Dating, sexuelle Orientierung, Religion – Facebook nutzt Daten von Tinder, Grindr und Co.

Bei all dem Aufsehen, dass Facebook dieser Tage aufgrund wiederholter Datenverluste oder Datenweitergaben zukommt, ließe sich schnell vergessen, dass das Soziale Netzwerk selbst fleißig Daten von Dritten sammelt. Apps wie Grindr oder Schwangerschaft+, die manches über den User verraten könnten, geben direkt bei der Nutzung Daten an die Social-Plattform weiter. Diese werden dort für die werberelevante Einschätzung von Interessen verwendet.

Sehr persönliche Daten gehen an Facebook

Wer über Tinder oder Grindr datet, bei Moodpath Depressionen im Überblick behält, mithilfe von Kwit mit dem Rauchen aufhören möchte oder sich Schwangerschaft+ herunterlädt, dessen Daten werden im Kontext der App-Nutzung an Facebook weitergegeben. Mobilsicher.de berichtet, dass rund 30 Prozent aller Apps im Play Store zu Facebook Kontakt aufnehmen, sobald sie gestartet werden. Dadurch erfährt die Plattform, welche Apps von Usern genutzt werden und wann. Das bezieht sich auch auf Applikationen, die Schlüsse auf äußerst persönliche Lebensumstände zulassen. Ob es um sexuelle Orientierung, Krankheit, Schwangerschaft, Glaubensfragen oder Dating geht: mit den Daten der Apps kann Facebook bestimmte Interessenprofile erstellen.

Die Bereitstellung dieser Daten wird in Facebooks Datenrichtlinie sogar grundsätzlich dokumentiert:

Werbetreibende, App-Entwickler und ‑Publisher können uns über die von ihnen genutzten Facebook Business-Tools, u. a. unsere sozialen Plugins (wie den „Gefällt mir“-Button), Facebook Login, unsere APIs und SDKsoder das Facebook-Pixel, Informationen senden. Diese Partner stellen uns Informationen über deine Aktivitäten außerhalb von Facebook bereit, u. a. Informationen über dein Gerät, von dir besuchte Webseiten, von dir getätigte Käufe, Werbeanzeigen, die du siehst und darüber, wie du ihre Dienste nutzt, und zwar unabhängig davon, ob du ein Facebook-Konto hast oder bei Facebook eingeloggt bist. Beispielsweise könnte ein Spieleentwickler unsere API nutzen, um uns mitzuteilen, welche Spiele du spielst, oder ein Unternehmen könnte uns von einem Kauf berichten, den du in seinem Geschäft getätigt hast. Wir erhalten außerdem Informationen über deine Online- und Offline-Handlungen und ‑Käufe von Dritt-Datenanbietern, die berechtigt sind, uns deine Informationen bereitzustellen.

SDK gegen Nutzerdaten: Entwickler und Facebook profitieren

Entwickler können also Facebooks Software Development Kit in ihre Apps integrieren und das Soziale Netzwerk entsprechend von Nutzungsmomenten unterrichten. Da Facebooks Dienste wie Facebook Analytics kostenlos und hochwertig sind, ist auch ihre Popularität bei App-Entwicklern hoch. Quasi im Austausch gegen die Nutzung derselben erhält die Plattform dann aber die Daten von den Apps. Dazu zählen die IP-Adresse des Geräts bei der Nutzung der App, die Zeit dieser Nutzung, der Gerätetyp sowie eine nutzerspezifische Advertising ID. Autorin Miriam Ruhenstroh gibt bei Mobilsicher.de ein Beispiel dafür, welche Websites von der App „Meine CDU“ beim Starten kontaktiert werden und welche Daten etwa an Facebook gehen.

Die übermittelte Advertising ID ermöglicht Facebook nun eine sehr spezifische Verfolgung und Einschätzung von Nutzerinteressen. Denn alle Android-Geräte, die auf ein Google-Konto zugreifen, stellen eine solche ID bereit. Diese Werbe-ID kann vom einzelnen Nutzer zurückgesetzt werden. iOS stellt übrigens ein ähnliches System zur Verfügung. Apps können diese ID auslesen und weitervermitteln. Facebook wiederum kann sie mit Konten von Usern verknüpfen, wenn diese sich mit ihrem Android-Gerät bei der Plattform einloggen. Auf diese Weise lassen sich Namen, E-Mail-Adressen usw. mit den aus den App-Daten erkannten Präferenzen ermitteln.

Wer ist wie anonym?

Der Hamburgische Datenschutzbeauftragte Dr. Johannes Caspar erklärte Mobilsicher.de gegenüber:

Anonym sind diese Daten nur, wenn sie keiner konkreten Person zugeordnet werden können, oder wenn dies nur mit unverhältnismäßig großem Aufwand möglich ist. Hier wird aber gerade ein konkreter Personenbezug durch den Abgleich mit vorhandenen Nutzerprofilen bei Facebook hergestellt.

Wie Facebook nun mit Informationen von Usern umgeht, die kein Konto beim Sozialen Netzwerk haben, ist nicht völlig deutlich. Im Statement des Unternehmens heißt es:

Facebook only processes information as needed and doesn’t process or retain information for non-FB users in the same manner that it does for users.

Zumindest wird darin nicht klar verneint, dass diese Daten einem bestimmten Zweck zugeführt werden. Unabhängig davon kann Mobilsicher.de durch eine Aussage vonseiten der Plattform nun bestätigen, dass die erhaltenen Daten für Werbezwecke genutzt werden. Dabei informieren die Apps ihre User nur bedingt über die Weitergabe der Daten. Allerdings können Nutzer sich gegen die Weitergabe von Daten per Opt-out entscheiden. Dann wird zwar das Datenpaket dennoch an Facebook übermittelt – jedoch mit dem Hinweis, dass der Nutzer sich gegen eine Verwendung ausgesprochen hat. Facebook beteuert, dass in diesem Fall die Informationen nicht für das Targeting genutzt werden.

Wie legitim ist diese Datensammlung und ihre Nutzung?

Aus Sicht Facebooks ist der Erhalt der Daten zumindest einigermaßen transparent. Zwar müssen die Nutzer per Opt-out bestätigen, dass ihre Informationen nicht für Werbezwecke auf der Plattform instrumentalisiert werden sollen. Doch immerhin besteht diese Option und Facebooks Datenrichtlinie legt die Nutzung von Daten Dritter offen.

Jedoch handelt es sich allein bei der Nutzung von spezifischen Apps wie Grindr, Tinder, MuslimPro, Kwit oder Schwangerschaft+ um eine persönliche Userdefinierung. Und dass die Daten zur Nutzung solcher Apps bereits an Facebook übertragen werden, sobald sie gestartet werden und ohne, dass ein Klick erfolgt ist, widerspricht streng genommen der DSGVO. Die personenbezogenen Daten finden in ihrer Definition in Artikel 4, Absatz 1 in diesem Kontext ihre Entsprechung, denn es sind:

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Sie müssen gemäß Artikel 5, Absatz 1 der DSGVO:

auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (,Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

was schwerlich gewährleistet werden kann, wenn der Nutzer noch nicht einmal einen Einblick in die App erhalten hat. Dazu kommt, dass etwa in der Datenschutzrichtlinie für die App zum Abgewöhnen des Rauchens, Kwit, Facebook keine Erwähnung findet. Außerdem heißt es dort, dass die Daten nur für Kwit selbst zur Verfügung stünden:

Personal data collected through the platforms are reserved exclusively for Kwit, who may communicate the personal data of the Persons Concerned in order to provide support, perform satisfaction surveys and carry out statistical studies.

Auch politische Gruppen sind an der Profilierung der App- und Social-Nutzer interessiert

Nun kann man sich schließlich fragen, wie legitim die Weitergabe und Verarbeitung solch sensibler Daten ist, selbst, wenn sie gegen keine Verordnung oder Richtlinie verstößt. Man sollte sich nicht der Illusion hingeben, dass ein Unternehmen wie Facebook darauf verzichtet, so wertvolle Informationen, wie die Apps sie ihnen präsentieren, zu speichern und zu nutzen. Selbst wenn man personalisierte Werbung derzeit ablehnt. Denn Facebooks Geschäftsmodell basiert auf Daten, nicht aber vornehmlich auf deren Sicherheit.

Da beginnt nun die Crux für die Nutzer: diese Daten sind für andere Parteien ebenso wertvoll und die eigens bei der Plattform generierten Nutzerdaten gelangen immer öfter auch in die Hände weiterer Parteien. Die Folgen sind zunächst in hohem Maße personalisierte Ads oder Contentvorschläge. Doch wehe, diese Daten werden zu anderen Zwecken genutzt. Auch politische Gruppen sind an der Profilierung der App- und Social-Nutzer interessiert. Dazu muss man nicht erst Mark Zuckerberg oder Sundar Pichai vor dem US-Kongress aussagen hören.