Lydia mag Tracker
Lydia ist eine sehr praktische App, mit der man Freunden einfach Geld zurückzahlen und gemeinsame Kassen erstellen kann. Das französische „Fintech“ hat in diesem Jahr 40 Millionen Euro eingesammelt, unter anderem vom chinesischen Riesen Tencent. Da Lydia Finanztransaktionen verwaltet, hätte ich nicht erwartet, dort überwacht zu werden.
Um mögliche Tracking-Tools von Lydia zu erkennen, bin ich auf meinem iPhone wie folgt vorgegangen:
- Die verschiedenen Anwendungen im Hintergrund schließen
- Die Charles-Proxy-App starten und die Aufzeichnung aktivieren
- Die App Lydia starten und anschließend durch die App navigieren
- Die Logs meiner Charles-Proxy-Sitzung auf meinen Computer exportieren
Wie Sie auf dem Screenshot sehen können, ist die Lydia-App gesprächig und übermittelt Ihre personenbezogenen Daten an mehrere Akteure:
- Google: Über Firebase, den Werkzeugkasten für Entwickler, misst Lydia Ihre Nutzung der App und Abstürze (Crashlytics) und sendet damit Ihre personenbezogenen Daten an den Riesen aus Mountain View.
- Braze: Dieses Unternehmen ermöglicht Lydia, Ihnen zum „richtigen Zeitpunkt“ angepasste Nachrichten zu senden (In-App, Benachrichtigungen, E-Mails). Braze trackt alle Ihre Aktionen auf Lydia, insbesondere die Details Ihrer Zahlungen.
- Vero: ein weiteres Unternehmen, mit dem Lydia Ihnen zum richtigen Zeitpunkt passende Nachrichten senden kann. Lydia sendet auch Ihre Navigation und die Details Ihrer Zahlungen an Vero, um künftige Kommunikation anzupassen. Noch gravierender: An Ihre verschiedenen Aktionen hängt Lydia nicht nur ein Pseudonym, sondern auch Ihre E-Mail-Adresse.
- Appsflyer: Mobile-Marketing-Unternehmen, das insbesondere ein Attributionsprodukt anbietet. So erfährt Lydia, welche Werbekampagnen die Installation der App ausgelöst haben.
- Amplitude: Analytics-Tool, mit dem Lydia Ihr Verhalten in der App detailliert analysieren kann. Auch hier wird alles getrackt: jeder aufgerufene Bildschirm, die Details Ihrer Transaktionen, das Modell Ihres Smartphones, Ihr Mobilfunkanbieter und sogar Ihre Smartphone-ID.
Eine dürftige Datenschutzrichtlinie, die dem Nutzer keine Kontrolle bietet
Die „Richtlinie zum Schutz personenbezogener Daten von Lydia“ ist in der App nicht direkt zugänglich. Man muss sie über das eigene Profil suchen, dann unten auf der Seite die AGB öffnen und schließlich den richtigen Link finden. Abschnitt 4 behandelt die Übermittlung personenbezogener Daten: „an die Bankpartner und Lieferanten von Lydia und an deren operative Dienstleister“.
Im Widerspruch zur DSGVO informiert Lydia den Nutzer nicht über die Marketingpartner, an die es Ihre personenbezogenen Daten weitergibt; man kann lediglich vermuten, dass sie unter den „operativen Dienstleistern“ einsortiert werden. Außerdem missachtet Lydia seine eigene Richtlinie, indem es Ihre E-Mail-Adresse preisgibt, obwohl es behauptet, Ihre personenbezogenen Daten vorher zu anonymisieren:
Lydia kann außerdem veranlasst sein, personenbezogene Daten seiner Kunden als natürliche Personen an einen seiner Lieferanten oder andere Partner weiterzugeben, sofern diese zuvor anonymisiert wurden. Diese Anonymisierung besteht darin, die folgenden Elemente zu entfernen: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Postanschrift und jedes andere Element, das es ermöglicht, den Kunden als natürliche Person zu identifizieren oder direkt zu kontaktieren.
Die Datenschutzerklärung von Lydia ist ebenfalls schwer zu finden: Sie müssen direkt über die Lydia-Website gehen (beachten Sie auch den Rechtschreibfehler in der URL der Seite, „confidentilaite“ statt „confidentialité“). Lydia schreibt auf dieser Seite:
Ihre personenbezogenen Daten werden ohne Ihre Einwilligung aus keinem Grund verkauft, getauscht, übertragen oder an ein anderes Unternehmen weitergegeben, außer soweit dies erforderlich ist, um eine operative Anfrage zu beantworten, zum Beispiel die Durchführung einer Transaktion. Ausgenommen sind vertrauenswürdige Dritte, die uns die Ausübung unserer Tätigkeit ermöglichen (Gesetzgeber, Bankpartner, Hoster), solange diese Parteien sich verpflichten, diese Informationen vertraulich zu behandeln.
Auch hier hält Lydia sein Versprechen nicht ein: Ihre personenbezogenen Daten werden ohne Ihre Einwilligung an andere Unternehmen übertragen (Marketingunternehmen, nicht Gesetzgeber, Bankpartner oder Hoster). Lydia schreibt außerdem:
Die Sicherheit Ihrer personenbezogenen Daten wird durch ein Verschlüsselungssystem und Zugangscodes geschützt. Nur Mitarbeiter, die eine bestimmte Aufgabe wie Vertrieb oder Kundensupport erfüllen müssen, haben Zugriff auf einige Ihrer identifizierenden personenbezogenen Daten. Die Server, auf denen identifizierende personenbezogene Informationen gespeichert werden, befinden sich in einer gesicherten Umgebung.
Auch das ist falsch: Lydia gibt Ihre personenbezogenen Daten an mehrere Dritte weiter, darunter Ihre E-Mail-Adresse an Vero. Bestimmte Vero-Mitarbeiter können also Ihr Verhalten auf Lydia und Ihren Transaktionsverlauf nachvollziehen. Schließlich hat Lydia eine sehr eigene Definition von Einwilligung, in offenkundigem Verstoß gegen die DSGVO:
Durch die Nutzung unserer Dienste stimmen Sie unserer Datenschutzerklärung zu.
Offensichtlich bietet Lydia keinerlei Kontrolle über diese Datenlecks. Ihre einzige Möglichkeit besteht darin, unter iOS Apps wie DNSCloak, AdGuard oder NextDNS zu nutzen.