Apps senden weiterhin ungefragt Daten an Facebook

Privacy International (PI) hat festgestellt, dass noch immer eine Reihe von Apps gleich nach ihrem Start persönliche Nutzerdaten an Facebook senden. Die britische Datenschutzorganisation sieht das Problem dabei weniger bei den App-Entwicklern als bei dem von ihnen eingesetzten Software Development Kit (SDK) von Facebook. „Wie es aussieht, ist das Facebook-SDK dafür konzipiert, automatisch persönliche Daten zu Facebook zu übertragen, sobald ein Nutzer die App öffnet“, kommentieren die Datenschützer. „Wir glauben, dass das im Gegensatz zum Prinzip des bewussten und standardmäßigen Datenschutzes steht – wozu das europäische Datenschutzgesetz verpflichtet.“

Im Dezember hatte PI das Ergebnis einer Untersuchung veröffentlicht, wonach über 60 Prozent der untersuchten Android-Apps Daten an Facebook übermitteln. Daber war es völlig unerheblich, ob der Nutzer über ein Facebook-Konto verfügte oder nicht. Geprüft wurden 34 Apps, die zwischen 10 und 500 Millionen Installationen aufwiesen. Darunter befanden sich Anwendungen wie Super-Bright LED Flashlight, Shazam, Spotify, Duolingo, Skyscanner, Yelp und Kayak. Die Datenschützer kritisierten, dass die Daten ohne vorherige Zustimmung der Nutzer und ohne eine Erklärung zum Zweck übertragen wurden, was seit Inkrafttreten der DSGVO im Mai 2018 nicht zulässig ist.

Zwei Drittel der 21 angeprangerten Apps senden jetzt nicht mehr automatisch nach ihrer Öffnung Daten an Facebook, was die Datenschützer als positive Wirkung ihrer Veröffentlichung verbuchen. Als schlechte Nachricht melden sie, dass ein Nachtest bei sieben Apps mit millionenfacher Verbreitung eine unveränderte Praxis der ungefragten Datenübermittlung bewies. Dazu gehörten Yelp, die Sprachlern-App Dualingo, Indeed für die Jobsuche, eine Bibel-App sowie zwei muslimische Gebets-Apps.

Dualingo hat inzwischen versprochen, die fragliche Komponente von Facebooks SDK zu entfernen, die Ereignisdaten versendet – und zwar sowohl aus seiner Android-App als auch aus seiner iOS-App. Schon im Januar hatte Mobilsicher.de die iOS-Versionen der Android-Apps untersucht und festgestellt, das auch diese gleich nach ihrem Start Daten an Facebook lieferten. Ausnahmen waren die Apps „Moodpath“, „Meine CDU“ und „Schwangerschaft+“. Diese hätten nach den Medienberichten zuvor schon in ihren Android-Versionen das Facebook-SDK deaktiviert und das vermutlich auch bei ihren iOS-Versionen getan.

Privacy International hat sich jetzt an europäische Datenschutzbehörden gewandt und sie aufgefordert, sich mit den Erkenntnissen zum App-Tracking durch Dritte und gesetzlichen Konsequenzen zu beschäftigen. PI hat außerdem wie angekündigt die eingesetzte Testumgebung veröffentlicht, um weitere Untersuchungen zu ermöglichen. Schließlich sei das Facebook-SDK nur eines von vielen Beispielen für in Apps eingesetzte Tracker von dritter Seite. Tatsächlich teilten fast 90 Prozent der kostenlosen Apps im Google Play Store Daten mit Googles Mutterkonzern Alphabet.

Schutz vor Tracking bietet unter Android das Open-Source-Tool Blokada. Es verhindert die Verbindungsaufnahme zu Tracking- und Werbe-Servern. Alternativ lässt sich unter Android 9 Tracking über die Einstellung Private DNS und die Auswahl eines DNS-Servers verhindern, der Tracking-Server ausfiltert.