Sie sollen Eltern und ErzieherInnen in der Kita eigentlich unterstützen: Kita-Apps versprechen eine einfachere Kommunikation zwischen ErzieherInnen und Eltern, eine verbesserte Organisation und persönliche Entwicklungsberichte der Kinder. Doch Forscher des if(is), der Ruhr-Universität Bochum und des Max-Planck-Instituts haben 42 Apps überprüft und teils gravierende Datenschutz- und Sicherheitsmängel festgestellt. Einige Apps verkaufen sogar die Daten ihrer Nutzerinnen und Nutzer an Dritte.
Bei der Analyse der Apps aus Europa und den USA stellten die Forscher fest, dass sie zum Teil auf private Fotos von fremden Kindern zugreifen konnten oder die Apps ohne Einverständnis persönliche Daten vom Smartphone abgriffen und diese mit Drittanbietern teilten.
Die Ergebnisse stellt das Team um Dr. Matteo Große-Kampmann, if(is)-Absolvent und Geschäftsführer der Institutsausgründung Aware7 GmbH, und Dr. Maximilian Golla vom Max-Planck-Institut für Sicherheit und Privatsphäre im Juli 2022 in Sydney auf dem „22nd Privacy Enhancing Technologies Symposium“ vor, welche als wichtigste Konferenz im Bereich der Privacy-Forschung gilt. Die Ergebnisse sind vorab online veröffentlicht.
„Laut der europäischen Datenschutzgrundverordnung und dem US-amerikanischen Children’s Online Privacy Protection Act unterliegen Daten von Kindern einem besonderen Schutz“, sagt Maximilian Golla. „Leider mussten wir feststellen, dass viele Apps diesen Schutz nicht gewährleisten können.“
Die Analysen erfolgten in Kooperation mit der AWARE7 GmbH. Das Team kontaktierte alle App-Hersteller vor der Veröffentlichung und machte sie auf die Schwachstellen aufmerksam.
Persönliche Daten werden teils verkauft
Von den untersuchten Apps wiesen acht gravierende Sicherheitsprobleme auf, die es Angreiferinnen und Angreifern beispielsweise ermöglichen würden, private Fotos der Kinder einzusehen. Bei 40 Apps stellten die Forscher fest, dass sie die Eltern sowie Erzieherinnen und Erzieher beobachten: Sie sammeln die Telefonnummer und E-Mail-Adresse der Nutzerin oder des Nutzers sowie Informationen zum verwendeten Gerät und zur Verwendung der App, etwa wann auf welchen Button geklickt wurde. Diese und andere Informationen teilen und verkaufen die Hersteller an Drittanbieter. So schreibt ein App-Entwickler: „… Daten zu Geschäftszwecken an Partner weitergeben, z. B. die durchschnittliche Anzahl der Windelwechsel pro Tag …”. Häufig werden die Daten an Amazon, Facebook, Google oder Microsoft für gezielte Werbekampagnen weitergegeben.
Mangelhafte Datenschutzerklärungen
„Wir haben uns auch die Datenschutzerklärungen der Anbieter angesehen“, erklärt Maximilian Golla. „Dabei ergab sich ein erschreckendes Bild. Viele der Erklärungen haben noch nicht einmal erwähnt, dass sie Daten von Kindern verarbeiten, geschweige denn, dass sie Daten sammeln und verkaufen, obwohl sie das nach den gesetzlichen Vorschriften Europas und der USA müssten.“
Dahinter müssen jedoch nicht unbedingt böse Absichten stecken. „Wir vermuten, dass es sich um technische und organisatorische Probleme handelt“, so Matteo Große-Kampmann.
