Software-Baukasten Android-Apps verraten heikle Interessen an Facebook

Wer ist krank, schwanger, tiefgläubig oder will fremdgehen? Etliche Android-Programme geben solche privaten Details an Facebook weiter, ohne ihre Nutzer darüber aufzuklären.

Facebook-Schriftzug
REUTERS

Facebook-Schriftzug

Von


Facebook-Nutzer können angeben, welcher Partei sie nahestehen, welchen Glauben sie praktizieren, wie ihr Liebesleben aussieht und vieles mehr. Sie müssen aber nicht. Schließlich können das heikle Informationen sein, die weder das Unternehmen, noch andere Facebook-Nutzer etwas angehen. Über Umwege allerdings erfährt Facebook es trotzdem, berichtet Mobilsicher.de. Die Umwege sind Android-Apps von Parteien oder zu Themen wie Religion, Sucht, Gesundheit und so weiter.

Tausende App-Entwickler benutzen einen fertigen Code-Baustein von Facebook, Software Development Kit (kurz: SDK) genannt, weil der eine kostenlose und für Entwickler hilfreiche Analysefunktion beinhaltet. Das geht aus Untersuchungen der französischen Organisation Exodus Privacy hervor, auf die sich Mobilsicher.de bezieht.

Wer eine entsprechende App installiert und aufruft, startet umgehend eine Datenübertragung an Facebook. Mobilsicher.de hat sich in ausgewählten Apps die dabei versendeten Datenpakete angesehen und darin die Uhrzeit, die Modellbezeichnung des Geräts, die IP-Adresse, den Namen der App und eine Werbe-ID gefunden. Letztere ist eine Folge von Ziffern und Buchstaben und einmalig pro Gerät, sie ist also pseudonymisiert.

Links: Datenübertragung von OKCupid an Facebook. Rechts: die "advertiser_id".
mobilsicher.de

Links: Datenübertragung von OKCupid an Facebook. Rechts: die "advertiser_id".

Diese Pseudonymität wird laut Mobilsicher.de allerdings aufgehoben, sobald sich ein Nutzer auch nur ein einziges Mal über dasselbe Gerät bei Facebook anmeldet. In dem Fall wird die Werbe-ID aus der App mit dem Facebook-Profil verknüpft.

Facebook habe das auf Anfrage auch bestätigt, heißt es. Die erhobenen Informationen etwa über Parteizugehörigkeit, sexuelle Orientierung, Schwangerschaft, Religionszugehörigkeit, Nikotinsucht und andere gesundheitliche Probleme werden für Werbezwecke verwendet. Auch wenn sich die jeweiligen Facebook-Nutzer zuvor bewusst dazu entschieden hatten, Informationen über diese sehr privaten Themen nicht mit Facebook zu teilen.

Die App-Anbieter wissen offenbar selbst nicht, was das SDK tut

Konkrete Beispiele für Fälle, in denen das passieren kann, sind die Android-Apps "Meine CDU", "SPD Landtagsfraktion NRW", der Depressions-Erkennungstest Moodpath und die Dating-App OKCupid.

Keiner der Anbieter - Stand: 29. November - klärt seine Nutzer bei der Einrichtung der App, in ihren Datenschutzrichtlinien oder auf seiner Website genau darüber auf. Von den vier genannten Angeboten erwähnt einzig Moodpath eine Datenübertragung an Facebook und die Werbe-ID überhaupt. Nach Angaben des Hamburger Datenschutzbeauftragten Johannes Caspar ist das auch zwingend nötig. Dass die Werbe-ID kein Pseudonym mehr ist, wenn sich jemand vom selben Gerät bei Facebook anmeldet, erklärt aber auch Moodpath nicht.

Der SPIEGEL hat die Untersuchungsergebnisse von Mobilsicher.de vorab zu sehen bekommen und stellvertretend für die vielen Tausend Apps mit Facebooks SDK die CDU, die NRW-SPD, Moodpath und OKCupid um Stellungnahmen gebeten. Drei von ihnen versprechen zu handeln.

  • Die CDU schrieb: "Das in unserer App verwendete Facebook-Plug-in ist in der aktuellen Version irrtümlich installiert. Wir haben den Hinweis in unsere aktuelle Datenschutzerklärung aufgenommen. Das Plug-in wird nach einem Update nicht mehr zum Einsatz kommen."
  • Die NRW-SPD teilte mit: "Wir sind anlässlich Ihrer Mail diesem Hinweis direkt nachgegangen und haben die App aus dem Google Play Store entfernt. Tatsächlich war uns das mögliche Problem bisher nicht bekannt. Uns war dies bisher auch nicht aufgefallen, da wir diese App aufgrund der seit Längerem sehr eingeschränkten Funktionalität nicht mehr nutzen."
  • Moodpath antwortete: "Wir bewerten die Möglichkeit, dass ein Drittanbieter wie Facebook möglicherweise sehen kann, wer die App nutzt, sehr kritisch. Aus diesem Grund planen wir, das Facebook SDK zu entfernen, was noch dieses Jahr passieren wird."
  • Die Betreiber der Dating-App reagierten nicht.

Facebook bewahrt offenbar Daten auf

Wer kein Facebook-Konto hat oder sich vom Mobilgerät niemals dort anmeldet, überträgt beim Aufrufen der Android-Apps übrigens trotzdem die genannten Daten an Facebook - und Facebook bewahrt sie offenbar auch auf. Das Unternehmen teilte Mobilsicher.de jedenfalls mit, es verarbeite und speichere "Informationen von Nicht-Facebook-Nutzern anders, als die von Facebook-Nutzern". Was nicht bedeutet, dass es sie nicht verarbeitet und speichert.

Wer keine personalisierte Werbung von Facebook haben will, kann sie direkt bei Facebook oder in den Einstellungen des Mobilgeräts (Android: Einstellungen > Google / Google-Dienste > Anzeigen; iOS: Einstellungen > Datenschutz > Werbung) deaktivieren. Die Werbe-ID wird dann mit einem entsprechenden Zusatz übertragen und Facebook nutzt sie nicht mehr für Werbezwecke. Aber Facebook speichert sie trotzdem.



insgesamt 25 Beiträge
Alle Kommentare öffnen
Seite 1
unpolit 13.12.2018
1. Wenn das nicht zu drakonischen Strafen führt,
dann ist die ganze DSGVO nur Makulatur. Dann soll keiner kommen und mir ans Bein pinkeln wollen, weil irgendwo eine absolut unbedeutende Kleinigkeit, für welche sich hypothetisch ein Verstoß konstruieren lassen könnte, nicht nach den Buchstaben des Gesetzes ist. Alle Unternehmen, die das SDK nutzen und nicht korrekt auf die Auswirkungen hingewiesen haben gehören abgestraft. Einfach damit diese unsägliche Kopplung von Diensten an FB oder Google oder Amazon endlich beendet wird.
frenchie3 13.12.2018
2. Wie gut daß ich nicht bei FB bin
Aber warten wir mal ab, demnächst kommt raus daß es reicht jemand bei FB zu kennen. Oder das ausnutzenn und sich ein Profil zusammenbasteln mit dem man bei Versicherungen, Banken und sonstwas die besten Konditionen bekommt?
jjcamera 13.12.2018
3. Preis
Die Weitergabe privater Details der Nutzer ist das grundsätzliche Geschäftsmodell sozialer Netzwerke. Sie ist quasi die "Gebühr", die man für die Nutzung erbringen muss. Alles hat seinen Preis, den aber die meisten Nutzer bereit sind zu zahlen.
malu501 13.12.2018
4. Wie gut daß ich nicht bei FB bin: Ganz sicher?
Zitat von frenchie3Aber warten wir mal ab, demnächst kommt raus daß es reicht jemand bei FB zu kennen. Oder das ausnutzenn und sich ein Profil zusammenbasteln mit dem man bei Versicherungen, Banken und sonstwas die besten Konditionen bekommt?
Warum "demnächst kommt raus"? Es ist doch längst öffentlich. Kennen Sie jemanden, der WhatsApp nutzt und ihre Telefonnummer, Adresse, Bilder in seinem Telefon gespeichert hat? Oder nutzen Sie vielleicht sogar selbst WhatsApp? Herzlichen Glückwunsch - Sie sind bereits dabei.
harronal 13.12.2018
5. Es ist kein "Preis",...
Zitat von jjcameraDie Weitergabe privater Details der Nutzer ist das grundsätzliche Geschäftsmodell sozialer Netzwerke. Sie ist quasi die "Gebühr", die man für die Nutzung erbringen muss. Alles hat seinen Preis, den aber die meisten Nutzer bereit sind zu zahlen.
...wenn Daten ohne Information des Nutzers weitergegeben werden. Es handelt sich um Diebstahl. Oder ist Diebstahl bei Ihnen der "Preis" von Eigentum??
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.