Risikoanalyse und Kontrolle des Datenverkehrs von Smartphone-Apps für einen effektiven Selbstdatenschutz
Die Nutzung von Smartphones und Apps spielt eine immer größere Rolle im Alltag vieler Menschen. So wurden in Deutschland im Jahr 2014 schätzungsweise 3,4 Milliarden Apps heruntergeladen. Diese bieten zwar viele nützliche Funktionen, sie bergen jedoch auch ein bisher schwer kalkulierbares Datenschutzrisiko, da viele Apps personenbezogene Daten auswerten und weiterleiten.
Mehr als 60 % der Nutzerinnen und Nutzer schätzen das Risiko als hoch ein, dass derartige Daten an Dritte verkauft werden. Sie können sich jedoch nur schwer vor Datenmissbrauch schützen. Zwar geben mobile Betriebssysteme vor der Installation Hinweise über die Zugriffsrechte einer App, bei der alltäglichen Nutzung ist jedoch kaum feststellbar, wie eine App die Zugriffsrechte nutzt und ob der Datenumgang rechtskonform ist und den persönlichen Datenschutzvorstellungen entspricht. Da eine nutzerdefinierte Einschränkung der Zugriffsrechte meist nicht möglich ist, kann der Selbstdatenschutz in aller Regel nur in Extremen praktiziert werden: Entweder man verzichtet auf die Verwendung von Apps oder man muss auf einen angemessenen Umgang der App-Anbieter mit den personenbezogenen Daten vertrauen.
Das Ziel des Verbundprojekts PGuard ist es, die technologische Lücke beim Selbstdatenschutz zu schließen. Verbraucherinnen und Verbraucher sollen die Möglichkeit haben, die Vertrauenswürdigkeit ihrer installierten Apps zu bewerten und auf Grundlage der Risikobewertung den Datenzugriff gezielt einzuschränken. Für die Bewertung der Vertrauenswürdigkeit sollen die Datenströme der Apps nach außen (z. B. hinsichtlich der verwendeten Verschlüsselungs- und Anonymisierungsverfahren und der Notwendigkeit der Datenübertragungen für die Funktionalität der App) ausgewertet werden. Weiterhin sollen Textanalyse-Verfahren entwickelt werden, um die Datenschutzbestimmungen und die Allgemeinen Geschäftsbedingungen des App-Anbieters automatisiert zu bewerten und den beschriebenen Umgang mit den Nutzerdaten mit dem tatsächlichen Verhalten der App abzugleichen.
Basierend auf der Datenstrom- und Textanalyse soll den Nutzern – abhängig von ihren persönlichen Präferenzen zum Datenumgang – eine individuelle Risikoanalyse zur Verfügung gestellt werden, auf deren Grundlage sie sich entscheiden können, Apps mit hohen Datenschutzrisiken zu deinstallieren oder deren kritisches Datenverhalten zu unterbinden. Hierzu wird u. a. erforscht, inwieweit die Datenkommunikation von Apps in den gängigen mobilen Betriebssystemen gezielt eingeschränkt werden kann.
Der im Projekt PGuard verfolgte Lösungsansatz kombiniert eine Analyse des Kommunikationsverhaltens von Apps mit einer Prüfung der rechtlichen Bestimmungen der App-Anbieter und kann damit den Nutzerinnen und Nutzern eine besonders umfassende Risikoanalyse bieten. Durch die gezielte Einschränkung des Kommunikationsverhaltens müssen risikoreiche Apps zudem nicht zwangsläufig deinstalliert werden, sondern können weiterhin nützliche Dienste erbringen.
Die technische Lösung soll im Anschluss an das Vorhaben in Form einer App und eines Webportals zu einem Produkt weiterentwickelt und über App-Stores vermarktet werden.