Thomas A. aus der Schweiz hat in den letzten zwei Jahren an 439 virtuellen Läufen teilgenommen und dabei 2’326 km zurückgelegt, auch Nicole L. mit 425 Läufen/2’354 km und Jürg S. aus dem Emmental mit 410 Läufen/2’006 km dürften in dieser Zeit mehr als ein Paar Turnschuhe verbraucht haben. Dies zumindest, wenn man den auf der Laufplattform viRACE veröffentlichten Daten Glauben schenken will. Die Ehrlichkeit der LäuferInnen ist hier aber nicht unser Thema, die spannendere Frage ist, wie solche Daten überhaupt öffentlich werden.
Über Online-Plattformen, welche mehr Daten preisgeben als den Betreibern und/oder den Nutzerinnen bewusst ist, haben wir ja schon das eine oder andere Mal geschrieben. Oft ist die übermässige Auskunftsfreudigkeit schon in der URL oder den sichtbaren Daten an sich erkennbar, machmal braucht es aber dazu zumindest die in jedem Browser vorhandenen Entwicklerwerkzeuge. Ein Beispiel für Letzteres liefert diese Geschichte: es geht um die erwähnte Plattform viRACE, welche mittels Website und App virtuelle Sportanlässe anbietet an welchen man standort-unabhängig teilnehmen kann. Wir haben uns die Website dank den Informationen eines anonymen Hinweisgebers angeschaut (es ist aber zu vermuten, dass die Problematik in der App dieselbe ist).
Die Plattform erlaubt die Suche nach zu einem passenden (Lauf-)Veranstaltungen gemäss diverser Kritieren. Wählt man beispielsweise das Intervalltraining der Woche aus, erhält man eine Übersichtsseite mit Details zur Veranstaltung wie auch Informationen über die anderen Teilnehmenden.
Im Grunde genommen ist bereits die Teilnehmenden-Liste gesprächiger als sich das vielleicht der eine oder die andere vorstellen kann. Wer einen häufigen Namen wie Urs Müller trägt (der alleine im CH-Telefonbuch über 700 Mal vorkommt), braucht sich daran wohl weniger zu stören als Menschen mit Namen welche es schweizweit ein paar wenige Male gibt. Wie man am Screenshot sieht, kann man sich auch einen vom eigenen Namen unabhängigen Benutzernamen aussuchen. Diesen muss man aber explizit in den Profileinstellungen setzen, beim Anlegen des Accounts besteht dazu keine Möglichkeit.
Es ist anzunehmen, dass die wenigsten Benutzer überhaupt schon nur auf die Idee kommen, ein Pseudonym zu verwenden wenn es nicht explizit bei der Registrierung abgefragt wird. Und es kann ja durchaus Absicht sein, auf dieser Plattform auch gefunden zu werden (um zum Beispiel zusammen mit Freunden oder Bekannten an Läufen teilzunehmen oder weil man mit seinem gutem Rang prahlen will), ergo ist Anonymität selten das Ziel. Auch sind wir hier noch immer im Bereich einer allenfalls etwas wenig privacy-freundlichen Registrierung, das alleine wäre keinen Artikel wert.
Spannender wird es, wenn wir uns die eingeblendete Rangliste anschauen, und dort insbesondere die Suchfunktion. Was auf den ersten Blick wie eine simple Namenssuche aussieht, hat es dann beim Klick auf das Filter-Icon durchaus in sich.
Die erweiterte Suchfunktion erlaubt nicht nur die Suche nach Teamnamen sondern auch nach Altersbereichen. Und die Website reagiert beim Anwählen eines dieser Bereich derart blitzschnell, dass die Vermutung naheliegend ist, dass Informationen zum Alter der Läufer bereits vor dem Filtern im Browser vorhanden sind. Spätestens jetzt lohnt es sich, die im Browser enthaltenen Entwicklertools zu öffnen und sich den Netzwerkverkehr zwischen Browser und Server etwas genauer anzusehen. Wolhlgemerkt: Dafür braucht es keine technischen Hacking-Skills, sondern lediglich 3-4 Klicks.
Dort stösst man dann nach ein bisschen Suchen auf die URL über welche die Detaildaten zu einem Event inklusive der Teilnehmerliste vom Server geladen werden:
https://backend.virace.app/api/v1/rooms/2344?join[]=segment&join[]=participants&join[]=participants.user
Unter „Room“ scheint viRACE einen einzelnen Event zu verstehen, die Zahl 2344 kennen wir bereits aus der URL des zweiten Screenshots weiter oben. Welche Informationen dabei zurückgeliefert werden, kann jede Leserin durch Anklicken der URL selbst nachvollziehen (wer will, kann auch noch Event 2343 probieren). Die Darstellung im Browser selbst ist nicht unbedingt lesefreundlich (schliesslich sind es ja Daten in einer Form welche durch ein im Browser laufendes JavaScript-Programm verarbeitet werden sollen), aber die schon erwähnten Entwicklertools helfen beim Strukturieren.
Und wenn wir dann einen Eintrag näher anschauen, finden wir auch die Lösung zum „wie funktioniert das Filtern nach Altersgruppe“-Rätsel.
In den im Browser vorhandenen Daten ist schlicht das Geburtsjahr enthalten nach welchem für die Alterssuche gefiltert wird. Und so nebenbei erfahren wir auch noch, dass „Woodzee“ aus Basel stammt und wohl am Samstag morgen zwischen halb 11 („createdAt“) und 11 („updatedAt“) seinen Trainingslauf absolviert hat.
Wir haben uns die Events und Teilnehmer der letzten zwei Jahre näher angeschaut, unter anderem lassen sich mit den verfügbaren Daten recht einfach die eingangs erwähnten Erkenntnisse gewinnen. Insgesamt haben rund 72’000 Menschen an einem oder mehreren Läufen teilgenommen, davon haben knapp 16’000 eine Adresse in der Schweiz angegeben.
Via viRACE organisierte finden auch im Ausland statt, so kommen rund 22’000 Benutzer aus Deutschland und 10’000 aus Portugal. Die übrigen verteilen sich auf andere Länder in Europa wie auch (in sehr kleiner Zahl) auf anderen Kontinenten.
Was hier datenschutzmässig schiefgelaufen ist? Einiges. Besonders was die europäische Reichweite angeht, könnte es noch ein böses Nachspiel haben:
- viRACE verstösst gegen seine eigenen Datenschutzbestimmungen: Immerhin wurde dieser Teil auf unseren Hinweis angepasst in den Datenschutzbestimmungen (wobei es davon unterschiedliche Versionen gibt). Die Macher von viRACE versprachen ursprünglich dass die Läufer*innen die Sichtbarkeit jederzeit selber verändern können. Doch wir haben keine solchen Einstellungen gefunden. Jede viRACE-Nutzer*in war mit Name und Rang publik im World Wide Web. Sprecherin Daniela Wittwer vom EDÖB sagt dazu: „Generell wird vom EDÖB empfohlen, dass Ranglisten im Internet mit einem «noindex» Tag versehen werden, damit sie von Suchmaschinen nicht indexiert und somit weniger breit gestreut werden. Dies erhöht den Schutz der/des Einzelnen und verhindert, dass er oder sie über eine lange Zeit mittels einer einfachen Suche im Netz auffindbar ist.„
- In den Datenschutzbestimmungen wird ausserdem versprochen, dass die Wohnangaben (die nötig sind für den Versand von Preisen) vertraulich behandelt werden. Das stimmt schon mal nicht bezüglich des Wohnorts. Diesen haben wir ohne Weiteres über den Browser herausfinden können.
- Dass die Erhebung des Alters bzw des Jahrgangs notwendig ist, noch dass diese gespeichert werden im Browser… nichts davon war Ende 2022 in den Datenschutzbestimmungen zu lesen.
- Und nun wahrscheinlich der gravierendste Befund: die viRACE-App richtet sich nach eigenen Angaben nach den datenschutzrechtlichen Bestimmungen der Schweiz. Doch ein grosser Teil der Nutzerschaft lebt im EU-Raum. Müssen die Datenschutzbestimmungen nicht mindestens DSGVO-konform sein?
Doch die Klärung der Frage erübrigt sich wohl. Wir haben den Eidgenössischen Datenschutzbeauftragten EDÖB kontaktiert. Dieser hat den Sachverhalt bestätigt und sich offenbar bei den Machern von Virace gemeldet.
„Wir haben Virace kontaktiert und auf die Missstände auf ihrer Webseite aufmerksam gemacht. Virace hat nun die Webseite in datenschutzrechtlicher Hinsicht verbessert.“
Daniela Wittwer, Sprecherin EDÖB
Konkret bedeutet dies, dass zumindest der Wohnort nun nicht mehr ersichtlich ist. Um nochmal einen Blick auf den Benutzer „Woodzee“ zu werfen:
Die übrigen oben erwähnten Unschönheiten bestehen weiterhin
- Die gemäss Datenschutzbestimmungen geltende Datenpreisgabe („Auf der Ergebnisliste eines Events sind Pseudonym, Geschlecht, Verein und Alter (Kategorien) des Nutzers sichtbar und öffentlich“) stimmt zwar wenn man nur die Daten im Browser oder der App anschaut, effektiv öffentlich sind weiterhin aber auch das Geburtsjahr und (falls angegeben) das Wohnland. Streng genommen hält die technische Implementierung daher die eigenen Datenschutzbestimmungen weiterhin nicht ein.
- Der Verweis aufs Pseudonym ist zwar streng genommen korrekt, man wird aber nach wie vor nicht aktiv darauf aufmerksam gemacht, dass man seinen Benutzernamen (der per Default mit dem bei der Registrierung angegebenen Vor- und Nachnamen belegt ist) beliebig ändern kann.
- Auch das Verhindern der Indexierung durch Suchmaschine (durch Verwendung eines „noindex“-Tags oder einem entsprechenden Eintrag in
robots.txt
) ist nicht umgesetzt.
Unklar bleibt, ob und wie die europäischen virace-Sprinter:innen (und Datenschutzbehörden aus Deutschland und Portugal) erfahren, dass über einen langen Zeitraum ihre Alters- und Wohnangaben ohne Hacking-Kenntnisse hätten „mitgesammelt“ werden konnten. Zumindest gemäss DSGVO wäre das zwingend notwendig.
Wir haben ViRACE vor einer Woche um eine Stellungnahme gebeten, die Antwort steht noch aus. Wir werden sie hier einfügen sobald wir sie erhalten haben.
Auch wenn es in der Vergangenheit natürlich krassere Fälle von problematischen „leakenden“ Sport-Apps gab (wie etwa hier und hier), bei der Gesundheitsdaten entweder bewusst gesammelt oder von aussen abgegriffen worden sind und der „Case virace“ im Vergleich gerade als Peanuts erscheint: Man sollte sich erstens an seine eigenen Datenschutzbestimmungen halten und zweitens ausweisen was man erhebt. Und drittens sollten jene Datensammlungen dann auch im eigenen Silo verbleiben und nicht von aussen „angezapft“ werden können.
Nachtrag
Am 24. März hat ViRACE die registrierten Kunden wie folgt informiert:
Beschrieben wird in der Mail allerdings nur eine Anpassung der AGB und der Datenschutzrichtlinie, das zu gesprächige API bleibt unerwähnt.
Update (30.3.2023): Einiges wurde jetzt überarbeitet und klarer kommuniziert in den Datenschutzbedingungen bezüglich Sichtbarkeit und Datenkategorie.
7 Antworten
Nicht gut. Allerdings ist das jüngeren Generationen oftmals total egal.
Noch problematischer finde ich die sogenannten „Coach-Apps“ der Krankenkassen, die mit ihren Fragen ganz unverblümt persönliche Gesunfheitsdaten sammeln.
Was, wenn die „gecoachte“ Person dort eine Zusatzversicherung hat und ihr aufgrund der gesammelten Daten später Leistungen gestrichen werden? Momentan ist es vielleicht noch nicht so weit, aber was kommt da noch auf uns zu?
Da waren doch diese Suunto Tracker, mit welchen man auch seine Laeufe und Trainings in die Welt hinaus posaunen konnte. Es dauerte eine Weile bis durchsickerte wo in der Irakischen Wueste die amerikanischen Soldaten trainierten. Mehr oder weniger in Echtzeit.
Danke auch für diesen ebenfalls interessanten Artikel. Finde das grundsätzlich interessant. Aber wenn man es genau liest, denke ich wiederum, dass man die Kirche im Dorf lassen muss. Als ebenfalls Ausdauersportler nehme ich regelmässig an Langlauf- und Radrennen teil, dort gibt man noch viel mehr preis.. Wenn ichs richtig verstehe werden ja keine E-mail-Adresse und Vor- und Nachname preisgegeben. Und wenns der Datenbeauftrage gutheisst? wäre sicher noch interessant zu wissen, wo sie durchgelaufen sind. Sieht man das auch?
„kirche im dorf lassen“ würde ja genau bedeuten, dass meine daten eben nur von viRACE bearbeitet werden können; und nicht von jeden x-beliebigen internet user. schliesslich geht der user einen vertrag mit viRACE ein und nicht mit jedem user
und dass der eböd etwas gutgeheisen hat konnte ich jetzt nicht unbedingt feststellen.
aber warten wir mal ab was noch so alles passiert
Late to the party aber: Wenn ich mir die URL so anschaue
https://backend.virace.app/api/v1/rooms/2344?join%5B%5D=segment&join%5B%5D=participants&join%5B%5D=participants.user
dann stellt sich mir zwangsläufig die Frage, ob ich noch andere tolle Tabellen aus der Datenbank JOINen kann… so mal rein spekulativ, heisst eine Tabelle vielleicht login, accounts….?
Spannende Frage, das haben wir nicht angeschaut. Aber wäre sicher ein paar Versuche wert…
Auch late to the party – bin neu hier und mir wurde der Artikel weitergeleitet, da ich selbst regelmässiger Nutzer (nein ich bin nicht Woodzee;) ) und ITler bin (und auch ein Flair für Datenschutz habe).
Nach dem etwas verwirrenden Titel sah ich meine persönlichen Daten schon im Darknet herumliegen.. 🙂 Nach etwas genauerer Analyse kann ich aber sagen, da scheint nichts zu holen. Die idee von Dario hab ich vergebens versucht.
Grundsätzlich ist glaub ich jedem Nutzer bewusst, dass die Ergebnislisten und entsprechend Nutzername, gelaufene ZEit, Land etc. öffentlich sind damit das Programm auch einen Nutzen hat. Einige wählen bewusst den Vor- und Nachnamen als Pseudonym, ich und meine Freunde wählten einen frei Erfundenen. Ob jetzt dies in den AGBs korrekt widergegeben wird, kann ich nicht beurteilen.
Für mich ist das Wichtigste, dass Vor- / Nachname kombiniert mit E-mail nicht geleaked wurden und nichts bearbeitet werden kann. Das ist sicher gut zu wissen, für alle weiteren Leser die nicht ganz so technik affin sind.