soviet society. And they are aware that multiple security specialists in the nation’s top tech corporations now consider the US government their prime adversary.
But they do not see any of those points as a reason to stop gathering data. They chalk all of that negativity up to monumental misunderstandings triggered by a lone leaker and a hostile press.
[…] A lot of people became inured to worries about Little Brother—private companies—knowing what we bought, where we were, what we were saying, and what we were searching for. Now it turns out that Big Brother can access that data too. It could not have been otherwise. The wealth of data we share on our computers, phones, and tablets is irresistible to a government determined to prevent the next disaster, even if the effort stretches laws beyond the comprehension of those who voted for them. And even if it turns the US into the number one adversary of American tech companies and their privacy-seeking customers.