Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.
Datenschutz-Messenger Wire: Tracking-Code sendet Daten in die USA
Apps Wire - Sicherer Messenger 3 Min Lesezeit 34 Kommentare

Datenschutz-Messenger Wire: Tracking-Code sendet Daten in die USA

Update: Statement von Wire

Wo die Frage nach datenschutzfreundlichen Messengern aufkommt, ist Wire nie fern. Ein Blogger hat nun entdeckt, dass Wire die Analyse-Software mixpanel verwendet. Diese analysiert das Verhalten der User in der App und sitzt in den USA. Wie ernst nimmt Wire den Datenschutz wirklich?

Verschlüsselung, Datenschutz und Vertraulichkeit. Das sind die drei Säulen, auf dem das Prinzip des Messengers Wire beruht. Nun hat Sicherheitsexperte Mike Kuketz herausgefunden, dass Wire innerhalb der App zu Analysezwecken auf die Dienste des Unternehmens mixpanel zurückgreift. Die Trackingsoftware analysiert, wie User die App verwenden.

Laut Kuketz sendet die App schon beim Start Informationen über das Smartphone, die Internetverbindung und einige weitere Daten an einen API-Punkt von mixpanel. In den Datenschutzbestimmungen des Messengers sei kein Hinweis darauf zu finden, dass Wire Daten mit anderen Firmen teilt - ein Blick in die Datenschutzbestimmungen bestätigt dies.

Wir haben bei Wire angefragt, was an der Sache dran ist, bislang aber keine Antwort erhalten. Einige Leser des Blogs haben ebenfalls angefragt und Wire hat sich geäußert, wie Kuketz in einem weiteren Beitrag schreibt. “Alles in Ordnung”, könnte man die Antworten von Wire zusammenfassen. Die Nutzungsdaten seien anonymisiert. Im Whitepaper Datenschutz (PDF) sei die Analyse des User-Verhaltens in der App angerissen. Tatsächlich findet sich in dem Dokument eine Seite, in der beschrieben wird, dass Wire die Verwendung der App analysiert. Dort findet sich auch eine Liste der verwendeten Tools, jedoch ohne weitere Details.

Kuketz sieht das Vorgehen von Wire insbesondere vor dem Hintergrund der DSGVO kritisch. Seiner Ansicht nach müsste der User einen entsprechenden Hinweis auf die Datenverarbeitung via mixpanel erhalten. Mike Kuketz spricht wohl vielen Usern aus der Seele, wenn er zusammenfasst:

Ein Messenger, der sicherheits- und datenschutzbewusste Anwender adressiert, sollte keine Tracking- oder Analyse-Dienste integrieren.

Laut Wire gibt es eine Möglichkeit, der Analyse zu widersprechen. Das hat aber einen Haken: Denn die erste Datenübertragung findet bereits statt, bevor der User die Auswahl zum Widerspruch sieht.

Am Nachmittag hat uns eine Stellungnahme von Wire erreicht. Siim Teller, Head of Marketing bei Wire äußert sich wie folgt:

Wire war schon immer transparent hinsichtlich der Implementierung von Mixpanel. In dem Datenschutz-Whitepaper wurde dies bereits festgehalten (siehe S. 5, Abschnitt 5.2.). Wire erhebt nur anonyme Nutzungsdaten, um zukünftige Versionen von Wire zu optimieren. Diese Daten helfen uns dabei, den Einsatz von Wire zu beurteilen und Verbesserungspotenziale zu identifizieren. Die erhobenen Nutzungsinformationen enthalten keinerlei personenbezogenen Daten. Unsere Nutzer müssen per Opt-In-Verfahren der Datenweitergabe zustimmen. 

Ein Fehler in der Android-/Webapp und Desktop-Software führte dazu, dass anonyme Nutzungsdaten mit Mixpanel vor der Einwilligung der Nutzer ausgetauscht wurden. Wir arbeiten bereits an der Behebung des Fehlers. Nutzer, die der Datenweitergabe zugestimmt haben, können diese Option jederzeit in ihren Kontoeinstellungen deaktivieren.

Wie steht Ihr zum Thema Analyse von User-Verhalten? Macht Wire alles richtig oder sollte der Anbieter auf solche Maßnahmen verzichten?

Facebook Twitter 20 mal geteilt
Dank ist diese Seite frei von Werbebannern

34 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • muwe vor 9 Monaten Link zum Kommentar

    Gähn - da hat aber der Kucketz mit seiner Banalität ungeduldig auf ein Sommerloch gewartet...

    Ganz vorne für jedermann sichtbar und simpel:
    "Anonymisierte Nutzungsdaten senden" abstellen ohne dass damit irgendeine Nutzungseinschränkung einhergeht...
    Wo ist das Problem?
    WIRE hat daraus nie ein Hehl gemacht, was auch nie von eingetragenen professionellen Datenschutzinstanzen beanstandet wurde.

    Wäre abschließend zu wünschen, dass all' die anderen annähernd so strikt wie transparent wären und sich tatsächlich konsequent auf Gerätedaten beschränken würden...!

    WIRE ist schliesslich nicht umsonst 'Datenschützers Liebling'...

    C. F.


    • C. F.
      • Blogger
      vor 9 Monaten Link zum Kommentar

      Das tolle ist ja, dass es nicht dem Mike Kuketz aufgefallen war, der wire bis dahin "genau" unter die Lupe genommen und quasi empfohlen hatte, sondern einem anderen erst beim Digitalcourage-Treffen. Nicht sauber gearbeitet, Mike?

      muwe


  • C. F.
    • Blogger
    vor 9 Monaten Link zum Kommentar

    Und jetzt zerreißen sich alle, die WhatsApp, Facebook, Instagram, Twitter, Google und Co benutzen, über wire das Maul...


  • was soll die ganze panikmache hier? kann man doch in den einstellungen abstellen! basta!

    muwe


    • Sophia Neun
      • Admin
      • Staff
      vor 9 Monaten Link zum Kommentar

      Kann man, aber wie auch im Artikel steht, werden schon davor Daten gesammelt.


      • und was wird "gesammelt" tel. nummer, user id, name? also da lach ich drüber. mehr bekommen die ja nicht, bis ich es gleich nach der installation unterbinde.

        du kannst machen was du willst, es wird überall etwas gesammelt. wetten androitpit sammelt auch daten über seine user. und hier kann ich es noch nicht mal in einem menü abstellen :D


    • Aries vor 9 Monaten Link zum Kommentar

      Problem 1:
      Man kann es erst abstellen, nachdem bereits Daten übermittelt wurden. Ein Verstoß gegen die DSGVO.

      Problem 2:
      Das Zielsystem steht außerhalb der EU, was erst Recht einen Opt-In erfordern müsste.


      • C. F.
        • Blogger
        vor 9 Monaten Link zum Kommentar

        Wenn man nach der DSGVO gehen würde, dürfte WhatsApp schon längst nicht mehr online sein.


      • genau und normal müsste man erst auf einem stück papier unterschreiben, dass man mit sowas einverszanden ist, bevor man sein elektronisches datenverarbeitungsgerät zum ersten mal anschaltet :D

        egal welches OS, die telefonieren gleich mal nach hause und petzen.


  • Wenn den Usern die Privatsphäre so wichtig ist, warum werden dann sämtliche Messenger genutzt und Private Bilder auf Facebook und Co gepostet. Ich verstehe die Leute nicht die sich über den Umgang der Firmen mit den Userdaten beschweren, aber dann weiterhin die Dienste nutzen. So wichtig scheint die Privatsphäe diesen Usern nicht zu sein. Aber hauptsache sich aufregen.


    • Th K vor 9 Monaten Link zum Kommentar

      Selbst wenn man solche Dienste nicht nutzt, ist man nicht sicher, da seine eigenen Daten (Nummer bspw.) wiederum von anderen Idioten geteilt werden. WhatsApp ist hier das beste Beispiel.


      • Peter vor 9 Monaten Link zum Kommentar

        Die Idioten sehe ich aber bei Leuten die meinen WhatsApp und Facebook den Rücken kehren zu müssen um so ihre heiligen, geheimen, verbotenen Daten geschützt zu sehen. Daten werden im Netz immer und überall gesammelt. Deine Daten sind auch bei sämtlichen Ämter, Behörden, Krankenkassen, Versandhäuser usw...
        Das wirklich einzige und das was zählt ist: was geschieht mit den Daten? Jetzt bitte keine möglichen Verschwörungstheorie Geschichten.


      • Th K vor 9 Monaten Link zum Kommentar

        Das ist Unsinn. Es können nur die Daten geteilt werden, die ich selber oder andere über mich herausgeben. Und was ich selber veröffentliche, habe ich selbst in der Hand. Und ich bezweifel, dass bspw. private Gespräche, Fotos, Verlinkungen oder Videotelefonie meine Krankenkasse oder das Straßenverkehrsamt hat ;)


      • Peter vor 9 Monaten Link zum Kommentar

        Das was du selbst veröffentlichst hast du nur soweit bis nach der Veröffentlichung in der Hand. Danach sind plattform und andere Nutzer die was darauf Zugriff haben. Und das ist nicht nur Facebook und WhatsApp.
        Und zu den persönlichen Daten gehört auch die Telefonnummer, und diese hat bestimmt so gut wie jede Behörde oder Amt bei denen du registriert bist.


      • Th K vor 9 Monaten Link zum Kommentar

        Das sage ich ja: Es kommt darauf an, was und vor allem wo ich es veröffentliche. Und da achte ich natürlich drauf.

        Und ob meine Telefonnummer jemand hat, ist das geringste Problem. Das kann ich lautlos stellen, Anrufer blockieren oder die Übermittlung deaktivieren. Es ist ja nur eine Nummer.


      • Peter vor 9 Monaten Link zum Kommentar

        Weiter oben hast du noch angemerkt das (Idioten) zb. die Telefonnummer an WhatsApp weitergeben.
        Ich hab nämlich die selbe Einstellung. Meine Nummer kann holen wer möchte. Weil es technisch zum Glück so machbar ist das nur ich entscheide wer an mich heran kommt telefonisch.


      • Th K vor 9 Monaten Link zum Kommentar

        Das mit der Nummer war speziell Festnetz und "offline" gemeint, bzgl. Behörden. Denn meine Handynummer gebe ich außer im privaten Umfeld nicht weiter. Und bei WhatsApp wird ja nicht nur einfach die Nummer weitergeben. WhatsApp ist bekanntermaßen mit Facebook verbunden und die Verknüpfung, die ein Profil zu einer Person über Freunde & Co. (ohne selbst ein Profil dort zu haben) ermöglichen, sind ja bekannt.

        muwe


    • Aries vor 9 Monaten Link zum Kommentar

      Wie kommst Du zu der Unterstellung, dass jeder, der sich über die Verletzung der Privatsphäre kritisch äußert, sämtliche Messenger nutzt und private Bilder auf Facebook und Co. postet?


  • Was haben sich hier Leute über WA aufgeregt und jetzt kommt nach und nach raus ,daß andere auch den gleichen Mist verzapfen. Ist doch wohl logisch ,daß die Daten gespeichert werden und eventl. verkauft oder anderweitig genutzt werden.


    • Peter vor 9 Monaten Link zum Kommentar

      Das sag ich ja immer schon. WhatsApp und Facebook sind halt nur die Plattformen wo es öffentlich bekannt ist das diese es nicht so genau nehmen mit dem Datenschutz. Nur weil es von anderen Messenger oder sonstigen Diensten (noch) keine Aufdeckung gab heißt das noch lange nicht das diese sich nicht auch an den Daten bedinen.


    • Aries vor 9 Monaten Link zum Kommentar

      Das ist nicht das gleiche!
      Erstens kann man das bei Wire abschalten, bei WhatsApp nicht, auch wenn der Zeitpunkt, zu dem man es abschalten kann, zu spät ist.
      Zweitens werden keine Nutzerdaten übermittelt, sondern Daten zum Gerät, welche allerdings einen Nutzer eindeutig wiedererkennbar machten, ohne seinen Namen zu kennen.
      Drittens werden keine Kontaktdaten übermittelt.

      Ohne Wire kleinreden zu wollen, was WhatsApp/Facebook machen, ist noch eine ganze Ecke mehr!

      muwe


  • Kuketz hat sich ja schon vor einiger Zeit kritisch zu Wire geäußert und ein Großteil der Inhalte aus dem Link ( https://www.kuketz-blog.de/wire-messenger-hintergrundinformationen/ ) wurden entfernt. Schade drum. Seitdem hatte ich ein gespaltenes Verhältnis zu Wire und nun wird meine Annahme bekräftigt. Danke an Kuketz!


    • Aries vor 9 Monaten Link zum Kommentar

      Wire überträgt keine Nutzerdaten, sondern ausschließlich Gerätedaten, wie der decodierte Base64-String von Mike Kuketz beweist. Damit lässt sich eine Person wiedererkennen, ohne auf deren Identität schließen zu können. Das ist ein Vorgehen, was 80 bis 90 % aller Apps und Webseiten machen. Sie nutzen dazu meistens Google Anylytics oder das neuere Firebase Analytics. Viele Apps und Webseiten setzen sogar mehr als einen Tracker ein.

      Insofern ist das Tracking nicht zu beanstanden. Was zu beanstanden ist, ist die Tatsache, dass man es nicht abschalten kann, bevor Daten übertragen werden. Das ist nach Auffassung von Mike Kuketz und auch von mir, nach der DSGVO nicht erlaubt. Insbesondere deshalb, weil das Zielsystem ein Server im Nicht-EU-Ausland ist, der den EU-Regeln nicht unterliegt.


      • Peter vor 9 Monaten Link zum Kommentar

        Dann wäre die nächste und wichtigste Frage : was passiert mit Gerätedaten? Ausserdem sind "Gerätedaten" ein großer Begriff.


      • Ich habe sowohl den o. g. Artikel als auch den Blogeintrag von Kuketz gelesen und verstanden, danke.
        Mein Beitrag zielte darauf ab, dass Kuketz schon früher Wire kritisiert hat, diese Beiträge nicht mehr im Ganzen zu finden sind und nun die nächste Beanstandung vor der Tür steht bzw. schon durchgegangen ist.
        Wenn Wire sich wenigstens einer Schuld bewusst wäre und dies nicht als Lappalie abtäte, würde ich mir überlegen, Wire länger zu nutzen. Nun ist mein Vertrauen endgültig dahin und ich bin froh, dass wenigstens einige meiner Kontakte mittlerweile Threema nutzen. Die Familie nutzt weitestgehend einen von mir aufgesetzten und administrierten XMPP-Server (ejabberd).
        Leider hat nun besagte US-amerikanische Firma durch Wire meine Daten - tusch, Applaus!


      • Aries vor 9 Monaten Link zum Kommentar

        Du kannst den decodierten JSON-String dazu bei Mike Kuketz einsehen. Ed sollte auch für Laien rrdichtlich sein, welche Daten übermittelt werden.


      • Aries vor 9 Monaten Link zum Kommentar

        @König Frank I: Ich habe Wire bereits letztes Jahr dazu kontaktiert und ihre Reaktion war identisch. Es ist tatsächlich Auslegungssache, wie das zu bewerten ist. Ich gehe diesbezüglich mit Mike Kuketz konform.

        Man sollte allerdings auch im Hinterkopf haben, dass Mike bezüglich Mixpanel noch eine private Rechnung offen hat. Das soll aber Wire nicht freisprechen. Tracking ist problematisch, erst Recht, wenn man mit Sicherheit und Privatsphäre wirbt.


  • Warum bin ich bloß nicht überrascht? Internet und Datenanalyse bzw. Apps und Datenanalyse scheinen ein sehr lange verheiratetes Paar zu sein.

    PeterGelöschter Account


    • Aries vor 9 Monaten Link zum Kommentar

      Signal und Threema enthalten keine solchen Module.

      Leider enthalten nahezu alle Apps entsprechende Module, allen voran Google Analytics bzw. Firebase Analytics (das z.B. in WhatsApp und Telegram enthalten ist). Manche Apps, gerade Wetter-Apps, Fußball-App, App-Locker und Spiele enthalten oft mehr als einen Tracker. Das Maximum, das ich gefunden habe, waren 12 Module in einer App.

      Es ist sehr schwer, sich dem zu entziehen, denn bereits die vorinstallierten Apps enthalten ebensolches.

      Solche Module sollten komplett aus den Apps und Webseiten verschwinden. Aber das Marketing meint ja wissen zu müssen, wie die Anwender die Apps und Webseiten nutzen.

      In Wire kann man den Versand der Daten übrigens abschalten. Es ist aber hier wie bei anderen Apps, dass man erst die Möglichkeit zum Opt-Out hat, wenn bereits Daten verschickt wurden. Das ist ein Verhalten, das bekämpft werden muss.


  •   15
    Gelöschter Account vor 9 Monaten Link zum Kommentar

    Wow, jetzt wird die Welt unter gehen! Garantiert! :D


    • Th K vor 9 Monaten Link zum Kommentar

      Nicht jeder will sich mit so einem Betrug abfinden, so wie du es offenbar schon tust ;)


      •   15
        Gelöschter Account vor 9 Monaten Link zum Kommentar

        Betrug? Man sollte sich im Klaren sein, dass man keinerlei Privatsphäre mehr hat, sobald man das Haus verlässt oder sich ins Internet begibt. Dafür ist Privatsphäre einfach nicht ausgelegt... ;)


      • Aries vor 9 Monaten Link zum Kommentar

        Man hat keine Privatsphäre mehr, selbst wenn man im Haus bleibt, weil die Daten von allen von jedem verteilt werden. Soll das ein Grund sein, die Machenschaften zu akzeptieren?


      • Mit "xPrivacy" (xPosed-Framework) sollte man auch schon wärend der Installation und/oder beim ersten Start sicher sein.

Dank ist diese Seite frei von Werbebannern