Der Signup braucht ja auch nur Name und Email Adresse… Ach und Zugriff auf deinen Standort und AdId. Tracking passiert wie immer basierend auf DSGVO Abs. 6.1 (weil deren Interesse die App besser zu machen wichtiger ist als euer Interesse eure Daten nicht in den USA zu haben).
Dazu kommt noch
Dazu dürfen wir auf der Grundlage mathematischer und statistischer Verfahren diese Daten zusammenführen, auswerten und in einem Profil speichern, statistische Zusammenhänge, Wahrscheinlichkeiten und Muster erkennen und auf dieser Grundlage deine Interessen und Vorlieben ermitteln, um klar abgegrenzte Zielgruppen zu definieren und die werbliche Ansprache auf die jeweilige Zielgruppe zuzuschneiden.
Und
Eine Verarbeitung von Daten zum Zwecke des Profilings gemäß Art. 22 DSGVO findet nicht statt.
Du wirst also profiliert (nach DSGVO 4) und es wird die Werbung darauf basieren ausgespielt, nur wirst du nicht benachteiligt.
Am Ende steht noch
Du hast das Recht, die Löschung deiner Daten zu verlangen. Bitte beachte, dass ein Anspruch auf Löschung von dem Vorliegen eines legitimen Grundes abhängt
Das stimmt so nicht ganz nach meinem Verständnis. Soweit ich weiß benötigen alle freiwilligen Angaben keinen legitimen Grund zur Löschung.
Ach und wenn sie denken, dass du was geklaut hast dürfen sie den ganzen Datensatz der Polizei geben
Bei dem Verdacht einer Straftat können wir deine Daten an Strafverfolgungsbehörden (bspw. Polizei, Staatsanwaltschaft) weitergeben
Wie der Artikel zu Recht fragt, wie viel sind eure Daten euch wert?
Wie immer relevantes xkcd
Prjnzipiell geht es auf jeden Fall. Du kannst zB eine VPN zu dir nach Hause nutzen (damit es auch unterwegs funktioniert), und dann mit iptables+wireshark alles abgreifen. Dann kannst du theoretisch gucken welche IP Adressen angesprochen werden und deren Backend nachbauen. Eventuell musst du dein Rootzertifikat auf deinem Handy installieren wenn die URLs per HTTPs angesprochen werden.
Ich mache das zB mit googles connectivitycheck generate_204 (allerdings ist das etwas leichter).
Legal ist ne interessante Frage, ich bin kein Anwalt, aber meine Meinung dazu ist, was du auf deinem Handy machst ist ja dein Ding. Worst case verstößt du gegen die TOS.
Praktisch ist das in dem Fall der Penny App allerdings schwerer. Der 2D-Code der gescannt wird verbindet dich als User mit dem Einkauf (ohne das was über das Handy passiert, du könntest den genau so gut ausgedruckt scannen)
Was ich am praktischsten sehen kann ist rotierende User zu erzeugen, dann bekommt man allerdings nicht die großen Prozente.