DSGVO-Verstoß? Großteil untersuchter Apps liefert Facebook automatisch Daten

Facebook steht im stetigen Datenaustausch mit Apps. Das System dahinter ist simpel. App-Entwickler haben Zugriff auf Facebooks Software Development Kit, geben dafür jedoch Daten an das Unternehmen ab. Wenn die Nutzer jedoch nicht wissen, welchem Zweck diese Daten dienen sollen, ist ein Verstoß gegen die DSGVO wahrscheinlich. Wieder einmal stehen die Nutzerdaten im Zentrum einer Diskussion rund um Facebook.

Die meisten Apps geben direkt Informationen an Facebook weiter

Ob Facebook-Nutzer oder nicht: das Soziale Netzwerk erhält zahlreiche Daten von App-Nutzern oft schon in dem Moment, da diese eine Applikation das erste Mal öffnen. Bei der Analyse von Privacy International traf dieses Moment auf 61 Prozent aller Apps zu. Da die weitergegebenen Nutzungsdaten mit einer Werbe-ID übermittelt werden, können regelrechte Nutzerprofile erstellt werden. Insgesamt, so gibt Mobilsicher.de es in einer eigenen Studie an, sollen gut 30 Prozent aller Apps im Play Store beim Start bereits Kontakt zu Facebook aufnehmen.

Nun ist die Weitergabe von Daten zunächst nicht illegitim. Problematisch ist jedoch, dass die Nutzer an vielen Stellen nicht eindeutig über die Nutzungszwecke der Daten informiert werden – was der DSGVO widerspricht. Darüber hinaus werden, wie die jüngste Analyse von Privacy International aufzeigt, teils extrem detaillierte Daten weitergegeben, die ein potentiell minutiöses Tracking erlauben.

Sensible Daten aus Apps werden mit Facebook geteilt

Erst im Dezember hatte sich nach der Studie von Mobilsicher.de herausgestellt, dass Facebook weiterhin detaillierte Nutzungsdaten von Apps wie Tinder, Grindr, aber auch Kwit oder Schwangerschaft+ erhält. Das ist der Datenrichtlinie des Unternehmens auch zu entnehmen. Die an Facebook übermittelten Daten enthalten etwa eine IP-Adresse des Geräts bei der Nutzung der App, die Zeit dieser Nutzung, den Gerätetyp oder eine nutzerspezifische Advertising ID, sodass eine Identifizierung der Nutzer für Facebook ermöglicht wird. Dieser spezifische Nutzertyp kann dann potentiell getargeted werden.

Auch wer kein Profil bei Facebook hat, gibt seine Daten an das Unternehmen weiter, wenn die App genau dies tut.

Facebook only processes information as needed and doesn’t process or retain information for non-FB users in the same manner that it does for users,

gibt das Soziale Netzwerk an, was jedoch nicht eindeutig aussagt, was mit den Daten geschieht. Obwohl die User sich per Opt-out gegen eine Datenweitergabe aussprechen können, bleibt eine zentrale Fragestellung bestehen: inwiefern ist die Datenweitergabe mit der DSGVO vereinbar, wenn der Zweck der Datenverarbeitung nicht eindeutig ist?

Legitimität der Datenweitergabe ist fragwürdig

Facebook selbst informiert über das Einholen von Daten über Dritte. Das ist für User, die dort kein Profil haben, aber zunächst irrelevant. Außerdem müssten auch die Apps in ihren Datenschutzrichtlinien klar angeben, welche Daten zu welchem Zweck weitergegeben werden. Doch auch das ist, wie das Beispiel der App Kwit zeigt, nicht immer der Fall.

Ist für den Nutzer nicht ersichtlich, wofür seine personenbezogenen Daten ermittelt werden, verstößt das gegen die DSGVO, denn nach dieser, gemäß Artikel 5, Absatz 1, müssen derlei Informationen:

auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (,Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘).

Die in Artikel 4, Absatz 1 näher definierten personenbezogenen Daten sind im EU-Raum demnach unbedingt im Kontext ihrer weiteren Verwendung zu erwähnen. Schließlich ermöglicht die Advertising ID eine deutliche Zuordnung von Daten. Ein Beispiel liefert die Reisesuch-App KAYAK. Diese zeigt in der Datenschutzrichtlinie recht detailliert auf, wer Zugriff auf die Nutzerdaten hat, mit wem sie geteilt werden und zu welchen Zwecken sie eingesetzt werden. Wer dem zustimmt, müsste zumindest theoretisch um die Weitergabe wissen.

Dass KAYAK, wie Privacy International ermittelt hat, extrem granulare Daten weitergibt, mag den Nutzern dennoch sauer aufstoßen. Geteilt werden etwa:

• die Zeit der letzten Suche
• die Google Advertising ID
• Abfahrtsorte
• Abflugflughäfen
• das Datum einer Reise
• Städte der Ankunft
• die Zahl der Tickets (und die Zahl der reisenden Kinder)
• die Art der Flugtickets (Economy oder First Class)

Obwohl nun KAYAK in den Datenschutzrichtlinien Angaben macht, die mit der DSGVO konform gehen, werden die ersten Daten schon beim Öffnen der App gesendet – ehe ein Nutzer sich dort weiter informiert. Genau dieses Moment bemängeln Datenschützer als unzulässig.

Facebooks Update für das SDK

Als Antwort auf die DSGVO hat Facebook für sein SDK eine Änderung auf den Weg gebracht, nach der App-Entwickler die erste Datenweitergabe verschieben können auf den Zeitpunkt, nach dem sie die Zustimmung zum Teilen der Daten von den Nutzern definitiv erhalten haben. Gegenüber Privacy International äußerte Facebook in einem Statement:

An app developer can get a user’s consent to collect and process their data (including sending it to Facebook via the SDK). They can also choose to disable automatic event logging. Earlier this year, we also introduced a new option that allows developers to delay collection of app analytics information. […] in June of this year we introduced another option for businesses that want to use our auto-event logging feature if they choose not to use a pre-install mechanism for obtaining the prior consent contractually required. The legal and contractual obligation is on the developer (data controller) to get consent as required from their users before sharing personal data with Facebook via the SDK, and we wanted to provide another tool in the toolbox to help developers fulfill their legal and contractual obligations, while also providing a good experience for their users.

[…] Prior to our introduction of the ‘delay‘ option, developers had the ability to disable transmission of automatic event logging data, except for a signal that the SDK had been initialized. Following the June change to our SDK, we also removed the signal that the SDK was initialized for developers that disabled automatic event logging. In June we also introduced another option for businesses that want to use our auto-event logging feature in compliance with our Business Tools Terms. Today, an app developer can either choose to use a pre-installed mechanism for obtaining an end-user’s prior informed consent (as they could in the past), or use the SDK delay feature.

Trotzdem geben noch 61 Prozent der untersuchten Apps beim Öffnen Daten weiter. Und viele Entwickler berichten von Bugs, bei denen automatisch Daten übermittelt werden, obwohl Auto Events ausgestellt worden waren. Zudem nutzen manche Apps, darunter Spotify, ältere Versionen des SDK, bei denen das Ausstellen der automatischen Datenweitergabe noch nicht möglich ist.

Wird mit der systematischen Datenübermittlung gegen die DSGVO verstoßen?

Die große und wichtige Frage, die der Bericht von Privacy International ebenso aufstellt wie die Analyse von Mobilsicher.de, dreht sich nicht um die ethische Vertretbarkeit einer vielleicht fragwürdigen, doch alltäglichen Praxis. Vielmehr geht es um die rechtlichen Grundlagen. Nun gilt laut DSGVO, Artikel 6, Abs. 1 a), dass eine Einwilligung des Nutzers zur Datenverarbeitung vorliegen muss, wenn nicht bestimmte Sonderfälle inkrafttreten. Eine solche Einwilligung im Sinne der Verordnung erkennte Privacy International nicht.

From our analysis of the Apps it does not appear that such consent is being obtained. In the majority of the cases no specific information is provided to users about data being provided to Facebook via the SDK nor is any specific consent sought. If anything, there is just a general bundled request to agree to an App’s terms of services and privacy policy. Furthermore, it appears that under the default implementation of the SDK, personal data is transmitted to Facebook before an individual has had the opportunity to be provided with further information or to consent to such data sharing.

Zwar könnten sich die App-Entwickler oder Facebook womöglich noch auf Artikel 6, Abs. 1 f) der DSGVO beziehen, nach dem die Verarbeitung rechtmäßig ist, ist sie

zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Dass die Grundfreiheit des Datenschutzes überwiegen sollte, ließe sich aber als ein Gegenargument anführen. Dazu ist unklar, wie die Daten im Detail verarbeitet werden, eine gewisse Intransparenz bleibt bestehen.

From the analysis of the Apps together with an overview of the privacy policies, there is an evident lack of transparency – it is not made clear to people that Facebook is processing their data, how and for what purposes.

Die App-Nutzer sollten sich bewusst sein, dass ihre Daten in vielen Fällen direkt an Facebook gehen, ob sie dort nun aktiv sind oder nicht. Ob die Datenweitergabe einen Verstoß gegen die DSGVO darstellt, muss im Einzelfall und je nach Datenschutzrichtlinie entschieden werden. Klar ist jedoch, dass Facebook sich dank seines Software Development Kits eine riesige Menge an detaillierten Daten sichert, die per Werbe-ID mit Nutzern in Verbindung gebracht werden, die dann getrackt werden können.

Privacy International fordert von Facebook, dass transparenter gemacht wird, wer welche Daten zu welchem Zweck weitergibt und verarbeitet und dass eine automatische Weitergabe von Nutzungsdaten beim Öffnen von Apps nicht mehr voreingestellt wird. App-Entwicklern wird nahegelegt, sich in den Datenschutzrichtlinien klar zur Datenverarbeitung zu äußern – auch um der DSGVO willen. Für Nutzer bleibt letztlich der Rat sich stets für Opt-out-Möglichkeiten zu entscheiden, die eigene Advertising ID bei Google (oder Apple) zu resetten und sich überhaupt einen Überblick über die Einwilligungen zum Datenzugriff zu verschaffen. Denn die Daten sind zur wichtigen Währung geworden. Aufzupassen, wie man mit ihnen umgeht und wie sie von Unternehmen verwaltet werden, wird zu einer zentralen Aufgabe im digitalen Raum werden.