Wie Google Android-Nutzer verfolgt, noch bevor sie eine App öffnen

Unbemerkte Überwachung: Keine Warnung, keine Zustimmung

Eine aktuelle Untersuchung zeigt, dass Android-Nutzer bereits von Google getrackt werden, bevor sie überhaupt ihre erste App öffnen. Wer ein Android-Gerät startet und sich mit seinem Google-Konto anmeldet, setzt eine Kette von Tracking-Mechanismen in Gang – ohne jegliche Einwilligung oder Möglichkeit, diese abzulehnen.

Doug Leith, Professor für Computersysteme am Trinity College Dublin, hat in seiner Studie herausgefunden, dass Android-Geräte verschiedene Identifikatoren und Werbecookies aktivieren, die dann automatisch Daten an Google senden. Besonders brisant: Dies geschieht, noch bevor der Nutzer eine Google-App bewusst öffnet oder benutzt.

Eine zentrale Rolle spielt dabei der sogenannte DSID-Cookie. Laut Google dient dieser dazu, angemeldete Nutzer auf Nicht-Google-Websites zu identifizieren und personalisierte Werbung entsprechend ihrer Einstellungen anzuzeigen. Der Cookie bleibt zwei Wochen aktiv – und wird gesetzt, ohne dass der Nutzer gefragt wird oder widersprechen kann.

Verborgene Identifikatoren und ihr Einfluss

Ein weiterer undurchsichtiger Tracker ist die Google Android ID. Diese gerätegebundene Kennung wird erstellt, sobald Google Play Services das Gerät zum ersten Mal kontaktiert – ebenfalls automatisch und ohne Zustimmung des Nutzers. Besonders problematisch: Die Android ID bleibt aktiv und sendet weiterhin Daten an Google, selbst wenn der Nutzer sich aus seinem Google-Konto ausloggt. Der einzige Weg, sie loszuwerden, ist ein kompletter Werksreset des Geräts.

Leiths Forschung deutet darauf hin, dass diese Identifikatoren unter die europäische Datenschutz-Grundverordnung (DSGVO) fallen, da sie als personenbezogene Daten (PII) gelten könnten. Meine Einschätzung dazu: Das sind ganz  klar personenbezogene Daten.

SafetyCore: Ein weiteres umstrittenes Feature

Die Untersuchung kommt zu einem Zeitpunkt, an dem Google bereits für ein weiteres kontroverses Feature unter Beschuss steht: Android System SafetyCore. Dieses wurde im November 2024 unbemerkt auf Geräten mit Android 9 und neuer installiert. SafetyCore durchsucht automatisch gesendete und empfangene Bilder auf anstößige Inhalte und blendet Warnungen ein, bevor der Nutzer diese sieht. Laut Google erfolgen diese Scans ausschließlich lokal auf dem Gerät – dennoch gibt es keine Möglichkeit, die Installation zu verhindern oder das Feature über die GUI zu deaktivieren. Außer man geht den Umweg über die Android Debug Bridge (adb):

adb shell pm disable-user --user 0 com.google.android.safetycore

Kritik entzündet sich insbesondere an der fehlenden Einwilligung: Viele Nutzer berichten, dass sie erst durch die plötzliche Anwesenheit von SafetyCore auf ihren Geräten davon erfahren haben. Während man es auf einigen Android-Varianten wie Xiaomis MIUI manuell deinstallieren kann, bleibt die Option bei Standard-Android-Versionen oft ausgegraut und kann nur deaktiviert, nicht aber vollständig entfernt werden. Zudem taucht es nach Software-Updates oft wieder auf.

Fazit

Die Ergebnisse von Doug Leith zeigen einmal mehr, wie tief Google in das Nutzungsverhalten von Android-Nutzern eingreift – oft ohne deren Wissen oder Zustimmung. Während Google öffentlich betont, Datenschutz ernst zu nehmen, sprechen die Fakten eine andere Sprache: Die Privatsphäre der Nutzer scheint regelmäßig hinter den kommerziellen Interessen des Konzerns zurückzustehen.

Leserinnen und Leser des Kuketz-Blogs wissen längst, dass Google den Datenschutz systematisch untergräbt und Nutzer kaum echte Kontrolle über ihre Daten haben. Der einzige konsequente Ausweg aus dieser Überwachung: Ein Custom-ROM installieren und sich so weit wie möglich von Googles Zugriff auf das eigene Gerät befreien.