1. Was ist Google Firebase?
Google Firebase ist eine von Google angebotene Entwicklungsplattform für mobile Apps und Webanwendungen. Sie bietet Entwicklern eine Vielzahl von Tools und Diensten (derzeit 18), die schnell und einfach in Apps integriert werden können, einschließlich Echtzeit-Datenbanken, Benutzerauthentifizierung, Cloud-Speicher und mehr. Anbei eine kurze, nicht abschließende Übersicht an Tools und Diensten von Google Firebase:
- Analytics (Hauptprodukt): Firebase Analytics bietet Analyselösungen für beliebig viele Datenpunkte und 500 Ereignistypen mit bis zu 25 Attributen. Die Daten werden in Dashboards und Grafiken dargestellt, um Einblicke in das Nutzerverhalten zu erhalten.
- Absturz-Berichte: Firebase Crashlytics ermöglicht es, über den Crash Reporting Service detaillierte Informationen zu sammeln, wenn eine App auf einem Gerät unerwartet abstürzt oder nicht mehr reagiert. Entwickler können so auf mögliche Fehler reagieren.
- Cloud Messaging: Firebase Cloud Messaging (FCM), früher bekannt als Google Cloud Messaging (GCM), ermöglicht das Senden und Empfangen von Benachrichtigungen für Android und iOS.
- Authentication: Firebase Authentication ist eine plattformübergreifende Lösung für verschiedene Authentifizierungsmethoden, einschließlich der Anmeldung bei Facebook, Twitter, Google, GitHub sowie Benutzername und Passwort. Sie kann nahtlos in bestehende Authentifizierungssysteme integriert werden.
- Datenbanken: Die NoSQL Echtzeit-Datenbank von Cloud Firebase ermöglicht die Speicherung von Daten im JSON-Format und die Synchronisierung über mehrere Geräte hinweg. Ein Offline-Zugriff ist ebenfalls möglich.
- Speicher: Firebase bietet einen Cloud-basierten Speicher für nutzergenerierte Daten. Diese Daten werden in Google Cloud Storage gespeichert, das eine skalierbare Speicherlösung bietet.
- […]
Man kann sich Google Firebase wie einen digitalen Werkzeugkasten für Entwickler vorstellen, aus dem man einfach das passende Werkzeug herausnehmen kann.
2. Weshalb ist die Nutzung so praktisch/verlockend?
Die Dienste von Google Firebase sind besonders für kleine Entwickler und Startups attraktiv, da sie ohne aufwändige Serverinfrastruktur und ohne zusätzliche Kosten genutzt werden können. Firebase hat den Vorteil, dass es leicht in bestehende Anwendungen und Apps integriert werden kann, was für Entwickler in der Regel mit wenig Aufwand verbunden ist. Zudem bietet Firebase eine hohe Skalierbarkeit, d.h. Anwendungen/Apps können schnell auf steigende Nutzerzahlen reagieren, ohne dass sich Entwickler um die Infrastruktur kümmern müssen.
Man könnte meinen, dass das, was ich gerade geschrieben habe, direkt aus der Marketingabteilung von Google stammt. Das ist jedoch nicht der Fall. Ich wollte nur verdeutlichen, warum die Google Firebase Dienste so weitverbreitet und in so vielen Android-Apps zu finden sind. Nachfolgend noch einige Beispiele aus der Praxis:
- Die Dating-App Hinge verwendet den Firebase-Dienst Cloud Firestore, um die Übereinstimmungen und Konversationen zwischen den Nutzern zu verwalten.
- Die Reise-App Airbnb verwendet den Firebase-Dienst Performance Monitoring, um die Ladezeit der App zu optimieren.
- Die App Scribd nutzt den Firebase-Dienst Cloud Storage, um eine große Bibliothek an E-Books und Hörbüchern zu speichern und den Nutzern zugänglich zu machen.
- Die Fitbit-App verwendet den Firebase-Dienst Cloud Messaging, um den Nutzern Benachrichtigungen über ihre Fortschritte bei der Erreichung ihrer Fitnessziele zu senden.
- Die App Delivery Hero nutzt den Firebase-Dienst Crashlytics, um Probleme in der App zu erkennen und zu beheben.
Aus Entwicklersicht ist Google Firebase zweifellos eine Bereicherung. Wechselt man jedoch die Perspektive auf den Nutzer, wird schnell deutlich, dass Google Firebase problematische Auswirkungen auf die Privatsphäre des Nutzers hat und potenziell sensible Daten ohne Einwilligung sammelt bzw. verarbeitet.
Google Firebase Alternativen
Unter anderem sind folgende Alternativen verfügbar:3. Weshalb ist Google Firebase problematisch?
Die Nutzung von Google Firebase wirft aus datenschutzrechtlicher Sicht einige Fragen auf. Woher wissen wir bspw., dass Google die im Rahmen von Google Firebase anfallenden Daten nicht für eigene Zwecke verarbeitet und mit eigenen Datenbeständen sowie anderen Firebase nutzenden Anwendungen abgleicht bzw. verknüpft?
Bei der Prüfung von Apps stelle ich häufig fest, dass unmittelbar nach dem Start einer App Daten an die Server von Google Firebase in den USA übermittelt werden, ohne dass der Nutzer vorher darüber informiert wurde oder seine Einwilligung gegeben hat. Die Nutzung eines oder mehrerer Dienste von Google Firebase erfordert eine Initialisierung, die in der Regel unmittelbar nach dem Start einer App eingeleitet wird. Nachfolgend ein Beispiel für die Initialisierung von Google Firebase in der Kleinanzeigen-App:
POST /v1/projects/project-4644380990139517935/installations HTTP/1.1
Content-Type: application/json
Accept: application/json
Cache-Control: no-cache
X-Android-Package: com.ebay.kleinanzeigen
x-firebase-client: H4sIAAAAAAAAAKtWykhNLCpJSk0sKVayio7VUSpLLSrOzM9TslIyUqoFAFyivEQfAAAA
X-Android-Cert: 2A715B64F9C05C1814F265B882188291C1FF10CC
x-goog-api-key: AIzaSyBRxephnuqd5oCRyZwhl547U92ocQslfcM
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: firebaseinstallations.googleapis.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 129
{
"fid":"fh4ysPAgQQeLqXH5_QYP8_",
"appId":"1:557320552179:android:d112cd85034f3b00",
"authVersion":"FIS_v2",
"sdkVersion":"a:17.0.1"
} Diese Übermittlung setzt einen Zugriff auf Informationen im Endgerät des Nutzers voraus und fällt damit in den Anwendungsbereich des TTDSG. Ich möchte nochmals betonen: Die vorgenannte Übermittlung erfolgt ohne jegliche Interaktion des Nutzers. Der Nutzer hat also keine Möglichkeit, in den Zugriff auf Informationen in seinem Endgerät oder in die Übermittlung seiner Daten an den entsprechenden Firebase-Server einzuwilligen.
Aus rechtlicher Sicht ist nun zu beurteilen, ob das Auslesen der Gerätedaten nach § 25 TTDSG rechtmäßig ist oder ob hier eine Ausnahme nach § 25 Abs. 2 Nr. 2 TTDSG vorliegt. Daran schließt sich die grundsätzliche Frage an: Ist Google-Firebase als App-Entwicklungsplattform per se als »erforderlich« anzusehen? In diesem Dilemma prallen zwei gegensätzliche Interessen aufeinander. Auf der einen Seite steht das Interesse des einzelnen Nutzers an der Wahrung seiner informationellen Selbstbestimmung und des Datenschutzes. Auf der anderen Seite steht das unternehmerische Interesse an der effizienten Entwicklung und Pflege sowie dem wirtschaftlichen Betrieb einer mobilen Anwendung und möglicherweise der wirtschaftlichen Nutzung bzw. Verwertung dieser Daten.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
4. Fazit
Eine abschließende rechtliche Bewertung bzw. Urteile explizit zu Google Firebase liegen nach meinem derzeitigen Kenntnisstand noch nicht vor. Vor diesem Hintergrund stellt sich für mich zwangsläufig die Frage, ob die Verwendung von Google Firebase für die Entwicklung von Apps tatsächlich unerlässlich ist. Die Antwort auf diese Frage dürfte vielen App-Entwicklern nicht gefallen, da es unzählige quelloffene Apps gibt, die z.B. im F-Droid-Store zu finden sind und ohne Google Firebase auskommen. Sollte sich ein App-Entwickler, aus welchen Gründen auch immer, in die Abhängigkeit von Google Firebase begeben, ergibt sich für mich folgende Konsequenz: Es muss eine Einwilligung nach § 25 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) eingeholt werden. Denn die Nutzung von Google Firebase ist weder zwingend erforderlich noch vom Nutzer ausdrücklich gewünscht. Google Firebase fällt meines Erachtens nicht unter den Ausnahmetatbestand des § 25 Abs. 2 Nr. 2 TTDSG.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
TTDSG: Stellungnahme der ARD bezüglich Apps liegt vor
Google Analytics beim Bayerischen Rundfunk und die lascheste Datenschutzbehörde Europas – das TTDSG Teil4
Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2
Ich freue mich auf Deine Beteiligung zum Artikel
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.