Vorinstallierte Apps: Haben Smartphone-Nutzer eine Wahl?

Wer sein neues Smartphone in Betrieb nimmt, hat es in aller Regel mit einer Menge vorinstallierter Apps zu tun. Eine Untersuchung des Marktwächter-Teams der Verbraucherzentrale Nordrhein-Westfalen zeigt: Auf den getesteten Smartphones waren auch Apps, die sich nicht löschen ließen und sich zum Teil unerwartete Zugriffsberechtigungen sicherten.

Eine Marktwächter-Befragung vom August 2019 legt dar, dass sich die Mehrheit der befragten Smartphone-Besitzer ein sparsam ausgestattetes Smartphone ohne Drittanbieter-Apps wünscht. Das Marktwächter-Team der Verbraucherzentrale Nordrhein-Westfalen hat daraufhin vorinstallierte Apps auf je einem Gerät von Apple und Samsung geprüft.

Drittanbieter-Apps nicht zu löschen

Auf dem getesteten Apple-Gerät hat das Marktwächter-Team 43 vorinstallierte Apps vorgefunden, auf dem Smartphone von Samsung sogar 63. Zum einen befinden sich auf den beiden Testgeräten beim Kauf bereits Apps der jeweiligen Smartphone-Hersteller – im Fall von Samsung auch vom Betriebssystemanbieter Google – für beispielsweise Telefonie, Kamera oder den Internetzugang. Viele von ihnen bilden Grundfunktionen des Smartphones ab. Beim getesteten Samsung-Gerät sind zum anderen aber auch sieben Apps von Drittanbietern vorinstalliert. Und diese lassen sich zum Teil nicht einmal deinstallieren – wie etwa die App von Facebook oder LinkedIn.
Solche Drittanbieter-Apps bleiben auf dem Smartphone vorhanden, auch wenn der Nutzer deren Dienste explizit nicht verwenden möchte. Verbraucher können also weder darüber entscheiden, welche Apps, die über gewisse Grundfunktionen des Smartphones hinausgehen, konkret auf ihrem Smartphone vorinstalliert sind, noch können sie zum Teil unerwünschte Apps löschen. „Dies ist inakzeptabel“, so Ayten Öksüz, Teamleiterin des Marktwächter-Teams der Verbraucherzentrale Nordrhein-Westfalen. „Wenn der Verbraucher schon mit dieser Menge an Apps konfrontiert wird, sollte er doch mindestens die Chance haben, unerwünschten Ballast durch Drittanbieter loszuwerden.“

Apps sichern sich Berechtigungen vorab

Im Rahmen eines Praxistests nahmen die Marktwächter-Experten die Smartphones in Betrieb. Sie folgten bei allen Einstellungen der Herstellerempfehlung und behielten Zugriffsberechtigungen unverändert bei. Das Ergebnis: Nach erstmaliger Inbetriebnahme hatten sich 14 vorinstallierte Apps des Samsung-Smartphones Zugriffsberechtigungen eingeräumt – teilweise ohne dass der Nutzer dies erwarten konnte oder gefragt wurde. So waren bei der App Bixby Home sieben Zugriffsberechtigungen, wie auf Kontakte, Standort oder Telefon, noch vor der Aktivierung und Nutzung der App voreingestellt. „Zugriffsberechtigungen bei vorinstallierten Apps, besonders bei denen von Drittanbietern, sollten erst aktiv sein, wenn der Nutzer die App wirklich anwendet,“ so Öksüz.

Datenübertragung im Klartext

Eine technische Prüfung ergab, dass die Datenübertragung der Smartphones prinzipiell geschützt erfolgt. In einem Fall sendete jedoch das Samsung-Smartphone ein Datum unverschlüsselt: Der Hersteller übermittelte die Geräte-ID beim Aufruf einer Webseite über den vorinstallierten Internetbrowser unverschlüsselt an die eigenen Server. Die Geräte-ID ist ein sogenannter „Hardware-Identifier“. Dieser lässt eine eindeutige Identifizierung des Geräts und damit auch mittelbar des Nutzers zu. Im Rahmen von Nutzertracking wurde die Geräte-ID zudem an Drittanbieter gesendet.

*Methodik: Praxistest: Inbetriebnahme zweier Smartphones (Apple iPhone7/iOS12, Samsung Ga-laxy S10e/android pie; 9.0) nach Herstellerempfehlung. Erfassung aller vorinstallierten Apps inklu-sive deren aktiver und passiver Zugriffsberechtigungen. Kategorisierung jeder vorinstallierten App nach Anbieter (Smartphone-Hersteller, Betriebssystem-Anbieter, Drittanbieter). Überprüfung der Deaktivier- und Löschbarkeit der jeweiligen vorinstallierten App (Testzeitraum: Von Mai bis August 2019). Technische Prüfung: Von Juni bis September 2019 Untersuchung beider Smartphone-Modelle hinsichtlich ihres Datenspeicher- und Datensendeverhaltens durch das technisches Prüfinstitut: defendo.it/Backes SRT GmbH.