Report: Apps senden ohne Erlaubnis der Nutzer Daten an Facebook

Privacy International hat im Rahmen einer Studie festgestellt, dass über 60 Prozent der untersuchten Apps Daten an Facebook übermitteln. Dabei ist es völlig unerheblich, ob der Nutzer über ein Facebook-Konto verfügt oder nicht. Teilweise enthalten die Datensätze detaillierte persönliche Informationen. Der Grund für die Datenübermittlung liegt in der Nutzung des von Facebook bereitgestellten SDKs.

Die Untersuchung von Privacy International umfasst 34 Apps, die eine Installationsverbreitung zwischen 10 und 500 Millionen aufweisen. Darunter befinden
sich Anwendungen wie Super-Bright LED Flashlight, Shazam, Spotify, Duolingo, Skyscanner, Yelp und Kayak.

Typischerweise enthalten die zuerst übertragenen Datensätze Informationen zu Ereignissen wie „App installiert“ und „SDK initialisiert“. Diese Daten zeigen, dass ein Benutzer eine bestimmte App verwendet, jedes Mal, wenn er eine App öffnet. Darüber hinaus enthält die weitere Datenübermittlung die Google Advertising ID (AAID). Der Hauptzweck von Werbe-IDs, wie der Google-Werbe-ID (oder dem Äquivalent von Apple, der IDFA), besteht darin, es Werbetreibenden zu ermöglichen, Daten über das Nutzerverhalten aus verschiedenen Apps und dem Surfen im Web zu einem umfassenden Profil zu verknüpfen.

Wenn sie kombiniert werden, können Daten aus verschiedenen Anwendungen ein feinkörniges und intimes Bild der Aktivitäten, Interessen, Verhaltensweisen und Routinen der Menschen zeichnen, einschließlich Informationen über die Gesundheit oder Religion der Menschen. Zum Beispiel könnte eine Person, die die Apps „Qibla Connect“ (eine muslimische Gebets-App), „Period Tracker Clue“ (ein Perioden-Tracker), „Indeed“ (eine Job-Such-App), „My Talking Tom“ (eine Kinder-App), installiert hat, potenziell als ein wahrscheinlich weiblich, muslimisch, arbeitssuchender Elternteil klassifiziert werden.

In Kombination bieten Event-Daten wie „App installiert“, „SDK initialisiert“ und „App deaktivieren“ aus verschiedenen Apps auch einen detaillierten Einblick in das Nutzungsverhalten von Hunderten von Millionen Menschen. Privacy International hat auch festgestellt, dass einige Apps routinemäßig Facebook-Daten senden, die „unglaublich detailliert und manchmal sensibel sind“. Als Paradebeispiel führt die Organisation die Reisesuch- und Preisvergleichs-App „KAYAK“ an. Sie sendet detaillierte Informationen über die Flugsuche von Personen an Facebook, darunter: Abflugort, Abflughafen, Abflugdatum, Ankunftsort, Ankunftsflughafen, Ankunftsdatum, Anzahl der Tickets (einschließlich Anzahl der Kinder), Ticketklasse (Economy, Business oder First Class).

Zudem hat Privacy International ermittelt, dass die Cookie-Richtlinie von Facebook, die zwei Möglichkeiten beschreibt, wie Personen, die kein Facebook-Konto haben, die Verwendung von Cookies durch Facebook steuern können, um ihnen Anzeigen zu zeigen, keinerlei erkennbare Auswirkungen auf den Datenaustausch hatten.

Laut Privacy International werfen die Ergebnisse aus der Studie rechtliche Fragen auf. Eine Übertragung von Daten ohne Zustimmung des Nutzers und ohne den Zweck zu nennen, sei nach Inkraftreten der DSGVO im Mai 2018 nicht zulässig. Darauf haben auch zahlreiche Entwickler hingewiesen, die entsprechende Fehlerberichte auf der Entwicklerplattform von Facebook eingereicht und Bedenken geäußert haben, dass das Facebook-SDK automatisch Daten weitergibt, bevor Apps die Benutzer zur Zustimmung der Datenverwendung auffordern können.

Im Juni implementierte Facebook daraufhin eine Funktion, die es Entwicklern ermöglichen sollte, die Erfassung der Daten zu verzögern, bis sie die Zustimmung des Benutzers eingeholt haben. Das Feature wurde 35 Tage nach Inkrafttreten der Datenschutzgrundverordnung von Facebook zur Verfügung gestellt. Es funktioniert allerdings nur mit der SDK-Version 4.34 und höher.

Als Antwort auf diesen Bericht hat Facebook in einer E-Mail an Privacy International vom 28. Dezember erklärt. 2018: „Vor unserer Einführung der Option „Delay“ hatten die Entwickler die Möglichkeit, die Übertragung von automatischen Ereignisprotokolldaten zu deaktivieren, mit Ausnahme eines Signals, das über die Initialisierung des SDKs informiert.

Doch genau diese Daten haben die von Privacy International untersuchten Apps übertragen. Privacy International geht daher davon aus, dass die Entwickler, vor der Veröffentlichung der SDK-Version 4.34 nicht in der Lage sind, die Datenweitergabe an Facebook zu verhindern. Diese Daten teilen Facebook mit, wann und wie lange ein Nutzer eine bestimmte App nutzt.

Außerdem verweist die Untersuchung ausdrücklich darauf, dass die Datenübermittlung an Facebook nicht nur für Android-Apps gilt, sondern mit hoher Wahrscheinlichkeit auch für iOS-Anwendungen zutreffend ist. Das technische Setup der Studie deutet daraufhin, dass unter iOS mangels Root-Rechten die Untersuchung nicht durchführbar ist. Außerdem deuten entsprechende Berichte von iOS-Entwickler auf eine ähnliche Problematik. Facebook hat auf die Ergebnisse von Privacy International reagiert, schiebt die Verantwortlichkeit aber auf die Entwickler. Auch einige App-Entwickler haben auf Nachfrage von Privacy International reagiert und geloben Besserung.

„The Weather Channel (TWC) verpflichtet sich zum Schutz der Privatsphäre der Benutzer, einschließlich der Befugnis, die Benutzer, um zu wählen, ob er personalisierte Werbung erhalten möchte. Die aktuelle Version der TWC Android App – weltweit am 10. Dezember veröffentlicht – verwendet nicht das Facebook Login SDK auf das Sie sich in ihrem Schreiben vom 19. Dezember beziehen. TWC empfiehlt seinen Nutzern, die aktuellste Version der App zu verwenden, um die Benutzerfreundlichkeit und den Schutz der Privatsphäre zu maximieren.“

Auch Skyscanner hat seine App angepasst: „Vielen Dank, dass Sie Skyscanner auf dieses Problem aufmerksam gemacht haben. Unser Ziel ist es, gegenüber Reisenden so transparent und vorausschauend wie möglich zu sein, welche Informationen von ihnen gesammelt und an wen sie weitergegeben werden. Seit Erhalt Ihres Schreibens haben wir ein Update unserer App veröffentlicht, das die Übertragung von Daten über das Facebook SDK stoppt. Als weiteres Ergebnis werden wir alle unsere Einwilligungen überprüfen und verpflichten uns, alle erforderlichen Änderungen vorzunehmen, um sicherzustellen, dass die Datenschutzrechte der Reisenden uneingeschränkt gewahrt bleiben.“

Privacy International: Empfehlungen für Anwender (Screenshot: ZDNet.de)

Andere wie Spotify reagieren hingegen etwas verhaltener: „Wir arbeiten derzeit daran, die technischen Ergebnisse von Privacy International zu bewerten und den Kontext der Daten zu verstehen, die an graph.facebook.com übermittelt werden. Bei Bedarf werden wir auch prüfen, ob dabei Änderungen vorgenommen werden sollten. Da es sich jedoch um eine technisch komplexe und wichtige Angelegenheit handelt, ist es unwahrscheinlich, dass unsere technische Bewertung vor der Veröffentlichung des Berichts Ihrer Organisation abgeschlossen ist.“

Privacy International fordert von Google und Facebook, Anwender zu erlauben, das Tracking von Dritten zu verhindern. Von den App-Entwicklern fordert die Organisation, die Rechte der Anwender zu respektieren und zu überlegen, ob die Nutzung des Facebook-SDKs unbedingt nötig ist. Anwender sollten die Berechtigungen von Apps überprüfen und diese nach Möglichkeit beschränken. Für Android-Nutzer besteht außerdem die Option, eine Firewall wie AFWall+ oder NetGuard zu installieren und die Verbindung zur Adresse graph.facebook.com zu unterbinden.