Datenschutz

#35c3: Wie Facebook Dich auf Deinem Android-Gerät trackt. Auch wenn Du gar keinen Facebook-Account hast.

Auf dem jährlichen Kongress des Chaos Computer Clubs stellte Privacy International eine Recherche zu User-Tracking bei Android-Apps vor. Im Vordergrund der Analyse stehen dabei kostenlose und weit verbreitete Apps mit Facebook-Integration, die – wie sich herausstellte – bereits beim Öffnen automatisch Tracking-Daten an Facebook übertragen, auch bei Nicht-Facebook-Usern.

Frederike Kaltheuner und Christopher Weatherhead (rechts) auf der Borg-Stage des 35c3
Frederike Kaltheuner und Christopher Weatherhead (rechts) auf der Borg-Stage des 35c3 CC-BY 4.0 CCC Video Operation Center

Wer mit Spotify auf dem Android-Gerät Musik hört oder zum Beispiel mit Skyscanner gerne mal nach günstigen Flügen stöbert, teilt diese Information unverzüglich mit Facebook, auch wenn man dort nicht registriert oder einfach ausgeloggt ist und personalisierte Werbung in den Geräteeinstellungen deaktiviert hat. Das geht aus einer Recherche von Privacy International hervor, in der eine Reihe kostenloser und verbreiteter Android-Apps hinsichtlich des Ausfließens von Tracking-Daten untersucht wurden. Auf dem Kongress des Chaos Computer Clubs Ende Dezember 2018 wurden die Ergebnisse und technischen Mittel der Analyse erstmals vorgestellt.

Hier gibt es die Video-Aufzeichnung des Vortrags

und eine fünfminütige Zusammenfassung der Studie auf Youtube.

Es gibt den vollen Bericht auch als PDF.

Personalisierte Werbung

Ähnlich wie bei Tracking-Cookies im Browser wird auch bei der Verwendung von Mobile-Apps das Nutzungsverhalten einzelner Nutzer:innen mithilfe eindeutiger IDs pro Gerät und installierter App akribisch aufgezeichnet. So verschaffen sich Tracker technisch Durchblick im Meer gesammelter Daten und sind in der Lage, ein genaues Bild vom Nutzungsverhalten pro App und Nutzer:in zu zeichnen. Neben Werbezwecken ist diese Auswertung auch für Entwickler:innen nützlich, um die Nutzererfahrung der von ihnen entwickelten Apps zu optimieren.

Third Party Tracking

Um das Rad nicht jedes mal neu zu erfinden und Entwicklungskosten zu sparen, greifen dabei viele Entwickler:innen auf Drittanbieter für das Sammeln und Auswerten (Analytics) der Nutzungsdaten zurück. Am prominentesten treten dabei Googles Mutterfirma Alphabet und Facebook auf den Plan, wie eine empirische Studie der Oxford-University belegt. Während der Entwicklung einer App gibt es dann in der Regel zwei Möglichkeiten: Entweder wird die gewünschte Plattform per Schnittstelle aufwändig selbst angebunden oder es wird auf eine fertige Implementierung zurückgegriffen. Facebook bietet für Android das Facebook Android Software Development Kit (SDK) für die Anbindung ihrer Plattform an. Neben Analytics-Funktionalität lässt sich darüber unter anderem auch der In-App-Facebook-Login oder ein Share-Button im Handumdrehen in die zu entwickelnde App integrieren. Der Code des SDK ist Open Source und auf Github verfügbar.

Facebook needs to know!

Aus der Recherche geht jedoch hervor, dass 61 Prozent der darin getesteten Apps bereits beim Starten Tracking-Daten an Facebook übermitteln. Weiterhin fließen bei manchen dieser Apps selbst nach dem expliziten Ausschalten der Tracking-Funktionalitäten im SDK und der personalisierten Werbung immer noch Daten über die Installation, den Start und die Deaktivierung der App ab. In der Kombination lassen sich daraus nach wie vor sehr genau intime Informationen und Profile über die Nutzer:innen ableiten.

Problematisch ist an dieser Stelle vor allem, dass das Tracking in den Standard-Einstellungen des SDK aktiviert ist, was auch als opt-out oder opting out, also als Sich-explizit-dagegen-entscheiden-müssen bezeichnet wird. Facebook liefert mit dem SDK somit eine bezüglich der Datenschutzgrundverordnung (DSGVO) genau genommen rechtswidrige Anbindung ihrer Plattform, was sich zum Teil in einigen Bug-Reports (Suchbegriff „GDPR“) widerspiegelt. Diese intransparente und nur teilweise Umsetzung von opt-out scheint auch bei Google als legitime Praxis zu gelten.

Was nun?

Wünschenswert wäre die gewissenhafte Umsetzung des opt-out für Tracking, besser noch sogar opt-in. Aus der Recherche wird dies als die Forderung Privacy by Design and by Default an die Plattformen deutlich, also die standardmäßige Deaktivierung von Tracking und eine Minimierung der Datensammlung im Allgemeinen (Data Minimisation). Leider stehen diese Ansprüche im krassen Widerspruch zur datenzentrierten Profitstrategie großer digitaler Plattformen.

Aber auch Entwickler:innen neuer und bestehender Mobil-Apps sind gefragt, Wert auf rechtmäßige Datenschutzerklärungen und Transparenz bei den Tracking-Einstellungen für die Nutzer:innen ihrer Apps zu legen. Generell sollte man sich dabei aber die Frage stellen, ob an der einen oder anderen Stelle nicht gänzlich auf Third Party Tracking verzichtet werden kann, denn bis auf weiteres ist aufgrund mangelnder Transparenz unklar, wie und in welchem Ausmaß die erhobenen Daten neben Werbung und Analytics konkret verarbeitet und kombiniert werden.

9 Ergänzungen
    1. Hier ist von mindestens 20 der 34 populärsten Apps die Rede, u.a. Kayak, MyFitnessPal, Skyscanner and TripAdvisor: https://www.engadget.com/2018/12/30/more-popular-apps-are-sending-data-to-facebook-without-asking/?guccounter=1

      Basiert wie auch der Kongress-Vortrag auf der Studie von Privacy International:
      https://privacyinternational.org/report/2647/how-apps-android-share-data-facebook-report

      Dort kann ein PDF heruntergeladen werden, wo die 21 Positivbefunde in Appendix 1 gelistet sind.
      Die vorinstallierten Apps der diversen Hersteller sind ein riesen Fass, dass als solches in seiner Gesamtheit gar nicht ausreichend gut betrachtet werden kann.

  1. Daher brauchen wir dringend Smartphones mit ECHTEM LINUX (TM)!

    Schade dass das Librem 5 als Early Bird schon 600$ kostet (https://shop.puri.sm/shop/librem-5/). Von der Ubuntu Phone Front habe ich zuletzt gehört dass das Projekt an die Community übergeben wurde und Sailfish OS ist total unter Verschluss irgendwie.

    Da hilft wohl nur massiv alles abzuriegeln und verschiedene Geräte für verschiedene Dienste zu nutzen…

    1. Android mit root ist ein echtes Linux. Wer sich das Librem nicht leisten kann, kauft sich ein Sony und kompiliert sich seinen Android selber.

      https://developer.sony.com/develop/open-devices/guides/aosp-build-instructions/build-aosp-android-p-9-0-0

      Dann noch https://f-droid.org/en/packages/dev.ukanth.ufirewall — dann funkt nix mehr raus. Adaway ist auch noch sinnvoll.

      $650 sind ein Schnäppchen, warum sollten die Ingenieure für dich arbeiten gehen? Geh doch mal für sie arbeiten.

  2. Kommentar zum Abschnitt
    „Aber auch Entwickler:innen neuer und bestehender Mobil-Apps sind gefragt, Wert auf rechtmäßige Datenschutzerklärungen und Transparenz bei den Tracking-Einstellungen für die Nutzer:innen ihrer Apps zu legen. Generell sollte man sich dabei aber die Frage stellen, ob an der einen oder anderen Stelle nicht gänzlich auf Third Party Tracking verzichtet werden kann, denn bis auf weiteres ist aufgrund mangelnder Transparenz unklar, wie und in welchem Ausmaß die erhobenen Daten neben Werbung und Analytics konkret verarbeitet und kombiniert werden.“

    Warum werden immer wieder die „Entwickler“ zitiert ??
    Wann setzt sich endlich die Erkenntnis durch, dass diese „Entwickler“ nicht frei schwebende selbstständige Individien sind, sondern einfach nur Angestellte einer Firma sind.

    Und genau diesen Firmen sind es, die bestimmen, wie ein Softwareprojekt realisiert wird und nicht die „Entwickler“ – schließlich leben auch die nicht vom Programmcode sondern vom Gehalt, dass diese Firma zahlt, die wiederum mit Auftraggebern einen Vertrag eingehen, in dem steht, was in diesem Softwareprojekt realisiert werden soll.
    Den Einfluß eines „Entwicklers“ halte ich daher für sehr gering.

    1. Lieber FairDummung,

      Dein Einwand stimmt für den Fall, dass bei der Entwicklung einer App die Einbindung des Third-Party-Tracking von Facebook explizit durch den Arbeitsauftrag vorgeschrieben ist.

      Der von dir zitierte Appell bezieht sich aber eher auf den Fall, in dem einige, aber nicht alle Komponenten des Facebook-SDK in einer zu entwickelnden App Verwendung finden. Da aber grundsätzlich erstmal alle SDK-Komponenten – auch die für Tracking – aktiviert sind (opt-out), ist es dann wichtig, nicht benötigte Teile im Sinne der Data-Minimisation explizit zu deaktivieren.

      Neben den Third-Party-Trackern von Google und Facebook existieren außerdem auch alternative Tracking-Lösungen wie Matomo.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.