Router-Hersteller sammelt viel mehr Daten, als er sollte

Ubiquiti ist der Name einer Firma aus New York (USA), deren Router sich auch in Österreich großer Beliebtheit erfreuen. Der Grund: Das Design ihrer weißen, runden Access-Points ist hübsch und man hat mehr Konfigurationsmöglichkeiten als bei herkömmlichen Geräten dieser Art. Laut Franz Josef Kaiser, einem bis vor kurzem zufriedenen Ubiquiti-User aus Wien, lässt sich damit eine bessere WiFi-Abdeckung als mit klassischen Routern erreichen. Die Geräte dürften zudem vermehrt auf Campus-Netzwerken zum Einsatz kommen sowie in Klein- und Mittelbetrieben (KMUs).

Kaiser hatte bei seinem Ubiquiti-UniFi-Controller das Online-Tracking in den Einstellungen abgedreht. Er hatte damit verfügt, dass keine seiner persönlichen Daten an das Unternehmen fließen sollen. Doch dann musste er feststellen, dass sie das trotzdem tun und dabei sogar mehr Daten übertragen werden, als erwartet. Deshalb hat Kaiser nun eine offizielle Auskunft laut Datenschutzgrundverordnung (DSGVO) gestellt, denn er will vom Unternehmen wissen, was da wirklich alles gesammelt wird. Ubiquiti hat noch nicht geantwortet, doch die 31-Tage-Frist läuft noch.

Off-Knopf stoppt Datensammlung nicht

Der Software-Entwickler hat aber in der Zwischenzeit eine offizielle Antwort auf Twitter bekommen, die zumindest erklärt, warum trotzdem Daten an den Hersteller übermittelt werden, obwohl Kaiser das offiziell verboten hat. Der Off-Knopf bedeutet lautet dem Hersteller lediglich, dass die Daten, die über die Nutzung der Geräte und für sogenannte Absturzberichte übertragen werden, keine personenbezogenen Daten wie IP-Adresse oder MacID enthalten würden.

Das kann Kaiser bislang nicht bestätigen. „Das, was Ubiquiti sammelt, geht weit über das hinaus, was in der Datenschutzerklärung drin steht“, so der Entwickler im Gespräch mit der futurezone. Er ist auf Reddit mit anderen Nutzern in Kontakt getreten und hat sich Log-Files schicken lassen. „Was ich bis dato nach der Durchsicht der mir vorliegenden Logs sagen kann ist, dass hier weit mehr Daten übertragen werden, als für Produktverbesserungen notwendig sein kann.“

Was alles übertragen wird

Im Detail bedeutet das: „Unter anderem werden IDs oder Hashes für den Standort, die Controller-Software, deren Betriebssystem, alle Geräte (Switches, Access Points, etc.) erstellt und vor allem – und das ist das eigentlich Besorgniserregende – auch für einzelne Clients wie Mobiltelefone. Damit nicht genug wird auch der Hersteller, wie z.B. Google oder Motorola, der Clients mitübertragen. Das bei der Datenlage eine Anonymisierung durchführbar ist, ist nur schwer vorstellbar“, sagt Kaiser. „Eigentlich muss man an diesem Punkt schon hinterfragen, ob hier überhaupt noch eine Pseudonymisierung möglich ist.“

Das Problem: Die Geräte sind laut den Log-Files eindeutig identifizierbar. Damit könnte man etwa feststellen, wenn eine Person mit einem Smartphone in einer Stunde an Ort X (etwa am Campus) gewesen ist, und wann sie das nächste Mal wieder kommt und wie viele Stunden sie sich vor Ort aufgehalten hat. Dadurch wird also personenbezogenes Tracking möglich.

Datentransfer lässt sich nicht deaktivieren

Ubiquiti würde nirgends erklären, wie die Anonymisierung der Daten genau abläuft, wenn in den Einstellungen die entsprechende Option gewählt wurde, kritisiert Kaiser. „Man kann ihnen nur vertrauen, dass es passiert, aber wir wissen es nicht“, sagt Kaiser. Er spricht sich dafür aus, dass Nutzer das Recht haben sollten, dass überhaupt keine Daten an den Hersteller übertragen werden. „Es gibt keine Möglichkeit, den Datentransfer zu deaktivieren“, so Kaiser. „Und wenn ich nicht getrackt werden will, heißt nein doch eigentlich nein, genauso im persönlichen Umfeld wie bei der Software.“

In der Datenschutzerklärung des Unternehmens fehlt laut Kaiser außerdem eine Erklärung, was der Zweck der Datensammlung ist. „Zur Verbesserung der Produkte ist mir zu wenig, ich wünsche mir an dieser Stelle mehr Transparenz“, so der Entwickler.

Eine Anfrage der futurezone beim Hersteller wurden binnen einer mehrtägigen Frist nicht beantwortet. Auch der Entwickler will an der Sache dran bleiben. Er möchte auch selbst Log-Files erheben und diese im Anschluss mit den Auskünften des Unternehmens vergleichen und nachsehen, ob diese übereinstimmen.