Sie sind auf Partnersuche, zum Beispiel bei Tinder? Oder eher bei der Datingbörse Curvy, für Leute mit Kurven, oder beim Dienst Grindr, für Schwule? Sie wollen mit Kwit Ihre Nikotinsucht besiegen, mit forDiabetes Ihre Zuckerkrankheit begleiten oder mit Moodpath Ihre Depressionen im Blick behalten?
All diese und die im Folgenden genannten Angebote haben zwei Dinge gemeinsam. Erstens: die meisten Nutzer greifen per Smartphone-App darauf zu. Und zweitens: Jede dieser Apps meldet sich bei Facebook, sobald man sie öffnet.
Das gilt jedenfalls für jeweilige Android-Variante der Apps. Getestet haben wir die Version, die am 29. November 2018 im Play-Store verfügbar war.
Facebook schätzt Interessen anhand genutzter Apps ein
Facebook sammelt auf diesem Weg wertvolle Informationen außerhalb der eigenen Plattform: Wer benutzt welche Apps und wann?
Das mag bei einer Foto- oder Wetter-Anwendung unproblematisch sein – wer sich aber mit der Bibel + Audio-App dem christlichen Glauben widmet oder sich per Muslim Pro an die muslimischen Gebetszeiten erinnern lässt, gibt viel über sich preis.
Mit diesen Informationen füttert Facebook seine Nutzerprofile und macht sie so zu Geld. Wer regelmäßig den Schwangerschafts-Ratgeber Schwangerschaft+ nutzt, wird sich sehr wahrscheinlich bald für Babysachen interessieren, wer mit der App Migraine Buddy seine Kopfschmerzen protokolliert, reagiert vermutlich gut auf Werbung für neue Migräne-Mittel.
Entwickler bauen Facebook-Baustein in ihre Apps ein
Die Verbindung zu Facebook kommt nicht durch dunkle Machenschaften des Konzerns zustande. Die App-Entwickler bauen sie höchstpersönlich in ihre Apps ein. Facebook stellt dafür einen Software-Baustein zur Verfügung, ein sogenanntes Software Development Kit (SDK). Es ist fertig programmiert und muss nur noch heruntergeladen und eingebaut werden.
Warum nutzen die Entwickler diesen Baustein? Die meisten Menschen kennen Facebook nur als Plattform, um sich mit Freunden auszutauschen – ein Social-Media-Dienst eben. Aber der Konzern hat noch ganz andere Angebote im Portfolio.
Für Anbieter von Apps stellt er zum Beispiel einen Dienst für die Nutzeranalyse zur Verfügung: Facebook Analytics. Mit Facebook Analytics bekommt der Betreiber einer App Auskunft darüber, was Nutzer in der App tun: an welcher Stelle im Menü sie womöglich abbrechen, welche Funktionen sie besonders mögen.
Wichtige und völlig legitime Informationen also, um eine gute App herzustellen.
Daten gegen kostenlosen Service
Der Analyse-Dienst von Facebook ist nicht nur sehr gut, er ist im Gegensatz zu vielen anderen vergleichbaren Diensten auch kostenlos. Entsprechend beliebt ist er.
Das Testsystem der französischen Nichtregierungsorganisation Exodus Privacy fand das Modul für Facebook Analytics in rund 20 Prozent aller 42.675 getesteten Apps.
Der Preis für die praktischen Dienste: die Nutzerdaten, die dabei anfallen, landen bei Facebook. Bei Facebook-Analytics zum Beispiel kann der Entwickler die Daten zwar ansehen, er kann aber nicht darüber bestimmen.
Was genau erfährt Facebook?
Über dieses Arrangement machen sich die Anbieter und Entwickler von Apps offenbar wenig Gedanken. Zum Teil liegt das daran, dass die Betreiber gar nicht genau wissen, was das Facebook-Modul eigentlich tut.
Den wenigsten App-Herstellern ist zum Beispiel klar, dass die Daten, die das Modul aus ihrer App heraus sendet, nicht wirklich anonym sind.
Wenn man den Datenstrom einer App mit integriertem Facebook-Modul analysiert, sieht das typischerweise so aus (hier am Beispiel der App der Partei CDU, „Meine CDU, Version 1.8.2“). (Stand 2024: Diese App ist nicht mehr verfügbar)
Neben technischen Informationen, zum Beispiel der Modellbezeichnung D5803 für ein Sony Xperia Z3 Compact, erfährt Facebook auch die Uhrzeit, die IP-Adresse und welche App genutzt wird – in diesem Beispiel die offizielle App der Christlich Demokratischen Partei Deutschlands, CDU.
Entscheidend ist aber die markierte Zeile im Bild, bezeichnet mit „advertiser_id“. Hier steht als Wert die sogenannte Werbe-ID, in unserem Beispiel die Ziffernfolge „3e072b22-ed75-4502-b26c-10ca1ad1abe1“.
Streitfrage: Wie anonym ist die Werbe-ID?
Jedes Android-Handy, das mit einem Google-Konto verknüpft ist, hat eine solche Werbe-ID. Bei iPhones gibt es eine vergleichbare Kennnummer, die das Apple-Betriebssystem iOS erstellt. Die Werbe-ID ist eindeutig. Das heißt: Jedes Handy hat eine andere. Und jede App kann sie ohne weitere Berechtigung oder Benachrichtigung auslesen.
Das macht sich Facebook zunutze: Wer sich auch nur ein einziges Mal mit seinem Handy bei Facebook einloggt, dessen Werbe-ID wird von Facebook ausgelesen und mit dem eigenen Facebook-Konto verbunden. Wer dort Name, E-Mail-Adresse oder Geburtsdatum hinterlegt hat, ist damit alles andere als anonym.
Fortan kann Facebook jede andere Information, die zusammen mit der Werbe-ID auf seinen Servern landet, dem passenden Nutzerprofil zuordnen. Und genau das tut der Konzern mit den Informationen, die das Facebook-Modul aus Drittanbieter-Apps sendet, wie ein Facebook-Sprecher auf Anfrage von mobilsicher.de bestätigte.
Damit verliert die Werbe-ID bei Facebook ihre Anonymität, so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Johannes Caspar gegenüber mobilsicher.de:
„Anonym sind diese Daten nur, wenn sie keiner konkreten Person zugeordnet werden können, oder wenn dies nur mit unverhältnismäßig großem Aufwand möglich ist. Hier wird aber gerade ein konkreter Personenbezug durch den Abgleich mit vorhandenen Nutzerprofilen bei Facebook hergestellt.“
Auch die Tatsache, dass Nutzer die Werbe-ID manuell verändern können, lässt Caspar nicht als Ausrede gelten.
„Wenn schon eine IP-Adresse als ein personenbezogenes Datum angesehen wird, so muss dies auch für eine gerätegebundene Werbe-ID gelten, zumal das jeweilige Gerät regelmäßig von einer Person genutzt wird. Die für ein Gerät eindeutige Werbe-ID kann zwar zurückgesetzt werden, wird dadurch aber durch eine neue eindeutige Nummer ersetzt, die dann wieder mit dem Gerät und damit mit dessen Nutzer fest verbunden ist“, so der Datenschutzbeauftragte.
Und weil ohnehin kaum jemand seine Werbe-ID regelmäßig zurücksetzt, funktioniert sie in der Praxis auf jeden Fall hervorragend als Identifikationsmerkmal. Dass sich trotzdem sogar in Apps mit Bezug zu Gesundheit, Religion oder politischer Gesinnung ein Facebook-Modul findet, beweist im besten Fall die Arg- und Ahnungslosigkeit der Entwickler, im schlimmsten ihre Skrupellosigkeit.
Transparenz für Nutzer? Fehlanzeige
Für den Nutzer gibt es keine Möglichkeit zu erkennen, ob eine App Daten an Facebook überträgt. Die Übertragung ist unabhängig davon, ob man sich mit dem eigenen Facebook-Konto in der App anmeldet, und sie findet selbst dann statt, wenn man gar kein Facebook-Konto hat.
Keine der genannten Apps geben darauf einen expliziten Hinweis per Dialogfenster. Nicht einmal die Hälfte erwähnt das Facebook-Modul in der Datenschutzerklärung.
Strenggenommen ist keine einzige der genannten Apps mit geltendem Datenschutzrecht vereinbar. Denn die Datenübertragung an Facebook findet bei allen unmittelbar beim Öffnen der App statt – noch bevor irgendeine Information angezeigt oder abgenickt werden könnte.
Das wäre aber laut Johannes Caspar im Falle einer Übertragung an Facebook mindestens nötig:
„Werden Daten an Dritte übermittelt – hier zum Beispiel durch die Übertragung der Werbe-ID an Facebook – ist dies in der Regel nur mit Zustimmung des Betroffenen möglich. Hierfür bedarf es einer informierten Einwilligung, die gegebenenfalls durch eine nicht gesetzte Checkbox ausgestaltet sein kann, wobei die Übermittlung der Daten erst dann erfolgt, nachdem der Nutzer sie gesetzt hat“, erklärt Hamburgs Datenschutzbeauftragter, der in Deutschland für die Kontrolle von Facebook zuständig ist.
Facebook selbst bestätigt auf Anfrage, dass Nutzer derzeit nicht sehen können, welche Informationen aus Apps der Konzern mit dem eigenen Profil verknüpft hat. Mark Zuckerberg hatte eine solche Funktion bereits im Mai 2018 angekündigt. Sie soll „Clear History“ heißen und ist bis heute nicht verfügbar.
Undurchsichtig: Sind auch Nutzer ohne Facebook-Konto betroffen?
Auf die Frage, was Facebook mit den Informationen von Nutzern ohne Facebook-Konto tut, antwortet das Unternehmen:
„Facebook only processes information as needed and doesn't process or retain information for non-FB users in the same manner that it does for users.”
Auf Deutsch: Facebook verarbeitet nur Informationen, die benötigt werden, und verarbeitet und speichert Informationen von Nicht-Facebook-Nutzern anders, als die von Facebook-Nutzern.
Eine klare Aussage, dass Facebook keine Profile von Nicht-Nutzern anlegt, sieht anders aus. Eine informierte Entscheidung über die eigenen Daten auch.
Gefühlte Wahlmöglichkeiten
Dass Informationen aus Drittanbieter-Apps für personalisierte Werbung verwendet werden, ist keine Vermutung, sondern wurde von Facebook auf Anfrage von mobilsicher.de bestätigt. Auch die Datenrichtlinie von Facebook erklärt es relativ eindeutig in der Sektion „Informationen von Partnern“.
Ein Problem sieht Facebook darin nicht, denn, darauf weist der Konzern regelmäßig hin, Nutzer hätten ja die Wahl: Jeder könne sich gegen personalisierte Werbung entscheiden – entweder über eine entsprechende Einstellung im Mobilgerät selber oder im Menü des eigenen Facebook-Kontos. Im Jargon nennt man diese Widerspruchsmöglichkeit „Opt-out“.
In der Datenstrom-Analyse lässt sich erkennen, dass in diesem Fall das Facebook-Modul die genannten Informationen genauso überträgt. Allerdings steht dann in dem Feld mit dem Namen „advertiser_tracking_enabled (eine Zeile unter der Werbe-Id) die Angabe „false“ – auf Deutsch so viel wie „falsch“ oder „nicht zutreffend“ (hier am Beispiel der App „SPD Landtagsfraktion NRW“ Version 5.728, die vom Dienstleister Tobit Software gehostet wird).
Das Facebook-Modul sendet die Daten also wie gehabt, nur schickt es eine Art Markierung mit, die anzeigt, dass der Nutzer sich gegen personalisierte Werbung entschieden hat.
Auf die Frage, ob die Informationen in diesem Fall nach der Übertragung gelöscht werden, antwortet der Konzern:
„If a person utilizes one of these controls, then Facebook will not use data gathered on these third-party apps (e.g. through Facebook Audience Network), for ad targeting.”
Auf Deutsch: Wenn eine Person eine dieser Einstellungen nutzt, wird Facebook die gesammelten Informationen aus Drittanbieter-Apps nicht für personalisierte Werbung nutzen.
Die Zweideutigkeit dieser Antwort ist gar nicht zu übersehen und lässt im Grunde nur einen Schluss zu: Facebook sammelt die Daten trotzdem. Sollte ein Nutzer irgendwann seine Einstellung ändern und personalisierte Werbung wieder zulassen, wäre vermutlich ein vollständiges Interessensprofil vorhanden und einsatzbereit.