TL;DR. Apples Datenschutz-“Nährwertetikett” ist die einzige Datenschutz-Offenlegungsfläche in der Technologiebranche mit struktureller Durchsetzung. Die meisten Apps deklarieren eine umfangreiche Datenerhebung, die mit der Nutzeridentität verknüpft ist. Das Etikett der Ostler-iOS-App deklariert null Tracking und keine verknüpften Daten, weil es keinen Ostler-Server gibt, mit dem Daten verknüpft werden könnten. Die Architektur schreibt das Etikett, nicht der Anwalt.
Die meisten Menschen lesen keine Datenschutzrichtlinien. Niemand tut das. Eine Studie der Carnegie Mellon aus dem Jahr 2008 ergab, dass das Lesen jeder Richtlinie, der man in einem Jahr begegnet, sechsundsiebzig Arbeitstage in Anspruch nehmen würde, und die Richtlinien sind seitdem länger geworden. Das Ergebnis ist ein Markt, auf dem Versprechen über den Umgang mit Daten nichts kosten und ihr Bruch selten etwas kostet.
Es gibt genau eine Stelle, an der sich das geändert hat. Seit Dezember 2020 wird jede App im iOS App Store mit einem strukturierten Offenlegungsformular ausgeliefert, das Apple das Datenschutz-Nährwertetikett nennt. Es befindet sich auf der Produktseite der App über den Screenshots. Nutzer überfliegen es. Journalisten machen Screenshots davon. Apple setzt es durch. Apps, die auf dem Formular lügen, werden aus dem Store entfernt, und Apple hat sie entfernt.
Es ist mit deutlichem Abstand die vertrauenswürdigste Datenschutz-Offenlegungsfläche in der Verbrauchertechnologie. Und anders als eine Datenschutzrichtlinie lässt es dem Entwickler keinen Raum, eloquent zu sein. Es ist ein Formular. Sie kreuzen Kästchen an.
Was das Formular tatsächlich abfragt
Das Etikett ordnet jedes Datenelement, das eine App berührt, in eine von drei Kategorien ein, in absteigender Reihenfolge der Bedenklichkeit.
Zur Verfolgung Ihrer Aktivitäten verwendete Daten. Tracking bedeutet in Apples Definition, die von dieser App erhobenen Daten mit Daten zu verknüpfen, die von anderen Unternehmen erhoben werden, zu Werbe- oder Messzwecken. Es bedeutet auch, Daten an einen Datenhändler zu senden. Wenn eine App hier irgendetwas deklariert, zeigt Apple dem Nutzer beim ersten Start der App eine Abfrage und bittet um Erlaubnis. Die meisten Nutzer sagen nein, weshalb die Kategorie überhaupt existiert.
Mit Ihnen verknüpfte Daten. Daten, die die App erhebt und die über ein Konto, eine Geräte-ID oder eine ähnliche Kennung mit Ihrer Identität verbunden sind. Die Daten werden nicht verkauft oder gegenseitig angereichert, aber der Entwickler hält sie und könnte sie im Prinzip nach Nutzer nachschlagen.
Nicht mit Ihnen verknüpfte Daten. Daten, die die App berührt, um zu funktionieren, die sie aber nie mit einer dauerhaften Nutzerkennung verbindet. Der klassische Fall ist eine Karten-App, die weiß, wo Sie sich gerade befinden, um eine Karte zu zeichnen, diesen Standort aber nicht gegen ein Konto aufzeichnet.
Nicht erhobene Daten. Selbsterklärend.
Die Kategorien sind kaskadierend. Eine App, die durchweg “Nicht erhobene Daten” meldet, ist das seltenste Geschöpf im Store, hauptsächlich Taschenrechner und Offline-Spiele. Eine App, die alles als “Mit Ihnen verknüpft” meldet, ist die Cloud-Norm. Fast jede Verbraucher-App liegt irgendwo dazwischen, und die eine Spalte, die das soziale Signal des Etiketts bestimmt, ist die erste: ob die App trackt.
Was das Etikett der Ostler-iOS-App aussagt
Hier ist, was das PrivacyInfo.xcprivacy-Manifest der Ostler-iOS-App deklariert, Zeile für Zeile. Das Manifest ist die Wahrheitsquelle, aus der Apples Nährwertetikett zum Zeitpunkt der Einreichung generiert wird; auf dem Etikett zu lügen, während das Manifest eine andere Geschichte erzählt, wird automatisch erkannt.
| Apple-Kategorie | Antwort der Ostler-iOS-App |
|---|---|
| Zur Verfolgung Ihrer Aktivitäten verwendete Daten | Nichts. Die App deklariert NSPrivacyTracking: false. |
| Mit Ihnen verknüpfte Daten | Nichts. Es gibt kein Kontosystem, mit dem Daten verknüpft werden könnten. |
| Nicht mit Ihnen verknüpfte Daten | Fünf Einträge: Gesundheit, Fitness, Genauer Standort, Fotos oder Videos, Andere Nutzerinhalte. |
| Nicht erhobene Daten | Alles andere. |
Die fünf Einträge in der Spalte “Nicht verknüpft” sind die Datentypen, die die App im Auftrag des Nutzers auf dem Gerät des Nutzers berührt. Gesundheit und Fitness bedeuten, dass die App aus Apple Health lesen kann, um die Zeitleiste des Nutzers anzureichern. Genauer Standort bedeutet, dass die App protokolliert, wo der Nutzer gewesen ist, auf dem eigenen Mac des Nutzers. Fotos bedeutet, dass die App Erstellungsdatum und Standort-Metadaten liest, niemals die Bilder selbst. Andere Nutzerinhalte umfasst Transkripte und Gesprächsausschnitte, die der Nutzer zu erfassen gewählt hat.
Jeder dieser Einträge ist mit “App-Funktionalität” als Zweck gekennzeichnet, was Apples engste erlaubte Verwendung ist. Keiner von ihnen ist als Verknüpft gekennzeichnet. Keiner von ihnen ist als Tracking gekennzeichnet. Wir haben den Code auch auf jedes Tracking-SDK der branchenüblichen Standardliste überprüft: Firebase, Sentry, Mixpanel, Amplitude, Segment, PostHog, AppsFlyer, Adjust, Google Analytics, Crashlytics, Bugsnag, Datadog. Keines davon ist vorhanden. Wir haben nach jeglichem Code gesucht, der iOS um eine Werbe-ID bittet oder der die Abfrage “Erlauben, dass diese App Ihre Aktivitäten verfolgt” auslösen würde, die die meisten Apps beim ersten Start anzeigen. Nichts davon ist da. Diese Abfrage wird niemals erscheinen, weil es nichts in der App gibt, das sie auslösen würde.
Warum dies automatisch ist, nicht tugendhaft
Die Versuchung beim Lesen der obigen Tabelle besteht darin, eine ungewöhnliche Disziplin auf der Engineering-Seite anzunehmen, ein Team, das durch Willenskraft die Linie gegen Tracking-SDKs hält. Es gibt keine solche Disziplin. Das Etikett sieht so aus, weil die Architektur jedes andere Etikett unmöglich macht.
Ostler ist auf einer einzigen Regel aufgebaut. Der Hub, eine macOS-App mit Einmalkauf, lebt auf dem eigenen Mac des Kunden. Die iOS-App spricht mit dem Hub im Heimnetzwerk des Kunden. Persönliche Daten verlassen niemals das Gerät des Kunden. Das reasoning-Modell, ein lokales LLM, läuft auf dem Hub. Der persönliche Wissensgraph, der bei einem aktiven Nutzer auf Millionen von Beziehungen und Hunderttausende eingebetteter Referenzen anwächst, lebt auf der Festplatte des Hubs. Der Cloud-Roundtrip, den andere persönliche KI-Produkte zur Inferenz nehmen, findet schlicht nicht statt.
Diese eine architektonische Entscheidung schreibt das gesamte Nährwertetikett. Ohne Ostler-Server gibt es nichts, wohin die iOS-App nach Hause telefonieren könnte. Ohne Ostler-Konto gibt es keine Identität, mit der Daten verknüpft werden könnten. Ohne Drittanbieter-SDK im Bundle gibt es keine Fläche, über die ein Datenhändler später eingeführt werden könnte, ohne dass es bei einer Code-Überprüfung bemerkt würde. Die Spalte “Nicht mit Ihnen verknüpft” liest sich so, wie sie es tut, weil es in Ostlers Datenbank von vornherein kein “Sie” gibt. Der Hub eines Kunden ist der Hub eines Kunden, und wir haben keinen Einblick darin.
Warum andere Apps nicht folgen können
Die strukturellen Kosten der Änderung eines Nährwertetiketts sind der Teil, der nicht besprochen wird. Die meisten Verbraucher-Apps im Bereich der persönlichen KI sind aus Notwendigkeit Cloud-first. Das Modell läuft auf den GPUs des Entwicklers, weil das Modell zu groß ist, um auf das Telefon des Nutzers zu passen. Um das Modell auf den GPUs des Entwicklers laufen zu lassen, müssen die Daten des Nutzers die GPUs des Entwicklers erreichen. Um das Erlebnis über Sitzungen und Geräte hinweg kohärent zu machen, müssen die Daten mit einem Konto verknüpft werden. Um die GPUs zu bezahlen, muss der Entwickler wissen, welches Konto wie viel genutzt hat. Jede dieser Entscheidungen schreibt eine weitere Zeile in “Mit Ihnen verknüpfte Daten”, und die Architektur kann nicht rückgebaut werden, ohne das Produkt von den Steckdosen aufwärts neu zu schreiben.
Eine Datenschutzrichtlinie kann an einem Nachmittag neu geschrieben werden. Ein Nährwertetikett ist eine Funktion der Binärdatei. Wenn Apple den Schalter umlegt, der ein echtes Etikett verlangt, sagt das Etikett die Wahrheit über den Code, ob der Entwickler es will oder nicht.
Ostler hat den Schritt getan, indem es vom ersten Tag an local-first gebaut hat. Acht Monate architektonisches Engagement, zwei vorläufige Patente, die auf die Pipeline angemeldet wurden, und eine Bereitstellungsform, die um die eigene Maschine des Kunden herum entworfen ist. Die Belohnung ist ein Nährwertetikett, das keinen einschränkenden Absatz darunter benötigt. The world does revolve around you.™ Das Formular im App Store sagt es in Apples Worten, nicht in unseren.
Die Architektur schreibt das Etikett. Nicht der Anwalt.
Fragen, Korrekturen, Widerspruch – [email protected].