“Beginn der Reise: 12. Februar; Reiseziel: Tokio; Gesuchter Inhalt: Hotel; Anzahl der Erwachsenen: 2 Personen; Nutzer nicht eingeloggt.” Solche Informationen haben zwei Experten der Menschenrechtsorganisation Privacy International entdeckt, als sie untersucht haben, welche Daten ein in der breiten Öffentlichkeit bisher wenig bekanntes Facebook-Tool überträgt. Das besondere an dem Tool für Android-Smartphones: Es überträgt auch dann automatisch Daten an Facebook, wenn die Nutzer keinen Facebook-Account haben, komprimiert auf wenige Zeilen Code.
Die persönlichen Reisedaten wurden Privacy International zufolge von der populären Reise-App “Kayak” in Echtzeit an Facebook übertragen, während der Nutzer über die Suchfunktion in der Android-App nach Hotels, Flügen oder sonstigen Angeboten sucht. Facebook erhalte dabei noch weitere Informationen wie zum Beispiel, welches Smartphone der Nutzer verwendet, in welcher Sprache er sucht sowie eine für Datensammler wichtige Identifikationsnummer: die Google-ID (AAID), die mit dem Google-Konto auf dem Smartphone verknüpft ist. Mithilfe der ID lassen sich mehrere Apps demselben Nutzer zuordnen.
Videos by VICE
All das geht aus einer Untersuchung von Privacy International hervor, die die Datenschutz-Aktivisten Frederike Kaltheuner und Christopher Weatherhead in der Nacht vom 29. auf den 30. Dezember auf dem Hacker-Kongress 35C3 in Leipzig vorgestellt haben. Motherboard konnte die Daten und einen dazugehörigen Bericht der britischen NGO vorab einsehen. Die Analyse von Privacy International ist eine der ersten Untersuchungen, die ausführlich den Datenstrom großer englischsprachiger Apps über das Facebook-Entwickler-Tool SDK (Software Development Kit) beleuchtet und darlegt, wie Facebook damit Daten von Menschen ohne Facebook-Account sammeln kann. Mitte Dezember hatte zuvor bereits die Experten von Mobilsicher.de mehrere Apps untersucht, die über das SDK Nutzerdaten versenden. Dabei fanden die Experten auch Apps zur Behandlung von Depressionen oder Dating-Apps, deren Nutzung sensible Informationen über User verraten kann.
Millionenfach heruntergeladene Android-Apps betroffen
“Kayak ist ein besonders eindrückliches Beispiel”, sagt der Programmierer Weatherhead, als er in einem Video seine Analyse der übertragenen Reisedaten vorführt. Auf der linken Seite des Bildschirms ist in dem Video die Willkommensseite der Kayak-App zu sehen. “Keine Sorge, wir werden nie etwas ohne deine Zustimmung teilen”, steht dort unmittelbar nach dem Starten der App. Weatherhead zeigt auf drei Code-Zeilen auf der rechte Seite seines Bildschirms: “Mobile App installiert. Name der Android-App: Kayak.” Empfänger der Daten: “Graph.Facebook.com”, eine Analyseseite von Facebook. “Während auf dem Bildschirm der App steht, dass man nie etwas ohne die Zustimmung der Nutzer teilen werde, hat die App bereits Daten mit Facebook geteilt”, sagt Weatherhead. “Das ist lächerlich.”
Kayak ist demnach nicht die einzige App, mit deren Hilfe Facebook Daten von Menschen erhalten kann, die keinen Facebook-Account haben. Auch andere millionenfach heruntergeladene Android-Apps wie Shazam, Spotify oder TripAdvisor sollen Daten an Facebook übertragen. “Kombiniert bieten die Daten einen detaillierten Einblick in die App-Nutzung von hunderten Millionen Menschen”, schreibt Privacy International in einem ausführlichen Bericht.
So übermittelt das Facebook-SDK im Hintergrund Daten
Übertragen werden die Daten, weil die Entwickler der Apps Facebooks sogenanntes Software Development Kit (SDK) für Android-Apps verwenden. Dabei handelt es sich um eine Art Werkzeugkasten, den Facebook Entwicklern kostenfrei zur Verfügung stellt. Für die Betreiber einer App ist das SDK besonders praktisch, weil sie dadurch von Facebook Statistiken und Analysen über die eigenen Nutzer erhalten können und besonders Zielgruppen-gerechte Anzeigen auf Facebook schalten können.
Facebooks SDK ist ein weit verbreitetes Tool, auf das zahlreiche Apps zurückgreifen. Zunächst hatten Forscher des Oxford Internet Institutes im April diesen Jahres hunderttausende Android-Apps entdeckt, die wahrscheinlich Daten an Facebook übertragen. Auf dieser Basis hat sich nun Privacy International die 34 am häufigsten heruntergeladenen Apps genauer angeschaut. Insgesamt übertragen demnach 23 dieser Apps Daten durch das SDK an Facebook-Server. Darunter sind neben Kayak auch die populäre Taschenlampen-App “Super Bright LED Flashlight”, die Sport-App “My Fitness Pal” und das soziale Netzwerk vKontakte. All diese Apps wurden viele Millionen Mal heruntergeladen, allein “Super Bright LED Flashlight” hat über 500 Millionen Downloads im Google Play Store.
Die meisten der untersuchten Apps verschicken Privacy International zufolge wesentlich weniger detaillierte Angaben über ihre Nutzer als zum Beispiel die Reise-App Kayak. Dennoch wird in allen 23 untersuchten Fällen, in denen Apps Daten an Facebook senden, mindestens der Name der App an die Server von Facebook übertragen. Oft verrät aber schon allein das private Dinge über eine Person: Unter den 23 Apps befinden sich nämlich auch die muslimische Bet-App Qibla, die Bibel-App King James Bible, der Perioden-Tracker Clue, die Kinder-App My Talking Tom und die Jobsuche-App Indeed. Über Menschen, die diese Apps benutzen, lässt sich sagen, dass sie mit relativ hoher Wahrscheinlichkeit weiblich sind, Kinder haben, einen Job suchen und welcher Religion sie angehören.
Der problematische Datentransfer ging trotz DSGVO weiter
Angesprochen auf die Ergebnisse der Untersuchung von Privacy International betonte eine Facebook-Sprecherin, dass die Anbieter der Apps dafür verantwortlich seien, wie sie mit Daten ihrer Nutzer umgehen. “Wir verlangen von den Entwicklern, dafür zu sorgen, Nutzerdaten auf einer angemessenen Rechtsgrundlage zu sammeln und zu verarbeiten”, sagte eine Facebook-Sprecherin gegenüber Motherboard. Die Ende Mai 2018 in Kraft getretene DSGVO verlangt, dass Nutzer, bevor sie eine App verwenden, verständlich erklärt bekommen was mit ihren Daten passiert; zudem müssen Nutzer der Verarbeitung ihrer Daten stets vorab zustimmen.
“Ich glaube, viele Entwickler verstehen oft nicht genau, wie das SDK funktioniert.”
In ihrer Untersuchung stellten die Experten von Privacy International allerdings fest, dass das Facebook-SDK noch bis Ende Juni 2018 nicht so eingestellt war, wie es aus Datenschutz-Sicht ideal wäre. Demnach wurden bereits unmittelbar nach dem Start der betroffenen Apps Daten an Facebook gesendet – bevor ein Nutzer den AGB der App zustimmen konnte. Mindestens einmal wurde mithilfe des SDK der Name der installierten App nach dem Start übertragen. Dies gibt Facebook in der ausführlichen Stellungnahme gegenüber Privacy International, die Motherboard vorliegt, explizit zu.
Erst mit einer am 28. Juni veröffentlichten neuen Version des SDKs führte Facebook demnach ein Feature ein, mit dem sich die Datenübertragung an die Facebook-Server verzögern ließ. Dadurch konnten die Entwickler ihre Apps so programmieren, dass die Datenübertragung erst beginnt, nachdem die Nutzer den AGB und Datenschutzbestimmungen zugestimmt haben.
Facebook schiebt die Verantwortung den App-Betreibern zu
Auch wenn diese Änderung wie ein Detail erscheint, sie könnte für Facebook oder die großen App-Entwickler möglicherweise ernste Konsequenzen haben. Denn das Update des SDK erfolgte 35 Tage nach dem Inkrafttreten der neuen EU-Datenschutzregeln. Bei Verstößen gegen die DSGVO drohen Firmen hohe Strafzahlungen.
Die Verantwortung für die Datenschutzprobleme sieht Privacy International weniger bei den App-Entwicklern als bei Facebook. “Ich glaube, viele Entwickler verstehen oft nicht genau, wie das SDK funktioniert und dass darüber auch Daten an Facebook übertragen werden”, sagt Frederike Kaltheuner von Privacy International im Gespräch mit Motherboard. Das ginge nicht zuletzt aus den Antworten der App-Betreiber hervor, die Privacy International vorab über die Ergebnisse ihrer Untersuchung informiert hat. “Gerade bei kleineren App-Entwicklern, die das SDK nutzen, muss man schon sagen: Im Zweifel für den Angeklagten”, sagt Kaltheuner. “Aber bei einem großen Konzern wie Facebook kann man nach all den Datenschutzskandalen dieses Jahr diesen ‘Benefit of the Doubt’ nicht mehr geben.”
Nach dem Cambridge-Analytica-Skandal hätten viele darüber nachgedacht, Facebook zu löschen, um dem Konzern nichts mehr über sich preiszugeben, fügt Weatherhead hinzu. “Die Leute glauben, dass es dafür reicht, Facebook nicht mehr zu verwenden”, sagt Weatherhead. “Ich finde es wichtig darüber aufzuklären, welche weiteren Wege Facebook hat, um etwas über Menschen ohne Facebook-Account zu erfahren.”
Video: Wie ein Hacker Motorola ihren geheimen Quellcode abschwatzte
Facebook hatte in der Vergangenheit stets abgestritten, Profile von Personen anzulegen, die keinen Facebook-Account haben. Eine Praxis, die manche Kritiker als Schattenprofile bezeichnen. Die Untersuchungen von Privacy International zeigen, dass der Konzern dennoch Wege hat, jenseits der eigenen Plattformen die Daten von Millionen von Menschen zu sammeln – auch wenn nicht klar ist, was genau mit diesen Daten passiert.
So reagieren die App-Betreiber auf die Analyse von Privacy International
Eine Facebook-Sprecherin verweist gegenüber Motherboard darauf, dass der Konzern in den eigenen Datenschutzerklärungen und den sogenannten Cookie Policies auch darüber aufklärt, was über Nutzer mit und ohne Facebook-Account gespeichert wird.
Wer Facebook allerdings unter keinen Umständen die betroffenen Daten preisgeben möchte, ist darauf angewiesen, dass die App-Betreiber die Einstellungen des Facebook-SDK entsprechend anpassen, sodass keine Daten übertragen werden. Die Untersuchung von Privacy International zeigt, dass dies durchaus möglich ist. So sei beispielsweise Candy Crush so programmiert, dass keine Daten über das SDK an Facebook übertragen werden.
Andere Apps wie Skyscanner und My Talking Tom haben nach der Untersuchung von Privacy International reagiert und übertragen keine Daten mehr über das SDK an Facebook. Kayak hat auf eine Anfrage von Motherboard bisher nicht geantwortet. Zahlreiche andere der untersuchten Apps versicherten gegenüber Privacy International, den Datenschutz der Nutzer sehr ernst zu nehmen und verwiesen auf die eigenen Datenschutzerklärungen, in denen man Nutzer über den Umgang mit Drittanbieter-Apps aufkläre. Andere Apps wie Spotify betonten, sich das Thema SDK nun genauer anschauen zu wollen.
Android-Nutzer, die ganz sicher gehen wollen, dass ihre Apps keine Daten an Facebook übertragen, haben allerdings aktuell wohl nur eine Alternative: Auf die betroffenen Apps zu verzichten.
Folgt Max auf Twitter und Motherboard auf Facebook, Instagram, Snapchat und Twitter
Update, 30. Dezember, 16:10 Uhr: Der Artikel wurde um einen Verweis auf eine vorherige Untersuchung von Mobilsicher.de ergänzt.