Eine Untersuchung zeigt Datensammelei des Social-Media-Konzerns durch versteckte Tools in vielen Apps. Diese senden auch Daten an Facebook, wenn man gar keinen Account dort hat. Hersteller aus Deutschland zeigen sich nach Bekanntwerden reumütig.

Ohne die Nutzer zu informieren, schicken rund 30 Prozent aller Android-Apps, darunter die Apps „Meine CDU“ und „SPD Landtagsfraktion NRW“, heimlich Daten an Facebook. Sie senden sensible Informationen über Religion, Gesundheit oder die sexuelle Orientierung an den Konzern mit Sitz in Kalifornien. Dazu reicht es, einfach die App zu starten, ein Facebook-Account ist nicht notwendig, wie ein Bericht des Infoportals mobilsicher.de aufzeigt.

Möglich macht dies das Software Development Kit (SDK) von Facebook, das viele Entwickler in ihre Apps einbauen. Mobilsicher.de berichtet mit Verweis auf Untersuchungen von Exodus Privacy und AppCensus:

Warum nutzen die Entwickler diesen Baustein? Die meisten Menschen kennen Facebook nur als Plattform, um sich mit Freunden auszutauschen – ein Social-Media-Dienst eben. Aber der Konzern hat noch ganz andere Angebote im Portfolio. Für Anbieter von Apps stellt er zum Beispiel einen Dienst für die Nutzeranalyse zur Verfügung: Facebook Analytics. Mit Facebook Analytics bekommt der Betreiber einer App Auskunft darüber, was Nutzer in der App tun: an welcher Stelle im Menü sie womöglich abbrechen, welche Funktionen sie besonders mögen.

Diese Details gehen aber nicht nur an die App-Entwickler, sondern eben auch an Facebook. Und da die Übermittlung in aller Regel mit einer eindeutigen Werbe-ID verknüpft ist, lässt sich das Nutzungsverhalten leicht einer konkreten Person zuordnen. Zudem deutet alles darauf hin, dass selbst Nutzer ohne Facebook-Account ausspioniert werden und ihre intimen Details in sogenannten Schattenprofilen landen. Generell dürfte diese Praxis mit geltendem Datenschutzrecht unvereinbar sein, urteilt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar.

App-Hersteller reumütig

Spiegel Online hat den Bericht vorab erhalten und fragte bei einigen betroffenen App-Herstellern nach, namentlich bei den Entwicklern von „Meine CDU“, „SPD Landtagsfraktion NRW“, dem Depressions-Erkennungstest Moodpath und der Dating-App OKCupid.

Die CDU schrieb: „Das in unserer App verwendete Facebook-Plug-in ist in der aktuellen Version irrtümlich installiert. Wir haben den Hinweis in unsere aktuelle Datenschutzerklärung aufgenommen. Das Plug-in wird nach einem Update nicht mehr zum Einsatz kommen.“

Die NRW-SPD teilte mit: „Wir sind anlässlich Ihrer Mail diesem Hinweis direkt nachgegangen und haben die App aus dem Google Play Store entfernt. Tatsächlich war uns das mögliche Problem bisher nicht bekannt. Uns war dies bisher auch nicht aufgefallen, da wir diese App aufgrund der seit Längerem sehr eingeschränkten Funktionalität nicht mehr nutzen.“

Moodpath antwortete: „Wir bewerten die Möglichkeit, dass ein Drittanbieter wie Facebook möglicherweise sehen kann, wer die App nutzt, sehr kritisch. Aus diesem Grund planen wir, das Facebook SDK zu entfernen, was noch dieses Jahr passieren wird.“

Die Betreiber der Dating-App reagierten nicht.

Unabhängig von dieser Recherche sollten sich Android-Nutzer bewusst sein, dass Google noch viel mehr über seine Nutzer weiß als Facebook. Was übertragen wird und wie sich das ausschalten lässt, führt Google in einem Support-Dokument aus.