In einer neuen Studie hat die Organisation Privacy International den Datenverkehr von 34 beliebten Android-Apps mit Facebook analysiert. 61 Prozent der untersuchten Apps mit jeweils 10 bis 500 Millionen Nutzern schicken Daten über den Nutzer und das Nutzungsverhalten an die Facebook-Adresse graph.facebook.com. Laut der Studie werden die Daten auch an Facebook verschickt, wenn der Nutzer nie einen Facebook-Account angelegt hat. Auch sehr bekannte Apps wie Spotify, Skyscanner, Duolingo, Shazam, Tipadvisor, Yelp, VK (Vkontakte), Family Locator und Indeed Job Search und Kayak, haben im Test der Studie Nutzer-Daten an Facebook geschickt.

Die Studie von Privacy International (PI) hat zu den jeweiligen Apps Seiten angelegt, auf denen dargestellt wird, welche Daten an Facebook übertragen werden. Bei der App des Reiseportals Kayak sind die Daten laut PI besonders anschaulich: Wenn Android-Nutzer in der App einen Flug suchen, würden Daten wie der Abflugsort, Flughäfen, Flugdatum, Anzahl der Tickets (und Zahl der Kinder) und ob Economy oder erste Klasse gewählt wurde, an Facebook gesendet.

Zusammen mit den Daten, die Facebook von anderen Apps erhält, so Privacy International, ergäbe sich daraus ein sehr detailliertes, fast intimes Bild über den Nutzer: Jemand der zum Beispiel die Apps Qibla Connect (eine muslimische Gebetsapp), Period Tracker Clue (einen Perioden-Tracker), Indeed (eine Job-Suchmaschine) und My Talking Tom installiert hat, wäre für Facebook leicht als muslimische Frau mit Kindern auf der Suche nach einem Job zu erkennen. Und das nur dadurch, dass diese Apps installiert wurden. Dazu kämen noch aufschlussreiche Daten über das Nutzungsverhalten der Apps.

Damit Facebook die Daten zu einem Profil zusammensetzen kann, so der Bericht von Privacy International, müssen sich Nutzer auch nicht mit einem Facebook-Account anmelden. Die Apps übertragen die Daten gleich zusammen mit einer sogenannten Google-Advertising-ID – einer Kenn-Nummer, mit der die Daten, die über einen Nutzer in unterschiedlichen Apps und auf Internetseiten gesammelt werden, zu einem Profil zusammengeführt werden können.

Schon seit einigen Jahren gehen Experten davon aus, dass Facebook auch über Menschen, die sich nie dort angemeldet haben, sogenannte Schattenprofile anlegt und dazu Daten sammelt.

Die Daten der Apps werden an Facebook mithilfe eines Software-Development-Kit (SDK) übertragen, das Facebook App-Entwicklern zur Verfügung stellt. Facebook selbst bietet in den Cookie-Richtlinien zwei Möglichkeiten an, wie Menschen (die keinen Facebook-Account haben) die Datensammlung über sich vermindern könnten. Privacy International gibt an, beide Möglichkeiten getestet und keine erkennbaren Unterschiede beim dem Daten-Sammelverhalten der Apps festgestellt zu haben.

Die Datensammlungen der Apps sind auch im Rahmen der DSGVO ein Problem: Seitdem die DSGVO in Kraft getreten ist, so der Report von Privacy International, hätten App-Entwickler Facebook darauf aufmerksam gemacht, dass sie mit Facebooks SDK keine freiwillige Abschalt-Funktion in die App einbauen konnten. Diese freiwillige Abschaltfunktion sollte es laut der DSGVO aber in allen datensammelnden Apps geben. Die Entwickler beklagten, dass sie sich aufgrund der technischen Begebenheiten des Facebook-SDK nicht an die DSGVO halten könnten. Ein entsprechendes Update bot Facebook erst in einer neueren Version des SDK an, die erst Wochen nach dem Inkrafttreten der DSGVO erschien. Bei einem Verstoß gegen die DSGVO können Unternehmen mit Strafzahlungen bis zu 20 Millionen US-Dollar oder vier Prozent des Jahresumsatzes belangt werden.

Trotzdem, so der Report von Privacy International, seien auch sechs Monate nach der Veröffentlichung der Funktion zur freiwilligen Abschaltung der Datenübertragung wenige Anzeichen zu erkennen, dass App-Entwickler das Feature tatsächlich einbauen würden.