Hallo zusammen,
gibt es im Blog oder Forum (gerne auch extern) Infos zu den Daten, welche bei Nutzung des Play Store aus geleitet werden? Ich Suche Blog und Forum hoch und runter kann aber nix passendes finden. Wurde das schon mal analysiert? Oder vielleicht anhand der AGB’s “human readable” aufgearbeitet?
Mich interessiert, was aus Datenschutzgründen gegen die Nutzung des Play Store spricht?
Hatte mal bei LOS in die “Geteilten Daten” geschaut, dort sind enorme Datenmengen an Google gesendet worden, aber mit dem Play Store hat das nichts zu tun…der sendet bestimmt auch. Hier kann man auch zusätzlich offiziell von Google erfasstes sehen.. https://myactivity.google.com/
Man mag mir widersprechen, aber für mich ist das ziemlich simpel und ich muss auch nicht wissen, was der Playstore ausleitet.
Android ist das Google Betriebssystem und in dem Augenblick, in dem Du Dich mit einem Google-Account anmeldest, werden Deine Telefonnummer, Deine WerbeID, dein Standort und was immer Google aus der Smartphonenutzung und den installierten Apps über Dich in Erfahrung bringen kann, mit Deinem Account verknüpft.
Ohne Account gibt es immer noch genug Informationen, die an Google gehen, aber das Bild, was sie von mir haben, ist deutlich unschärfer, quasi durch Milchglas gesehen.
Da der Playstore nur mit Account funktioniert, ist das für mich das Argument dagegen und für den Aurora Store (und natürlich F-Droid usw.).
Ist von 2019 und also schon etwas älter (es geht auch nicht explizit um den Playstore):
Google Data Collection: Eine fundierte Analyse
(enthält einen Link zu einem englisch-sprachigen Dokument)
Geht mir so wie @Karo : Ich will definitiv keinen Google-Account anlegen (auch keinen Fake-Account); deswegen nutze ich ein Custom-ROM (GrapheneOS) und für Apps aus dem PlayStore das Frontend „Auroa Store“ zum herunterladen / aktualisieren.
@Flow @Karo @Musti ich danke euch für eure schnellen Rückmeldungen. Mir ist aufgefallen, dass ich vielleicht ein schärferes Bild hätte Zeichnen können.
Google Play Store und Google Play Services kommen auch mir nicht ins Haus. Ich würde lieber auf Software verzichten die eines von beiden Voraussetzt und einen unbequemeren Weg wählen, das ist aber so gut wie nie nötig.
Mein Arbeitgeber setzt eine Zeiterfassungssoftware ein. Der Anbieter stellt unter anderem eine APP für Android bereit. APK download konnte ich nicht finden, also habe ich den Entwickler angeschrieben. Dieser verweist auf den Play Store mit dem Hinweis, dass kein *.apk-download angeboten wird.
Da die Android App selbst, lt. https://exodus-privacy.eu.org/en, keinerlei Tracker einbindet, was ich ausgesprochen vorbildlich finde, habe ich Hoffnung, dass der Anbieter vielleicht doch noch einen *.apk-download bereitstellt wenn man nur ein wenig in Dialog geht.
Daher möchte ich nun mein Antwortschreiben gerne mit empirischen Daten und Quellen anreichern um ein Umdenken zu erreichen oder wenigstens zum nachdenken anzuregen.
Die man aber löschen kann.
Nur zum Installieren bzw. Aktualisieren kann man aber auch den Aurora Store verwenden.
https://f-droid.org/de/packages/com.aurora.store/
Dafür sind ein Google Account & auch der Playstore nicht notwendig.
Wenn ich alleine höre „Arbeitgeber“, so würde mir von dem nichts auf mein privates, eigenes Handy kommen. Wenn der möchte, dass ich so etwas nutze, dann muss er mir auch die Hardware dazu stellen. Arbeit und Privat muss man getrennt halten.
Häufig kommt noch das Einbinden in das Netz des Arbeitgebers, Mails, Teams, what ever hinzu. Ne Ne, nur auf seiner Hardware, nur seine Software, nur sein abgesichertes System. Ich schleppe meinem Arbeitgeber keinen Virus oder ähnliches mit meinem privaten Gerät ins Netz.
Trifft diese Aussage auch auf GrapheneOS ohne Google Account zu?
Kann man Exodus da vertrauen? Die sicherste Methode, wenn auch aufwendig, die APK in Android Studio öffnen und selbst nachschauen….
Die passende Argumentation wäre einfach, man braucht nur behaupten man hätte ein Linux System und bräuchte für Linux eine App….
Für eine informierte Entscheidung wäre das aber durchaus wichtig, zumal der Play Store auch Vorteile mit sich bringt.
Nur der Play Store oder auch die Play Services? Auch welchem OS?
Würde gehen. Ich favorisiere jedoch, wo möglich, die Installation aus den Quellen. Der Aurora Store steht bei mir, als Installationswerkzeug, dann erst an dritter Stelle.
Naja, alles ist relativ 
Ich habe den Sachverhalt eine Zeitlang gesehen wie du, bis zu dem Punkt mit der Schadsoftware. Mittlerweile denke ich da jedoch anders. Wenn du die Geräte vom Arbeitgeber nutzen musst um in seinen Netzwerken mitspielen zu können und dein Arbeitgeber es z.B. hält wie Hessen und du dann noch deinen Arbeitsvertrag aufrechterhalten möchtest, unterwirfst du dich automatisch den AGB’s der Software- und Dienstleistungsanbieter und den bekannten Nachteilen in Bezug auf Datenschutz und Privatsphäre.
Berechtigte Frage. Welchem Softwareentwickler schenkt man eigentlich sein Vertrauen? Danke für den Hinweis mit Android Studio.
Ich habe noch nicht geschaut, ob die APP die Play Services benötigt. Falls du aber Infos hast, dann gerne für beides.
Die AGB vom Play Store https://play.google.com/intl/ALL_de/about/play-terms/ verweisen wiederum auf die Datenschutzerklärung von Google https://policies.google.com/privacy?hl=de und hier muss man sich dann wieder Zeit nehmen.
GrapheneOS.
Das ist bei privaten Geräten nicht so, da muss ich nicht die ABG der Software und Dienstleister akzeptieren um sie zu nutzen?
Der Aurora-Store ist ein Frontend des Playstores - identische Quelle nur ohne persönlichen Google-Account.
Ja genau, so hatte ich es gemeint. Man hat ja die freie Wahl. Hat man natürlich auf Arbeit auch aber da hängt ja im Ernstfall der Arbeitsvertrag dran.
Als Quelle bietet sich hier die Datenschutzrichtlinie von Google selbst an:
https://www.gstatic.com/policies/privacy/pdf/20250701/au717dgi/google_privacy_policy_de_eu.pdf
Ausführlich zitiert hatte ich die schon mal hier in einem anderen Beitrag:
https://www.kuketz-forum.de/t/welches-os-fuer-standardanwender-und-banking/14491/58?u=maetih
Google gibt offen zu, Standortdaten, Daten zur Installation und Nutzung von Apps, URLs von aufgerufenen Webseiten und vieles mehr zu erfassen. Die Daten werden auch erfasst, wenn keine Anmeldung mit Googlekonto erfolgt. Dann dienen eindeutige Geräte-IDs zur Idenfikation von Gerät und Nutzer.
Wie die Erfassung im Detail funktioniert wurde in dem oben bereits zitierten Google Data Collection Paper von Prof. Douglas C. Schmidt, sowie 2021 noch mal unter etwas anderen Gesichtspunkten von D. Leith nachgewiesen, in diesen beiden Papern:
„Measuring The Data iOS and Android Send to Apple And Google“
https://www.scss.tcd.ie/doug.leith/apple_google.pdf
„Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets“
https://www.scss.tcd.ie/doug.leith/Android_privacy_report.pdf
Die Datenerfassung erfolgt weniger vom Play Store selbst, sondern überwiegend von den Google-Diensten, also diesen Systemapps:
Google
Google Play-Dienste
Google Services Framework
Der Punkt ist: Ohne diese drei Systemapps und ohne Anmeldung mit Google Account funktioniert auch der Play Store nicht. Dies ist der Stand bei Stock ROMs.
Allerdings schreibst Du, dass Du GOS benutzt. In dem Fall kommen die Googledienste auf Grund eingeschränkter Rechte nicht mehr an alle genannte Daten ran, wie die Geräte IDs oder den Standort, selbst bei abgeschalteten Standorddiensten. Welche Daten Google unter GOS noch erfassen kann, ist in den GOS Dokus dokumentiert. Ganz ohne Datenfluss an Google lassen sich Play-Store und Googledienste aber nicht betreiben.
Ich habe unter einem Stock-ROM bei Anmeldung mit Googlekonto mal versucht, die Erfassung der Gerätenutzung durch Google mit einem DNS-Filter wie RethinkDNS oder PiHole zu beschränken. Dies ist mir nicht gelungen. Erst nachdem ich die drei Systemapps der Googledienste deaktiviert hatte, ist im zugehörigen Googekonto das Gerät nicht mehr aufgetaucht.
Mein Arbeitgeber empfiehlt zwar keine Apps aus dem Playstore, verteilt an die Mitarbeiter aber iPhones, wenn auch nicht zum verpflichtenden Gebrauch. Ich hatte vor einiger Zeit dennoch den Datenschutzbeauftragten im Betriebsrat damit konfrontiert, dass Apple kontinuierlich den Standort von iPhones erfasst, auch wenn die Standortdienste im Gerät abgeschaltet sind und damit Apple z.B. mitbekommt, wenn ein Mitarbeiter in seiner Freizeit ein Bordell, eine Psychiatrie besucht, oder Daten zu einem Besuch im Iran damit in die USA übertragen werden. Ich habe gefragt, wie das mit der Fürsorgepflicht des Arbeitgebers und deutschem, europäischen Datenschutzrecht vereinbar ist. Ich warte nach Monaten immer noch auf eine Antwort aus dem Betriebsrat… Es ist sehr schwierig, ein Umdenken zu erreichen.
Erfolg beim Umdenken hatte ich schon, wenn die Organisation eine Klage befürchten musste, wie z.B. Apps von Banken, Krankenkassen, etc., die Tracker in ihren Apps hatten. Durch eine DSGVO-Anfrage kann in dem Fall durchaus erreicht werden, dass die Tracker aus den Apps entfernt werden. Aber wer will schon gegenüber dem Arbeitgeber mit einer Klage drohen?
Neben dem Playstore und Aurora gibt es weitere seriöse Quellen, an Apps zu kommen. Du könntest z.B. Kollegen bitten die APK der installierte App aus ihren Smartphones zu extrahieren und Dir eine Kopie zu geben. Die Extraktion geht z.B. mit dem Package Manager, der in FDroid erhältlich ist. Solche Tricks sind aber natürlich gerade nicht zielführend, das Umdenken beim Arbeitgeber zu fördern.
Wenn ich das richtig verstanden habe, wollte @feather aber ja eine Argumentationsgrundlage haben, warum die App auch auf der Herstellerseite zum Download stehen sollte.