Auf Anfrage teilte NordVPN mit, man setze keine Tracker in ihren Apps ein, doch die Analyse von Mike Kuketz zeichnet ein ganz anders Bild.
Ein Leser von Kuketz Blog kontaktierte sowohl Surfshark als auch NordVPN, um zu erfahren, ob der Penetrationstester Mike Kuketz damit Recht hat, dass bei ihnen gleich mehrere Tracker eingesetzt werden. Während die Schwesterfirma Surfshark die im Beitrag genannten Tracker bestätigte, bestreitet dies NordVPN.
Auf Nachfrage schrieb ein Vertreter des Unternehmens, dass man die im Blogbeitrag erwähnten Tracker nicht einsetzen würde. Und dann wechselte man das Thema auf die Analyse der Besucher ihrer Webseite. Dort würde man nur Informationen erheben, die man in den eigenen Nutzungsbedingungen festgehalten hat. Gut okay, aber was hat das mit der App zu tun?
App von NordVPN setzt weiterhin drei verschiedene Tracker ein
Kuketz stellte fest, dass die App weiterhin unmittelbar nach dem Start eine Verbindung zum Dienst von Google Firebase (USA) initiiert. Dies ist eine Entwicklungs-Plattform für mobile Anwendungen. Eine weitere Verbindung erfolgt zu Google Firebase Crashlytics (USA), einem Dienst für die Erstellung und Auswertung von Absturzberichten. Auch der Marketingdienstleister AppsFlyer nimmt unmittelbar nach dem Start der App seinen Dienst auf.
Erst tracken, dann fragen?
Diese Verbindungen leitet man übrigens ein, noch bevor der Privacy- oder Cookie-Banner überhaupt erscheint. Während die Nutzer also noch über ihre Einwilligung nachdenken, verschicken die drei Tracker fleißig Daten an Google & Co. Kuketz meint: Dies sei „ein klassischer Fall von ‚erst tracken, dann fragen‘.“ Was die Nutzer dann auswählen, spielt dann leider ohnehin keine Rolle mehr.
NordVPN erhebt rechtswidrig zu viele Daten
Dabei fragt man diverse Gerätedaten (Modell, Hersteller, Netzwerk etc.) vom Gerät ab und überträgt die Informationen ohne Einwilligung. Auch eindeutige Kennungen wie der Fingerprint sind darin enthalten. Laut Kuketz verstößt NordVPN damit eindeutig gegen die gültige Rechtslage in Deutschland. Eine derartige Datenerhebung ohne vorherige Einwilligung der Nutzer ist illegal. Dazu kommt, dass eine derart umfassende Datensammlung gar nicht für den eigentlichen Betrieb der App notwendig ist.
Datenschutz und Sicherheit sind nur ohne Tracking möglich
Das Statement des Pressesprechers ist eine Sache. Doch der von Kuketz erstellte Datenmitschnitt spricht Bände. Während NordVPN noch beteuert, keine Tracker einzusetzen, laufen im Hintergrund längst die Verbindungen zu Google und AppsFlyer. Wieso also versprechen Unternehmen ihren Kunden die Hoheit über ihre Daten und spionieren sie dann selbst aus. Ist das die richtige Methode, um Vertrauen aufzubauen? Zudem räumte der Anbieter schon vor mehreren Jahren ein, bei Anfragen Kundendaten an die Strafermittlungsbehörden zu übermitteln.
Wer als VPN-Anbieter wirklich seine Kunden schützen will, darf sie nicht auf Schritt und Tritt überwachen. Alles andere sei laut Kuketz nichts weiter „als Augenwischerei und (eine) Marketing-Nebelkerze„. Wohlklingende Versprechen von »Privacy« und »Security« auf der eigenen Webseite mögen die Gemüter beruhigen, doch die Wahrheit sieht im Fall NordVPN leider anders aus.
Andere VPN-Anbieter verfahren ganz genauso!
Dazu kommt, dass dies bei weitem nicht der einzige Anbieter ist, der so verfährt. Auch die Apps von ExpressVPN, Secure VPN, Thunder VPN und CyberGhost plaudern fleißig die Daten ihrer Nutzer aus. Übrigens ergab im Fall von NordVPN eine Auswertung der App von vor sechs Jahren ein ganz ähnliches Bild. Damals waren es sogar fünf Tracker, die gleichzeitig liefen.
