Der Mensch ist nicht nur ein Gewohnheitstier, sondern auch ein soziales Wesen. Während um uns herum Corona hohe Wellen schlägt und Social Distancing zur Staatsdoktrin erklärt wird, sehnt sich der ein oder andere danach, Freunde treffen zu können – wie in den guten alten Zeiten. Eine App namens Houseparty verspricht Abhilfe. Doch aus Datenschutzsicht gilt: Dieser Party sollten Sie lieber fernbleiben.
Der Inhalt im Überblick
Face to Face mit den Royals
Houseparty klingt nach ganz viel Spaß, nach lauter Musik und Beer Pong. Nun, ganz so realistisch lässt sich mit dieser App nicht feiern. Aber dennoch: Houseparty gehört derzeit zu den beliebtesten Videochat-Apps. Corona sei Dank.
Houseparty bietet WG-Feeling. Bis zu acht Nutzer können dort gleichzeitig miteinander quatschen, chillen und gemeinsam spielen. Das ICQ der Moderne, könnte man sagen. Nur viel cooler, denn Houseparty ist ein „Face to Face Social Network“ – die Gute-Laune-Feierabend-Variante diverser verstaubter Videokonferenz-Tools.
Und wenn Sie nun glauben, Houseparty richte sich ausschließlich an pubertierende Teenager, an gelangweilte Studierende oder verzweifelte, Prosecco trinkende Hausfrauen, dann muss ich sie enttäuschen: Auch Her Royal Highness, Camilla Rosemary, Duchess of Cornwall, wurde beim Nutzen der App gesichtet!
App außer Rand und Band
Dass Partys häufiger außer Kontrolle geraten, ist allgemein bekannt. Wer jemals studiert oder Kindergeburtstagsfeiern besucht hat, weiß das. Deshalb ist es geradezu erstaunlich, wie wenig Nutzer das Houseparty-Prinzip und die Datensammelwut der App hinterfragen. Diese Party ist im wahrsten Sinne des Wortes Bad Taste:
Der Reiz des Verbotenen
Die knallbunte App mit ihren vielen Features spricht vor allem junge Menschen an – in vielen Fällen Minderjährige. Auch wenn sich Houseparty laut Datenschutzerklärung nicht an Kinder unter 13 Jahren richtet – Wer kontrolliert das? Apps wie TikTok, Houseparty und Co. stehen vor einem Einwilligungsproblem. Häufig haben die Eltern keine Ahnung, welche Apps ihre Kinder nutzen, sei es aus Fahrlässigkeit oder Bequemlichkeit. Dass die installierten Apps haufenweise Daten abgreifen, ist so manchem Elternteil ebenfalls nicht bekannt.
Da Minderjährige meistens noch nicht den Weitblick besitzen, die Folgen ihres digitalen Verhaltens vorauszusehen, sind sie besonders gefährdet. Bei Houseparty verhält es sich ähnlich wie an der Supermarktkasse. Der Reiz ist zu groß, immerhin hat man die Quengelware ständig vor Augen. Wenn alle Klassenkameraden die App nutzen, warum dann nicht auch ich?
Hungrig nach Daten
Houseparty nimmt Datenspenden bereitwillig entgegen. So möchte die App beim ersten Start den Zugriff auf Adressbuch, die Facebook-Freundesliste und Standort des Handys auf freiwilliger Basis gewährt bekommen – wieso auch immer. Man könnte meinen, zum Videochat bedürfte es lediglich der Berechtigung für den Zugriff auf Kamera sowie Mikrofon. Falsch gedacht.
Zusammengefasst interessiert sich die App für
- den Namen,
- das Geburtsdatum,
- die E-Mail-Adresse,
- die Telefonnummer des Nutzers,
- sowie für alle Vor- und Nachnamen inklusive Telefonnummern im Adressbuch,
- für die Facebook-Freunde,
- den Standort,
- Gerätedaten,
- für alle Apps, die auf dem Gerät installiert sind
- und für Nutzungsdaten.
Interessant ist die Begründung, weshalb Houseparty die Angabe der Telefonnummer des Nutzers wünscht. Nach der Installation der App wird man gefragt:
„Please verify your phone number so we know you are a real person.“
Reicht zur Feststellung, ob es sich um eine echte Person handelt, nicht die E-Mail-Adresse aus? Merkwürdig, denn noch 2017 sei nach der Telefonnummer gefragt worden, um mit Hilfe dieser eine Freundesliste aufzubauen. Glücklicherweise ist es jedem selbst überlassen, ob er seine Telefonnummer angibt oder nicht.
Doch damit nicht genug: In die App sind Facebook-Bausteine (Software Developer Kits, SDK) eingebunden. Unverantwortlich, findet der IT-Sicherheitsexperte Mike Kuketz, der unter anderem bei der Dienststelle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg angestellt ist. Durch die an Facebook übermittelte Google-Advertising-ID ist es Facebook in vielen Fällen möglich, die zusätzlich übermittelten Daten mit dem konkreten Facebook-Nutzer zu verknüpfen. Und das, ohne dass die Houseparty-Nutzer dem je zugestimmt hätten!
Housepartys Verschleierungstaktik
Besonders erschreckend ist, was noch bis vor kurzem in der Houseparty-Datenschutzerklärung und in den Nutzungsbedingungen stand:
„You agree that Life on Air is free to use the content of any communications ubmitted [sic!] by you via the Services, including any ideas, inventions, concepts, techniques, or know-how disclosed therein, for any purpose including developing, manufacturing, and/or marketing goods or Services.“
Das Gesprochene wird damit nicht nur analysiert, man verliert auch noch die Rechte daran!
In der Stellungnahme der App-Website vom 02. April 2020 kündigte Houseparty an, in der darauffolgenden Woche die Datenschutzrichtlinie aktualisieren zu wollen. Hiermit sollte unter anderem verständlicher gemacht werden, dass Houseparty die Daten nicht verkaufe und dies auch niemals tun werde.
Seltsam: Die oben genannte Regelung verschwand kurz darauf aus der Datenschutzerklärung und den Nutzungsbedingungen. Stattdessen heißt es in den Nutzungsbedingungen unter Punkt 5 nun, Houseparty beanspruche keine Eigentumsrechte an den Nutzerinhalten. Ein Schelm, wer Böses dabei denkt!
Nichts zu verbergen?
Wer Houseparty nutzt, dem sollte bewusst sein, dass sämtliche seiner Chats öffentlich sind – sofern er den Chat nicht manuell per Schloss-Symbol „verschließt“ oder den privaten Modus einschaltet. Ist ein Chatraum unverschlossen, können für den Ersteller des Chatraums vollkommen unbekannte Personen beitreten, z.B. Freunde von Freunden oder auch der eigene Chef! Auch wenn der Ersteller das Schloss-Symbol auswählt, kann er das nicht verhindern: Laut Datenschutzerklärung kann jeder Teilnehmer des Chats den Raum wieder öffnen.
Außerdem ist es möglich, namentlich nach Nutzerinnen und Nutzern zu suchen. Auch in der näheren Umgebung kann nach potentiellen Houseparty-Gästen Ausschau gehalten werden, sofern die Funktion nicht deaktiviert wird. Unerwünschte Kontaktanfragen und Nachrichten sind damit vorprogrammiert.
Ein kleines Souvenir
Wer sich bei Houseparty in kompromittierenden Situationen zeigt, dem sollte bewusst sein, dass es die App erlaubt, den Bildschirm abzufilmen, lokal zu speichern oder mittels eines anderen Messengers zu teilen. Der Gelackmeierte erfährt davon nichts. Überlegen Sie sich gut, welche Gäste Sie zu Ihrer Houseparty einladen!
Das Photobomb-Problem
Auch wenn man die Kamera auf sich selbst richtet, laufen öfter Angehörige, Freunde oder auch fremde Personen durch das Bild. Manchmal war dies seitens des Photobombers beabsichtigt. In vielen Fällen jedoch werden Menschen unfreiwillig gefilmt. Bei einem Business Meeting käme keiner auf die Idee, die Oma im Hintergrund beim Stretching der halben Welt zu präsentieren. Warum also bei Houseparty? Nun, weil es Spaß macht. Aber spätestens an diesem Punkt sollte Schluss mit lustig sein! Das Recht auf Privatsphäre gilt nicht nur für den Nutzer der App, sondern auch für alle anderen von der Kamera und dem Mikrofon erfassten Personen.
Fake News?
Dubios: Ende März verbreiteten sich Gerüchte auf Twitter und Facebook in Windeseile – wer Houseparty installiere, dessen Spotify-, Netflix-, oder Bankkonten würden gehackt. Diese stümperhaften Kettenbriefe entwickelten sich schnell zu einer Empörungswelle. Deshalb twitterte Houseparty am 31. März 2020 folgenden Aufruf:
„We are investigating indications that the recent hacking rumors were spread by a paid commercial smear campaign to harm Houseparty. We are offering a $ 1,000,000 bounty for the first individual to provide proof of such a campaign…“
Nur zwei Tage später veröffentlichte Houseparty die bereits oben angesprochene Stellungnahme auf der App-Website:
„… Es ist eine schwierige Zeit, aber wir sind bestrebt, unseren Kunden, Fans und Unterstützern das bestmögliche Erlebnis zu bieten. Aus diesem Grund sind wir sehr enttäuscht über die falschen Berichte, wonach unsere Plattform die Konten von Drittanbietern gefährden soll.
Houseparty ist sicher! Es hat keine Datenverletzungen und Offenlegungen von Daten über Kunden oder Drittanbieter-Konten gegeben. Wir haben sofort nach dem Aufkommen dieser falschen Berichte ein internes Team gebildet, das dieser Sache gemeinsam mit externen Experten nachgegangen ist. Wir haben festgestellt, dass diese Behauptungen falsch sind.
Wenn du Houseparty verwendest … solltest du dir keine Sorgen um die Sicherheit deiner Daten machen müssen. Da die Sicherheit ein zentraler Bestandteil unserer Werte ist, nehmen wir das sehr ernst. Wir wollen in diesem Bereich branchenführend sein.
Wir geben dir also folgendes Versprechen: Houseparty hat deine Daten nicht verkauft und wird dies auch zukünftig nicht tun. Niemals!…“
Fakt ist: Beweise fehlen. IT-Sicherheitsexperten halten sich mit ihren Einschätzungen größtenteils zurück. Troy Hunt, der Gründer des Angebots „Have I been pwned“, verweist mit drastischen Worten auf den gesunden Menschenverstand:
„As a general rule of thumb, anything on Facebook expressed in all caps, accompanied by many explanation points and encouraging other people to do something is outright bullshit.“
Fake News also? Wahrscheinlich. Zwar weiß keiner, was Houseparty in dunklen Hinterzimmern tatsächlich so treibt, es klingt jedoch arg konstruiert, die App des renommierten Entwicklers Epic Games hacke Konten.
Die angeblich gehackten Nutzer verwendeten vermutlich dasselbe schwache Passwort auf verschiedenen Websites. Phishing wäre ebenfalls denkbar. Oder… Housepartys Systeme wurden infiltriert. Unrealistisch? Ja. Aber nicht ausgeschlossen.
Einfach mal die Sau rauslassen?
Auch wenn es verlockend erscheint, virtuell mit Freunden die Sau raus lassen zu können: Houseparty feiert mit – und hat Spaß mit Ihren Daten! Wen es nicht stört, einer weiteren Datenkrake zum Wachstum zu verhelfen, nur zu. Alle anderen sollten sich Gedanken darübermachen, ob es ihnen ihre Feierlaune wert ist, ein Stück Privatsphäre aufzugeben.