App-Tracking: Warum Facebook weiß, was Du nicht weißt

Fachbeitrag

Dass unser Smartphone eine ziemliche Datenschleuder ist, dürfte den meisten von uns bewusst sein. Auch wenn man dahingehende Bedenken nur zu gern ins Hinterstübchen unseres Hirns verbannt. Zu bequem, zu nützlich, zu sehr Gewohnheit sind unsere Mobilgeräte geworden. Was vielen Menschen weniger bewusst sein dürfte, ist die Tatsache, dass wir dadurch Unternehmen wie Facebook zu unserem ständigen Begleiter machen – und zwar auch, wenn wir kein Facebook-Kunde sind.

Breite Datenspuren

Es sind nicht nur die offensichtlichen Datenspuren, die das Handy „verteilt“, wie die IMEI– und IMSI-Nummer sowie Informationen zum Betriebssystem und zum verwendeten Gerät. Apps sind eine hervorragende Quelle für Nutzungs- bzw. Verhaltensdaten. Das beginnt bei der Installation: Wenn Sie Software aus einem Store installieren, stellen Sie dem App-Store-Betreiber eine vollständige Liste der auf Ihrem Gerät installierten Software und Versionen zur Verfügung.

Apps neigen dazu, regelmäßig „nach Hause zu telefonieren“. Das kann natürlich nützlich sein, um Ihre Anwendungen auf dem neuesten Stand zu halten. Jedoch hilft es potentiell auch den App-Store Betreibern, Ihre Nutzung dieser Anwendungen zu verfolgen.

Werbe-IDs

Wird über die App Werbung ausgespielt, wollen die werbenden Unternehmen natürlich wissen, wie erfolgreich ihre Werbemaßnahmen sind. Ihre Interaktion mit Werbung, die über Apps angezeigt wird, kann von Werbeunternehmen aber nicht in gleicher Weise verfolgt werden wie browserbasierte Werbung, die mit Hilfe von Cookies überwacht wird. Es gibt daher andere Mechanismen wie Apples IFA (Identifier für Werbetreibende), Googles Android-ID und vergleichbare Techniken von Microsoft und einigen größeren Online-Werbenetzwerken. Diese wurden entwickelt um Werbetreibenden zu helfen, Ihre Nutzung von Apps auf Mobiltelefonen, Tablets und Spielekonsolen zu verfolgen. Eben genauso wie es mit Ihren Browseraktivitäten geschieht.

Software Developer Kits

Einen weiteren Zugang zu Ihren App-Daten erhalten die Anbieter wie Apple und Google über das Software Developer Kit (SDK), mittels dessen sich ein Tracking implementieren lässt. Mitunter sind die Zwecke und abgegriffen Daten durchaus nachvollziehbar: Die App-Entwickler wollen wissen, wie ihre App genutzt wird und wo sie verbessert werden muss. Das ist auch für den Nutzer sinnvoll, z.B. wenn es um Usability geht.

Aber den wenigsten Nutzern scheint bekannt, dass auch Facebook ein Software Developer Kit anbietet. Das Facebook SDK bietet neben Analytics-Tools auch den Facebook-Login mit und ohne Passwort Komponenten sowie App-Events und App-Ads, um Nutzerverhalten auszuwerten und zu nutzen. Da viele Personen Facebook nutzen, setzen auch viele App-Entwickler das Facebook Software Developer Kit ein, um ihre Apps zu „pushen“.

Die Facebook-Variante

Mittels des Facebook Software Developer Kits werden erhebliche Datenmenge erfasst. Unter anderem der Start und das Beenden der App, die Facebook App-ID, die iOS- oder die Google-Werbe-ID, Konfigurationsdaten, zig Metadaten und bestimmtes Nutzerverhalten (eine Übersicht über die erfassten Daten bietet Facebook mittlerweile unter anderem hier). Im Zuge des Cambridge Analytica-Skandals und der Anwendbarkeit der DSGVO am 25. Mai 2018 nahm Facebook einige Änderungen an den eigenen Entwicklerrichtlinien und Programmierschnittstellen vor. Entwickler müssen ihren Nutzern laut den Facebook-Nutzungsbedingungen seither eine eigene Datenschutzrichtlinie zur Verfügung stellen, wenn sie das Facebook SDK nutzen.

Eines wird beim Lesen der DSGVO-Entwickler-FAQ und der Nutzungsbedingungen dennoch sehr deutlich: In der Pflicht sieht Facebook andere. Im Großen und Ganzen zieht das Unternehmen sich darauf zurück, dass der Entwickler auf die Rechtmäßigkeit der Datenverarbeitung durch das SDK achten und sich gegebenenfalls auch um gesonderte Einwilligungen kümmern müsse.

Tracking im Schatten

Angesichts der Funktionsweise des Facebook SDK erscheint dieses Verhalten von Facebook mehr als fragwürdig. Wie Frederike Kaltheuner und Christopher Weatherhead in ihrem Vortrag „How Facebook tracks users on Android (even if you don’t have a facebook account)“ vor kurzem auf dem 35C3 anschaulich dargestellt haben, können etwa 40% der kostenlosen Apps im Google Play Store Daten mit Facebook teilen. Damit wäre Facebook der zweitgrößte Tracker nach der Google-Mutter Alphabet Inc.

Kaltheuner und Weatherhead testeten eine Auswahl von Android-Apps mit einer hohen Anzahl an Installationen (z.B. Shazam und Spotify) und/oder solche, die potentiell sensible Daten verarbeiten, (z.B. Period Tracker) darauf, ob, wann und welche Daten an Facebook weitergegeben werden. Das Ergebnis: Ein Großteil der getesteten Apps übertrugen unmittelbar beim Start automatisch Daten an Facebook – sprich, bevor der Nutzer überhaupt irgendeinen Registrierungsprozess durchlaufen, eine Einwilligung geben oder Datenschutzeinstellungen zur Kenntnis nehmen kann.

Mittels der übertragenen Daten kann Facebook durchaus aussagekräftige Nutzerprofile anlegen und das unabhängig davon, ob man sich wegen des Datenumgangs von Facebook ausdrücklich gegen einen Facebook-Account entschieden hat oder nicht.

Keine Lösung in Sicht

Standardmäßig findet eine Übertragung beim Start der App bzw. des SDK statt (und zwar nicht allein an den Entwickler, sondern an Facebook), denn das automatische Event-Logging muss aktiv abgestellt werden. Angesicht dieser Tatsache ist die Behauptung seitens des Netzwerkriesen, man stelle nur ein Werkzeug oder eine Plattform bereit, der Rest sei Sache der Entwickler, weder tatsächlich noch rechtlich haltbar. Eine Änderung dieses Standpunktes seitens Facebook ist dennoch nicht in Sicht. Gerade im Hinblick auf den Umgang mit Daten von Nicht-Facebook-Nutzern gibt sich das Unternehmen regelmäßig ahnungslos oder hält sich äußerst bedeckt. Entwicklern und Unternehmen, die Apps einsetzen, bleibt bisher nur, aufmerksam zu sein und das automatische Event-Logging aktiv auszuschalten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Hallo,
    ich möchte als nicht User bei FB nicht getrackt werden. Was kann ich tun? Nichts?! Aber das kann doch nicht rechtens sein. Zumindest nicht für mein Rechtsempfinden. DieserTracking Mist ist ja leider fast überall Standard.
    Mein Rechtsempfinden für das Tracking bei FB = illegal aber es scheint Standard zu sein.
    Ich weiß andere haben ebenfalls diese Praxis, aber mich interessiert hier nur FB.
    Z.B. Eine APP von EK = Evangelische Kirche. Da sind derzeit 8 Tracker vorhanden.
    Problem: Ich habe einen FB Account, mache aber keine Angaben zur Konfession. Lade die EK-APP, die gibt die Daten an FB weiter. Und trotz meinen Privatsphäre Einstellungen bei FB erhält dieser tolle Konzern das Wissen, das ich möglicherweise Evangelisch bin. Da Frage ich mich wo denn der eigentliche Sinn des Datenschutzes bleibt? Irgendwie ist das eine Lachnummer, wenn es nicht so traurig wäre. Aber im Alltag wird der Datenschutz schon eher übertrieben. Im Grunde dürften keine ‚Schlangen an den Kassen sein, denn der Hintermann bekommt mit, was der Vordermann kauft und bezahlen muss.
    Es ist irgendwie krank, derzeit mit Datenschutz und Privatsphäre.
    Nette Grüße
    Tim

  2. Leider müssen erst wieder, irgendwelche Script-Kiddies, die Daten von unseren Politiker veröffentlichen, damit auch fürs normale Volk was unternommen wird. Dabei wird die Digitalisierung als ultimative Lösung für alle Probleme angepriesen und ein Gipfel nach dem anderen abgehalten. Der Fakt, dass jede Chance auch gewisse Risiken mit sich bringt, wird verschwiegen oder vernachlässigt.

  3. Die Tipps und der Einsatz eines VPN sind meiner Meinung nach die halbe Lösung. Das Betriebssystem, egal ob von Apple oder Google, übermittelt fleißig Daten weiter an deren Datenzentren. Ich wehre mich bereits seit Jahren und habe dazu auch die Tutorials zur Reinigung der Handysoftware befolgt. Inzwischen nutze ich die deutschen AnoPhone Geräte beruflich und privat und bin sorgenfrei ohne die zeitaufwändigen Custom ROM Installationen. So funktioniert Datenschutz, aber leider noch nicht auf i-Geräten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.