Viele Android-Apps senden teils sehr persönliche Daten an Facebook, ohne dass Nutzer dies mitbekommen. Rund 30 Prozent aller Apps, die es im Google Play Store gibt, nehmen Kontakt zu Facebook auf – das ist das Ergebnis einer Untersuchung von Mobilsicher.de. Auf diesem Weg erfährt das soziale Netzwerk auch eine Menge über die Anwender – gerade von Apps, die einen direkten Bezug zu Religion, Gesundheit oder politischen Einstellungen aufweisen.
Nutzer, die bestimmte Apps auf ihrem Smartphone installiert haben, geben viel mehr Preis, als ihnen lieb sein dürfte. Die Apps füttern Facebook nämlich mit Daten, die sich zu Geld machen lassen. Wer etwa eine Schwangerschafts-App wie "Schwangerschaft+" nutzt, wird von Facebook wahrscheinlich bald Werbung für Babykleidung zu sehen bekommen. Nutzer, die mit der App "Migraine Buddy" ihre Kopfschmerzen protokollieren, erhalten vielleicht Werbung für Migräne-Mittel. Apps wie "Bibel + Audio" oder "Muslim Pro" verraten Facebook den Glauben eines Nutzers. Die App "Moodpath" lässt darauf schließen, dass ein Anwender unter Depressionen leidet – was dann auch Facebook weiß.
Intransparente Datenweitergabe
Nicht jedem dürfte das gefallen – vor allem, weil die Verbindung zwischen App und Facebook oftmals intransparent ist. Welche Daten die jeweilige App an wen überträgt, ist für Nutzer in der Regel nicht einzusehen. Keine der von Mobilsicher.de untersuchten Apps gab dem Nutzer einen expliziten Hinweis auf die Datenweitergabe. Die Hälfte der Apps erwähnten das eingebaute Facebook-Modul nicht einmal in ihren Datenschutzerklärungen. Die Kontaktaufnahme zu Facebook findet bereits beim Öffnen der betroffenen Apps statt.
Wie ist das möglich? Viele App-Entwickler bauen in ihre Angebote das Software Development Kit (SDK) von Facebook ein, da es hilfreiche Analysefunktionen enthält. Mit "Facebook Analytics" kann der App-Betreiber bequem auswerten, ob sein Dienst bei den Kunden gut ankommt – Facebook liefert alle relevanten Nutzerdaten. Diese Informationen sind durchaus sinnvoll, weil sie helfen, eine App zu verbessern. Kritisch aber ist, dass durch das SDK eben auch Facebook viele Daten bekommt, die "nicht wirklich anonym" sind.
Werbe-ID als Identifikationsmerkmal
Mobilsicher hat sich die Datenübertragung näher angeschaut: Über das SDK erfährt Facebook von den App-Nutzern einige technische Informationen (Smartphone-Modell, Uhrzeit, IP-Adresse sowie den App-Namen). Problematisch ist vor allem aber eine Werbe-ID: Jedes Android-Gerät, das mit einem Google-Konto verknüpft ist, erhält eine solche ID. Facebook verknüpft diese eindeutige Kennung wiederum mit dem jeweiligen Facebook-Konto, wenn sich der Nutzer zuvor mit dem Gerät bei Facebook angemeldet hat. Wer im Netzwerk seine echten Daten hinterlegt hat, ist nicht mehr anonym, Facebook kann durch die Werbe-ID einen konkreten Personenbezug herstellen. Zwar lässt sich die ID zurücksetzen. Doch kaum ein Nutzer dürfte dies regelmäßig tun. Damit funktioniert die ID "in der Praxis auf jeden Fall hervorragend als Identifikationsmerkmal".
Facebook erklärte auf Nachfrage von Mobilsicher, dass sich die Nutzer gegen die personalisierte Werbung entscheiden können. Jeder habe die Wahl und könne dies in seinem Facebook-Konto angeben (Opt-out). Mobilsicher kritisiert, dass die Daten aber auch in diesem Falle übertragen werden. Nur der Wert in dem Feld "advertiser_tracking_enabled" ändert sich dann auf "false". "Das Facebook-Modul sendet die Daten also wie gehabt, nur schickt es eine Art Markierung mit, die anzeigt, dass der Nutzer sich gegen personalisierte Werbung entschieden hat", schreibt Mobilsicher. Wahrscheinlich speichert Facebook die erfassten Daten dennoch (nutzt sie aber nicht für Werbung).
App-Entwickler wissen nicht, was sie tun
Spiegel Online fragte bei einigen betroffenen App-Anbietern nach. Die CDU, die das Facebook-SDK in ihrer App eingebaut hat, meinte, dass es "irrtümlich installiert" gewesen sei. Nach einem Update soll es "nicht mehr zum Einsatz kommen". Moodpath erklärte ebenfalls, "das Facebook SDK zu entfernen". Die NRW-SPD löschte nach dem Hinweis ihre App aus dem Play Store. "Tatsächlich war uns das mögliche Problem bisher nicht bekannt", erklärte die Partei. Man habe die App bereits länger nicht mehr genutzt. Die Dating-App OkCupid reagierte auf die Anfrage nicht. Die Beispiele zeigen, dass Entwickler offenbar selbst nicht genau wissen, was sie da in ihre Apps einbauen.
Quelle: Android-Apps übertragen sensible Daten an Facebook |
heise online