Bolt, ein mit Trackern vollgepumpter Fahrdienst
Nach der Analyse der IPTV-App Molotov, der Videochat-Apps Houseparty und Zoom, der E-Commerce-Website La Fnac sowie der Adress-Sharing-App Mapstr und von Citymapper-Fahrten, schauen wir uns nun einen bekannten Fahrdienst an: Bolt (früher Taxify oder Txfy).
Bolt ist ein estnisches Unternehmen, das sich schnell weltweit ausgebreitet hat und im Dezember 2019 in mehr als 150 Städten in 35 Ländern vertreten war. Als einer der wichtigsten Konkurrenten von Uber bietet Bolt auch einen E-Scooter-Dienst sowie Lieferungen nach Hause an („Bolt Food“). Um das Tracking in seiner iOS-App zu analysieren, bin ich folgendermaßen vorgegangen:
- Schließen der verschiedenen Apps im Hintergrund.
- Start der App Charles Proxy und Aktivierung der Aufzeichnung.
- Start der Bolt-App, dann Navigation in der App: einfach eine Zieladresse eingeben, ohne eine Fahrt zu bestellen.
- Export der Logs meiner Charles-Proxy-Sitzung auf meinen Computer, um die von Bolt gesendeten Anfragen leichter analysieren zu können.
Mehrere Drittunternehmen verfolgen Sie also dank Bolt:
- Google: über Firebase Crashlytics (Crash-Reporting) und Firebase Remote Config (ermöglicht es, Bolt zu personalisieren, ohne die App erneut auszurollen). Insofern keine Überraschung, da Google in den meisten Apps präsent ist. Aber Bolt geht weiter: Das Unternehmen sendet an Firebase nicht nur pseudonymisierte Daten (Identifikatoren), sondern auch namentliche Daten: Ihren Vornamen, Ihren Nachnamen, Ihre E-Mail-Adresse und Ihre Telefonnummer.
- Appsflyer: ein Analytics- und Attribution-Tool, mit dem Bolt nachvollziehen kann, welche Werbekampagnen funktionieren.
- Segment: der bereits im Artikel über Houseparty erwähnte „Tag Manager“, ein echter Hub für Ihre personenbezogenen Daten. Segment dient dazu, Ihren Verlauf in der Bolt-App und Ihr Nutzerprofil an andere Marketingunternehmen weiterzugeben. Hier sendet Bolt an Segment unter anderem Ihren Vornamen, Ihren Nachnamen, Ihre E-Mail-Adresse, Ihre Telefonnummer, aber auch Ihre GPS-Geolokalisierung (Längengrad, Breitengrad).
- CleverTap: über die Domain wzrkt.com, ein Tool für Analytics und personalisiertes Messaging in Apps. Auch hier sendet Bolt Ihren Vornamen, Ihren Nachnamen, Ihre E-Mail-Adresse, Ihre Telefonnummer, aber auch Ihre GPS-Geolokalisierung (Längengrad, Breitengrad).
- Tune: Attribution-Tools, mit denen Bolt nachvollziehen kann, welche Werbekampagnen funktionieren.
Eine unklare Datenschutzerklärung, im Widerspruch zur DSGVO
Bolt missachtet die DSGVO, indem es meine personenbezogenen Daten an mehrere Drittunternehmen sendet, ohne mich um Einwilligung zu bitten oder auch nur vorher zu informieren. Schwerer noch: Wie wir gerade gesehen haben, gibt Bolt namentliche Daten (Name, E-Mail), personenbezogene Daten (Telefonnummer) und sensible Daten (Geolokalisierung) an mehrere Dritte weiter. Lesen wir nun seine Datenschutzerklärung.
Auf der Support-Seite „Erhebung und Verarbeitung personenbezogener Daten“ stand damals (der Artikel ist inzwischen verschwunden):
Mit wem werden die Daten geteilt? Ihre Daten (Name, Geolokalisierung) werden nur einem auf der Bolt-Plattform registrierten Fahrer und nur für die Dauer der Fahrt offengelegt. Ihre Telefonnummer ist für den Fahrer nicht sichtbar. Wenn Sie am Ende der Fahrt einen Gegenstand vergessen haben, kontaktieren Sie unseren Kundenservice über Ihre App. Weitere Einzelheiten zur Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung für Fahrgäste.
Wie oben gesehen, ist das eine Lüge durch Auslassung: Ihr Name und Ihre Geolokalisierung, aber auch Ihre Telefonnummer und Ihre E-Mail-Adresse werden mit anderen Unternehmen wie Google, Segment und CleverTap geteilt.
Wenn man nun die Datenschutzerklärung für Fahrgäste liest, bleiben die Informationen ebenfalls minimal. In Abschnitt 4. Empfänger steht:
Abhängig vom Standort des Passagiers können personenbezogene Daten an Unternehmen und Partner der Bolt Technology OÜ-Gruppe (lokale Tochtergesellschaften, Vertreter, verbundene Unternehmen, Agenten usw.) weitergegeben werden. Die Verarbeitung personenbezogener Daten durch Unternehmen und Partner der Bolt Technology OÜ-Gruppe erfolgt unter den gleichen Bedingungen wie in dieser Datenschutzerklärung festgelegt.
Wer sind diese „Unternehmen und Partner“? Auf welcher Rechtsgrundlage erfolgt die Verarbeitung? Bolt macht dazu keine Angaben.
Eine Übermittlung namentlicher personenbezogener Daten an Google
Bolt nutzt Googles Toolset für App-Entwickler: Firebase. Ihre personenbezogenen Daten fließen über den Aufruf der Domain https://firebaseremoteconfig.googleapis.com ab. Dabei handelt es sich um das Tool Remote Config, mit dem Bolt seine App personalisieren kann, ohne die Anwendung erneut auszurollen.
Remote Config deckt verschiedene Anwendungsfälle ab, etwa A/B-Tests, den Start von Beta-Versionen, je nach Sprache des Nutzers unterschiedliche Nachrichten usw. Anwendungsfälle, für die eigentlich keine namentlichen personenbezogenen Daten preisgegeben werden müssten.
Wenn man die Dokumentation von Remote Config liest, äußert sich Google kaum dazu, welche Daten übertragen werden, sondern nur:
Speichern Sie keine vertraulichen Daten in den Parameterschlüsseln oder Parameterwerten von Remote Config. Es ist möglich, sämtliche in den Remote-Config-Einstellungen Ihres Projekts gespeicherten Parameterschlüssel oder -werte zu dekodieren.
Genau das macht Bolt jedoch mit meinen personenbezogenen Daten, die ich als vertraulich betrachte: Name, E-Mail-Adresse und Telefonnummer. Außerdem liest man in der Dokumentation von Remote Config, dass es sehr wohl mit Google Analytics kommuniziert (das in seiner App-Version zur Firebase-Toolbox gehört):
Sie können Remote Config nutzen, um verschiedenen Segmenten Ihrer Nutzerbasis je nach App-Version, Google-Analytics-Zielgruppe, Sprache und mehr unterschiedliche Varianten des Nutzererlebnisses Ihrer App bereitzustellen.
Wenn man nun die Firebase-Seite „Ihre Daten schützen“ liest, die sich speziell auf Google Analytics bezieht:
Verbot, personenbezogene Daten zu senden Unsere Verträge verbieten Kunden, personenbezogene Daten an Google Analytics zu senden. Kunden müssen diese Best Practices befolgen, um sicherzustellen, dass keine personenbezogenen Daten an Google Analytics gesendet werden.
Und hier ist Googles (enge) Auslegung personenbezogener Daten:
Es scheint also, dass Bolt nicht nur die DSGVO nicht einhält, sondern auch den Google-Firebase-Vertrag verletzt. Und dass Google keine Maßnahmen ergriffen hat, um die Nutzung seiner Unternehmenstools zu kontrollieren.
Personenbezogene Daten fließen auch zu CleverTap
CleverTap ist ein Tool für Analytics und personalisiertes Messaging, das damit wirbt, „eine einheitliche Ansicht“ der Nutzer seiner Kunden (also auch von Bolt) bereitzustellen. Hier ein Screenshot ihres Tools (auf ihrer Website verfügbar), um besser zu verstehen, wie sie Ihre personenbezogenen Daten in den Vordergrund stellen:
Wenn sich also ein Mitarbeiter von Bolt bei CleverTap anmeldet, hat er Zugriff auf meine Karte, gefüllt mit meinem Namen, meiner E-Mail-Adresse, meiner Handynummer und meinen verschiedenen Interaktionen mit Bolt (einschließlich meiner GPS-Koordinaten). Auch hier habe ich keinerlei Einwilligung gegeben und keinerlei Information darüber, wie CleverTap meine personenbezogenen Daten nutzt. Und dabei habe ich mich nicht einmal über Facebook bei Bolt angemeldet!
Was sagen die Nutzungsbedingungen von CleverTap (also ihres Dienstes für Unternehmen, den Bolt nutzt)? Kurz gesagt: alles ist erlaubt. In Abschnitt 7, Confidentiality:
Der Kunde kann personenbezogene Daten erfassen und an die Plattform übermitteln. „Personenbezogene Daten“ bezeichnet Informationen, die vom Kunden bereitgestellt oder vom Unternehmen im Rahmen der Bedingungen erhoben werden und die die Person oder das Gerät, auf die sie sich beziehen, identifizieren oder zu deren Identifizierung, Kontaktaufnahme oder Lokalisierung verwendet werden können. Zu den personenbezogenen Daten gehören Name, Anschrift, Telefonnummer, Faxnummer, E-Mail-Adresse, Sozialversicherungsnummer oder eine andere behördlich ausgestellte Kennung sowie Kreditkartendaten.
Man kann außerdem festhalten, dass CleverTap bereits vor zwei Jahren über diesen Tweet von Elliot Alderson, einem Sicherheitsforscher, identifiziert worden war:
Segment, der Hub Ihrer personenbezogenen Daten
Über Segment hatte ich bereits in der Analyse von Houseparty geschrieben. Dieses Tool ist ein „Tag Manager“ für Apps: Segment sammelt Ihre Nutzungsdaten und Ihre personenbezogenen Daten, um sie an andere von Bolt eingesetzte Tools weiterzugeben. Wie bei Google und CleverTap entscheidet Bolt, welche personenbezogenen Daten an Segment gehen. Auch hier helfen Screenshots der Segment-Website am besten, um das zu veranschaulichen:
Mein Profil befindet sich jetzt im Segment-Tool von Bolt, mit meinem Namen, meiner E-Mail-Adresse, meiner Telefonnummer, meinen Interaktionen mit der Bolt-App und meiner Geolokalisierung (GPS-Koordinaten). Und Segment kann meine Informationen anschließend an eine Vielzahl anderer Unternehmen weiterverteilen, die „Destinations“ (die Aktivierung erfolgt durch Bolt, ich habe keine Möglichkeit zu wissen, wohin meine personenbezogenen Daten danach abfließen):
In diesem Fall könnte Bolt sehr wohl Google Firebase, CleverTap und Segment nutzen, indem es ihnen „einfache“ Pseudonyme (Nutzeridentifikatoren) übermittelt, Sie vorher über die Nutzung dieser Dienstleister informiert und Ihre Einwilligung einholt. Nur tut Bolt nichts davon, sondern gibt im Gegenteil namentliche und sensible personenbezogene Daten preis.
Wie lässt sich diese Invasion Ihrer Privatsphäre bekämpfen? Wenn „Shaming“ manchmal funktionieren kann (Zoom, das unter Druck das Facebook-Tracking entfernt), wird sich ohne eine Änderung der Regeln in den App Stores (heute beim Tracking durch Dritte viel zu permissiv) oder ohne deutliches Handeln, sprich harte Sanktionen, durch Regulierungsbehörden wie die CNIL nichts wirklich bewegen.