Technik

Auch von Nutzern ohne Konto Beliebte Apps senden Facebook heimlich Daten

IMG_7238 (3).JPG

Auch Spotify teilt Nutzerdaten ungefragt mit Facebook.

(Foto: jwa)

Neuer Datenskandal bei Facebook: Beliebte Apps senden ungefragt und ohne das Wissen ihrer Nutzer Daten an Facebook - auch dann, wenn Nutzer gar kein Konto bei dem sozialen Netzwerk haben. Was kann man dagegen tun?

Dass ihre Daten bei Facebook nicht immer gut aufgehoben sind, dürfte vielen Nutzern des Netzwerks bekannt sein. Immer wieder gibt es Meldungen über Datenlecks, zuletzt kam im Dezember 2018 heraus, dass Hunderte Dritt-Apps tagelang Zugriff auf die Fotos von Millionen Facebook-Nutzern hatten. Grund genug eigentlich, sich vom Netzwerk abzumelden. Doch im neuesten Datenskandal würde auch das nichts nützen: Sicherheitsexperten haben herausgefunden, dass viele beliebte Smartphone-Apps Daten über ihre Nutzer bereitwillig mit Facebook teilen, auch wenn diese gar nicht bei dem Netzwerk registriert sind.

Spotify, Yelp und Co.

Die Organisation Privacy International, die sich dem Schutz digitaler Bürgerrechte und der Privatsphäre im Internet verschrieben hat, nahm für ihre Studie im Zeitraum von August bis Dezember 2018 insgesamt 34 populäre Android-Apps unter die Lupe, die jeweils zwischen 10 und 500 Millionen Mal heruntergeladen wurden - darunter Spotify, Shazam, Duolingo, Skyscanner, Yelp und die Taschenlampen-App Super-Bright LED Flashlight. Das Ergebnis: Knapp zwei Drittel der untersuchten Apps senden Daten an Facebook.

Dazu gehören etwa Informationen darüber, wann und wie oft ein Nutzer eine bestimmte App verwendet, oder die "Google Advertising ID" (AAID), die es Werbetreibenden erlaubt, aus App-Nutzung und Surf-Verhalten ein individuelles Profil zu erstellen. Kombiniert man diese Daten miteinander, ergibt sich ein detailliertes Bild über den Nutzer. So lassen sich etwa allein aus der Kombination der verwendeten Apps Rückschlüsse auf Religion, Familienstand, Geschlecht oder berufliche Situation ziehen.

Facebook-SDK

Ob Nutzer ein Facebook-Konto haben oder nicht, ist dabei völlig unerheblich. Die untersuchten Apps übertragen Daten an Facebook, weil ihre Entwickler ein bestimmtes Softwarepaket (Software Development Kit, SDK) nutzen. Dieser Baustein erlaubt es Nutzern zum Beispiel, sich schnell und einfach mit ihrem Facebook-Konto bei den entsprechenden Diensten anzumelden und Inhalte direkt aus der App mit Facebook-Kontakten zu teilen.

Neben dem Komfort für die Nutzer ist es aber auch das Analyse-Tool "Facebook Analytics", das das Facebook-SDK für Entwickler attraktiv macht. Analytics verrät dem Betreiber einer App im Detail, was Nutzer wann und wie genau in der App tun, welche Funktionen sie besonders häufig nutzen oder wo sich im Menü verheddern und abbrechen. Die Analysedaten gehen aber nicht nur an die Entwickler, sondern eben auch an Facebook.

Wer ist schuld?

Das Facebook-SDK ist laut Privacy International so konfiguriert, dass Daten automatisch übertragen werden. Eigentlich ist es seit Inkrafttreten der DSGVO am 25. Mai 2018 aber unzulässig, Daten ohne die Zustimmung der Nutzer weiterzugeben. Ein klarer Regelverstoß also - aber wer ist schuld? Facebook weist die Verantwortung von sich. 35 Tage nach Inkrafttreten der DSGVO habe Facebook eine Verzögerungs-Option in sein SDK eingebaut, die die Datenerfassung aufschiebt, bis ein Nutzer sein OK gegeben hat. Es sei Sache der Entwickler, dieses "Delay" auch umzusetzen.

Dieses "Delay" funktioniere aber erst ab Version 4.34 des SDK, betont Privacy International in seinem ausführlichen Report. Das Facebook-SDK wurde am 18. Juni veröffentlicht, doch ein Blick in die Ergebnisse der Studie zeigt, dass längst nicht alle der Apps, die Daten an Facebook senden, zum letzten Untersuchungszeitpunkt Anfang Dezember 2018 die aktuellste Version des SDK nutzten. Von 21 Apps nutzten 12 noch ein veraltetes SDK. Aber auch die neun anderen Apps mit SDK 4.34 und neuer sendeten Daten an Facebook.

Ob hier ein Versäumnis der Entwickler vorliegt, ist unklar. Laut Facebook hätten Entwickler schon vor Inkrafttreten der DSGVO die Möglichkeit gehabt, die Weitergabe von Ereignisprotokollen zu deaktivieren. Ob das stimmt, lässt sich aber nicht nachvollziehen. Dass das in vielen Fällen offenbar nicht passiert ist, ist laut Privacy International ein Indiz dafür, dass auch diese Deaktivierung erst mit SDK 4.34 möglich wurde. Einen Beweis dafür hat die Organisation aber nicht.

Machtlose Nutzer

Ob die Schuld nun bei Facebook oder bei den Entwicklern liegt, ist für die meisten Nutzer ohnehin egal. Immerhin haben einige App-Betreiber auf Nachfragen von Privacy International reagiert. The Weather Channel gibt an, inzwischen eine neuere App-Version zu nutzen, die das erwähnte Facebook-SDK nicht mehr unterstützt. Skyscanner will seine App ebenfalls angepasst und die Datenübertragung gestoppt haben. Spotify hat aber zum Beispiel zurückhaltender reagiert und lediglich zugesagt, die Ergebnisse der Studie zu prüfen und "bei Bedarf" Änderungen vorzunehmen.

Der Fall zeigt vor allem eines: Internet- und Smartphone-Nutzer sind weitgehend machtlos dagegen, dass Firmen Nutzerdaten sammeln, auswerten und für Werbezwecke nutzen. Frederike Kaltheuner von Privacy International betont im Interview mit sueddeutsche.de, dass rund 90 Prozent aller Apps so programmiert sind, dass sie Nutzerdaten mit Google teilen können. Immerhin rund 43 Prozent aller Apps sind in der Lage, Daten an Facebook zu senden. Die Studie zeige jetzt, dass sie das auch wirklich tun.

Wer das wenigstens teilweise unterbinden möchte, sollte laut Kaltheuner die Werbe-ID des eigenen Smartphones ändern und personalisierte Werbung deaktivieren. Das geht bei Android, indem man in den Einstellungen auf Google tippt, dann Anzeigen öffnet und die Option Personalisierte Werbung deaktivieren aktiviert sowie auf Werbe-ID zurücksetzen tippt. iOS-Nutzer setzen ihre Ad-ID zurück, indem sie in den Einstellungen auf Datenschutz, dann auf Werbung und hier auf Ad-ID zurücksetzen tippen. Anschließend aktivieren sie die Funktion Ad-Tracking beschränken.

Quelle: n-tv.de, jwa

Mehr zum Thema