“Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter” (2014), https://www.lda.bayern.de/media/oh_apps.pdf führt in Abschnitt 2.2 aus, welche technischen Daten aus Sicht der deutschen Aufsichten zur Bestimmbarkeit einer Person führen.
Dabei wird auf die Position auf europäischer Ebene verwiesen, WP202, “Stellungnahme 02/2013 zu Apps auf intelligenten Endgeräten” (2013), https://www.lda.bayern.de/media/wp202_de.pdf und dort Abschnitt 3.2
Diese Papiere und Positionen sind zwar alt, aber es hat sich hier nichts geändert und daher führen solche zunächst technischen Daten zur Verarbeitung von personenbezogenen Daten - auch im Sinn der DS-GVO.
Dabei werden neben der IP-Adresse und auch die Geräte- und Kartenkennungen genannt, also z.B. IMEI (International Mobile Equipment Identity = Gerätenummer), UDID (Unique Device ID = Gerätenummer eines iOS-Gerätes), IMSI (International Mobile Subscriber Identity = Kartennummer), MAC-Adresse (Media AccessControl-Adresse = Hardware-Adresse eines Netzwerkadapters), MSISDN (Mobile Subscriber ISDN-Number = Mobilfunknummer).
Vielleicht mag das noch jemand ergänzen?
Etlichen Entwicklern oder Verkäufern ist dieser Datenschutzaspekt nicht bewußt (hm …) und sie reden dann leichtfertig davon, dass keine p.b. Daten verarbeitet werden.
Werch ein Illtum …
1 „Gefällt mir“
Zu Google Crashlytics gibt es einen nicht aktuellen Blogeintrag bei Kuketz (die Site beschäftigt sich mit IT-Sicherheit, aber auch mit Datenschutz) “Crashlytics ein gigantisches Datengrab”, https://www.kuketz-blog.de/android-crashlytics-ein-gigantisches-datengrab/
Dort zeigt er auf, dass es bereits bei der Installation einer App, die Crashlytics benutzt, zur Übermittlung von Daten an Google kommt, die zu einer Identifizierbarkeit führen, z.B. Android Device-ID und Google Advertisting-ID. Selbst wenn die App später nicht genutzt werden sollte.
Der Beitrag ist aus 2017 - vielleicht kennt jemand einen aktuellen Stand?
GG selbst listet einige Daten auf, die beim Einsatz von Firebase und Crashlytics verwendet werden.
https://firebase.google.com/support/privacy/#examples_of_end-user_personal_data_processed_by_firebase
Bei den dortigen Anleitungen zum Opt-in für Endanwender ist zu lesen, dass bei der Nutzung der Dienste nicht alle Datenerhebungen deaktiviert werden können. Verständlich, das ist die logische Konsequenz der Nutzung.
Den Ausführungen zur Anpassung der Absturzberichte zufolge, können zudem “custom keys” zur Spezifizierung einzelner Eigenschaften / Informationen und “user identifier” (user ID) zur eindeutigen Zuordnung von Nutzern eingesetzt werden. Diese Daten und deren Verwendung sind von der Implementierung des Softwareanbieters abhängig. Werden user IDs verwendet, können sie offenbar nur vom Firebase Support aus bereits existierenden Reports gelöscht werden. Was wiederum heißt, dass GG die tatsächliche Kontrolle über die Verarbeitung hat.
https://firebase.google.com/docs/crashlytics/customize-crash-reports?platform=android
Hier gibt es eine Beschreibung zur Umsetzung der Rechte auf Vergessen, Datenübertragbarkeit und/oder Information zur Datenverarbeitung.
https://firebase.google.com/support/privacy/clear-export-data
Lt. Quelltext bei github werden die Nutzerdaten in den RealTime-, Storage- und Firestore-Datenbanken gelöscht oder können daraus exportiert werden. Evtl. vorhandende Daten in den Absturzberichten scheinen davon unberührt zu bleiben.
^ Auffindbar via https://firebase.google.com/s/results?q=personal%20data
Ich habe wenig bis gar kein Verständnis für das Nichtbenennen einzelner Daten seitens des Anbieters. Sollte einem Anbieter der Umfang tatsächlich unbekannt sein, kann er den Traffic seiner App sniffern und zudem die erfassten Daten im App-Account auswerten. Das liegt gerade nicht in der Verantwortung der Endanwender oder DSBs, die ggf. zur Überprüfung eine Analyse durchführen. Selbst GG weist auf die Datenerfassung und Informationspflichten hin:
Understand the data you collect
Take some time to catalog the user data that your app stores or processes. Be sure to include data that your app collects directly and data collected by services your app uses. For Firebase services, it might help to check the examples of end-user personal data processed by Firebase.
Design your UI to help users
Try to describe the types of data you collect in concise, user-friendly terms, including how the collected data helps your app or will be used.
https://firebase.google.com/support/privacy/storing-privacy-settings
Die Deaktivierung von Crashlytics kann wohl recht einfach in der AndroidManifest.xml umgesetzt werden (firebase_crashlytics_collection_enabled => yes/no).
https://firebase.googleblog.com/2019/03/crashlytics-versions.html
2 „Gefällt mir“