Image credit:

Welche Daten sammelt Bose wirklich über euch und eure Lieblingsmusik?

Experte macht den Test
0 Shares
Share
Tweet
Share
Save

Bose hat sich am vergangenen Wochenende sowohl auf der eigenen Webseite als auch auf Facebook zu den Vorwürfen geäußert, dass das Unternehmen mit Hilfe der hauseigenen App "Bose Connect" Daten darüber sammle, welche Musik man vom Smartphone an Bluetooth-Kopfhörer schicke und diese Informationen verkaufe. Genau dies ist Anlass für eine Sammelklage gegen Bose, die derzeit in den USA angestrebt wird.

Auf seiner Webseite gibt sich das Unternehmen unverfänglich neutral, räumt jedoch gleichzeitig ein, dass in der App durchaus Daten erfasst werden. Eine Praktik, der man automatisch zustimme, sobald man die App verwendet, was wiederum den Kopfhörer-Kunden selbst überlassen sei, weil sich Bose-Kopfhörer auch problemlos ohne die Smartphone-App nutzen lassen.

First, our privacy policy can be found on the Connect App. You'll find that the Connect App collects standard things to make your experience, and our products, better -- like device information, app performance, and app and product usage. That includes information about songs playing on the device, volume played, and other usage data.

Auf Facebook hingegen äußerst sich Bose expliziter und kündigt rechtliche Schritte gegen die Sammelklage an, an der wiederum nichts dran sei. Weiter heißt es:

Nothing is more important to us than your trust. We work tirelessly to earn and keep it, and have for over 50 years. That's never changed, and never will. In the Bose Connect App, we don't wiretap your communications, we don't sell your information, and we don't use anything we collect to identify you – or anyone else – by name.

Also alles halb so wild? Weit gefehlt, die Situation scheint deutlich komplexer. Im Thread unter dem Facebook-Posting, in dem es erwartungsgemäß drunter und drüber geht, findet sich auch ein Beitrag von Brian Semrau, der sich selbst als Sicherheitsexperte vorstellt. Er hat sich – wie viele andere auch – die Bose-App und den angeschlossenen Datenverkehr und -austausch angesehen und seine Erkenntnisse zusammengefasst. Demnach sammelt die App jede Menge Daten, die auf Servern in den USA gespeichert werden. Das ist nicht verwerflich, zumal Bose in der Datenschutzrichtlinie der App darüber genauestens informiert. Neben der Kommunikation mit Bose-eigenen Servern werden Informationen auch an Crashlytics und an segment.io geschickt, das Datamining-Unternehmen, das auch in der Sammelklage genannt wird: Und genau hier kommt einiges zusammen:

What type of device it was (mobile, desktop, etc) / App build versions / App name (Bose Connect) / What appears to be a way to identify what "account" to associate the data with / An "anonymousId" (probably a unique ID to tie listening habits to a single person for analytics without revealing the PII) / Information about the programming libraries it is using / The timezone / Screen resolution / The android userAgent (Dalvik or Art – in this case Dalvik) / The operating system version / The specific hardware versions and builds / The language settings / A unique identifier for the phone / Brand of phone / Model of phone / Name of phone build (in this case "hero2qlteatt") / Whether or not the phone was on WiFi or Cellular (in this case WiFi) / The carrier (even though I was on WiFi) / Whether or not the network was over Bluetooth / Whether or not the network was over Cellular / What appears to be the amount of time I was listening to the headphones / What appears to be the firmware version of the headphones / What appears to be the serial number of the headphones / What appears to be the product ID of the headphones / Artist of media playing / Album of media playing / Title of media playing / Timestamp / Message sent timestamp / Type of event (track changed, now playing, etc)

Semrau kommt zu dem Schluss, dass segment.io die angelieferten Daten nicht ohne weiteres Einzelpersonen zuordnen kann. Ob der Fülle der übermittelten Informationen (Seriennummer der Kopfhörer, Identifikator des verwendeten Telefons) seien Rückschlüsse auf den Nutzer jedoch nicht ausgeschlossen, wenn sich segment.io die Mühe machen würde, sich mit zusätzlichen Daten aus anderen Quellen zu versorgen und das Puzzle so zusammenzusetzen. Als größtes Problem identifiziert Semrau die Tatsache, dass man der Datenschutzrichtlinie von "Bose Connect" nach dem Download der App nicht explizit zustimmen muss, bzw. kann. Zwar ist der Text in der App hinterlegt, die Zustimmung wird jedoch mit der Nutzung des Programms vorausgesetzt. Bei einer solchen Masse von übermittelten Informationen wäre das mehr als angebracht.

Wie bereits erwähnt: Die Bluetooth-Kopfhörer von Bose lassen sich auch ohne die App problemlos verwenden. Genau das sollte man auch tun. Wer wann welche Musik wie lange hört, geht Bose rein gar nichts an.

From around the web

ear iconeye icontext filevr