34 beliebte Android Apps, darunter Spotify, Shazam und Yelp, hat die Organisation Privacy International für ihre Analyse “How Apps on Android Share Data with Facebook” untersucht, die zwischen August und Dezember 2018 durchgeführt wurde. Demnach transferieren 61 Prozent davon automatisch Daten an Facebook, sobald der Nutzer eine bestimmte App öffnet, ohne allerdings eine ausdrückliche Zustimmung eingeholt zu haben. Dies passiere unabhängig davon, ob jemand im sozialen Netzwerk eingeloggt ist oder nicht und ebenso ob man einen Facebook-Account hat oder nicht. Laut der seit Ende Mai geltenden DSGVO müssen App-Anbieter die explizite Zustimmung ihrer Nutzer einholen, bevor sie persönliche Daten abgreifen und weiterleiten. Einige der übermittelten Daten seien sehr detailliert, heißt es in dem Bericht. Die Reisesuchmaschine Kayak soll automatisch Informationen über Flugsuchen, Reisedaten und –ziele, Ticketanzahl und Ticketkategorie weitergeleitet haben.
Laut Organisation sei die standardmäßige Einstellung bei Facebooks Software Development Kit (SDK) verantwortlich für den Verstoß der App-Anbieter. Per SDK stellen Hard- und Softwarehersteller sowie Plattformbetreiber Programmcodes, Schnittstellen und Anleitungen externen Anbietern zur Verfügung, damit diese passende Software programmieren können. In der Analyse zeigte sich, dass die betroffenen Apps die Daten zusammen mit einer der sogenannten Google Advertising ID (kurz: AAID) übermitteln. Zweck davon ist, dass Werbetreibende das Verhalten eines Nutzers über verschiedene Apps hinweg rekonstruieren können. Kombiniert lasse sich daraus ein präzises Bild des Nutzers entwerfen, das Aktivitäten, Interessen, Verhalten und Routinen, aber auch den Gesundheitszustand oder die Religionszugehörigkeit verrate.
Erkenntnisse werfen zahlreiche Fragen auf
Entwickler hätten den Missstand, dass es nicht möglich sei das Einverständnis der Nutzer einzuholen und sich damit gesetzeskonform zu verhalten, seit Inkrafttreten der DSGVO bei Facebook gemeldet. Ende Juni hatte das weltweit größte Netzwerk ein Update zur Verfügung gestellt, das eben jene Problematik beheben sollte. Damit sollte das automatische Sammeln der Daten aufgehalten werden, so lange keine ausdrückliche Einverständnis des Nutzers vorliegt. Dies betonte das US-Unternehmen nochmals in mehreren E-Mails an die Organisation, die dokumentiert sind. Privacy International hat im Vorfeld der Veröffentlichung der Analyse zudem die betroffenen Anbieter angeschrieben, um sie auf das Problem aufmerksam zu machen. Auch diese Antworten sind im Bericht gelistet. So äußerte sich Spotify beispielsweise folgendermaßen hinsichtlich der Untersuchungsergebnisse:
Thank you for bringing this matter to our attention. Spotify is committed to transparency and fairness in how it processes personal data in connection with the Spotify app and service. We are currently working to evaluate Privacy International’s technical findings (the details of which shared by Privacy International are quite brief) and to understand the context of data being transmitted to graph.facebook.com. If necessary, we will also evaluate whether changes should be made as part of this How Apps on Android Share Data with Facebook 44 Facebook integration. However, as this is a technically complex and important matter, our technical evaluation is unlikely to be complete prior to your organisation’s publication of its report.
Andere Unternehmen wie TripAdvisor, Skyscanner oder My Fitness Pal äußerten sich in ähnlicher Art auf Anfrage von Privacy International. Aus Sicht der Autoren führt die Untersuchung zu verschiedenen Fragen rund um Datensicherheit, Verantwortlichkeit und zur Gesetzgebung. So seien die Erkenntnisse ebenfalls im Lichte der möglichen ePrivacy-Verordnung und des Wettbewerbsrechts zu betrachten.