Wenn in der Öffentlichkeit über Tracking diskutiert wird, also darüber, wie einzelne Menschen bei ihrem Weg durch das Internet verfolgt werden, hinkt diese Diskussion der Realität hinterher, findet Frederike Kaltheuner. Sie beschäftigt sich bei Privacy International, einer Organisation für digitale Bürgerrechte, mit der Aufrechterhaltung von Privatsphäre im Netz.
Denn während die Öffentlichkeit über Web-Browser und über Cookies diskutiere, also Technologien aus den 90er und frühen 2000er Jahren, werde das Tracking durch Apps häufig übersehen. Dabei sei die Art und Weise, wie dort Daten über Nutzer gesammelt werden, "drei Schritte weiter".
Auf dem Hacker-Kongress des Chaos Computer Clubs stellte Kaltheuner einen neuen Bericht von Privacy International vor. 34 Apps analysierte die Organisation daraufhin, ob Daten an Facebook geschickt werden. Zu den Apps gehören unter anderem der Musikdienst Spotify, das Spiel Candy Crush und Skyscanner, eine App, mit der sich Flüge finden lassen.
Immer häufiger fragen Frauen in Beratungsstellen, wie sie sich gegen digitale Gewalt wehren können. Eine öffentliche Debatte über die neuen Bedrohungen fehlt bislang.
Der Bericht zeigt, dass ein Großteil dieser Apps Daten an Facebook schickt, sobald die App geöffnet wird - auch dann, wenn die Person über keinen Facebook-Account verfügt.
SZ.de: Frau Kaltheuner, was ist das Problem, wenn Apps für das Tracking verwendet werden?
Kaltheuner: Wir verwenden unser Handy dauernd, mehrere Stunden täglich. Wenn eine Firma verfolgen kann, welche Apps wir heruntergeladen haben und wie wir diese verwenden, bekommt sie deshalb einen guten Einblick in unsere persönlichen Interessen. Das greift in die Privatsphäre hinein.
Forscher der Universität Oxford haben eine Million Apps analysiert und konnten belegen, dass viele von ihnen Daten mit Drittanbietern teilen, darunter auch erstaunlich oft große Konzerne, wie Google und Facebook. Es existieren zwar Tausende Tracking-Firmen, die man alle kaum kennt, aber 90 Prozent aller Apps waren technisch so programmiert, dass Daten mit Alphabet, also Google, geteilt werden könnten. Bei knapp 43 Prozent aller Apps könnten die Daten an Facebook gehen.
Wenn Google mit Abstand auf Platz 1 liegt, warum haben Sie dann Facebook analysiert?
Weil wir wissen wollten, ob man sich wenigstens diesem Konzern entziehen kann.Deshalb haben wir nur analysiert, ob Daten auch dann an Facebook gesendet werden, wenn man dort kein Konto besitzt. Die Oxford-Studie hat geprüft, ob die Apps es technisch erlauben würden, Daten an Google und Facebook zu schicken. Wir wollten wissen, ob das dann auch tatsächlich passiert. Also haben wir die Datenströme analysiert; jene Daten, die verschickt werden, sobald man die App öffnet.
Sie haben 34 Apps genauer untersucht. Nach welchen Kriterien haben Sie diese Apps ausgewählt?
Wir haben die Apps zum Beispiel nach der Größe sortiert. Mit dieser Studie lassen sich also Aussagen treffen, die Hunderte Millionen Menschen betreffen. Außerdem haben wir Kategorien ausgesucht, die zumindest dem Namen nach sehr persönliche Interessen betreffen. Apps, in denen Gebetszeiten für Muslime angezeigt werden, in denen es um körperliche Gesundheit geht oder aber auch zwei Periodenkalender für Frauen.
Werden Daten an Facebook geschickt?
Ja, in fast zwei Drittel aller Fälle. Kaum wird die App geöffnet, landen Daten bei Facebook. Geschickt werden Informationen darüber, dass die App geöffnet und geschlossen wurde, um welche App es sich handelt und außerdem noch eine Google Werbe-ID. Also eine Nummer, die für Werbezwecke eindeutig einer Person zugeordnet werden kann. Das sind personenbezogene Daten. Es gibt eine Reihe von Apps, die viel detailliertere Daten teilen. Mit Skyscanner oder Kayak lassen sich Reisen buchen. Dort werden viele Interaktionen geteilt, zum Beispiel von welcher Stadt aus man fliegt und was das Ziel ist, ob man Kinder dabei hat und ob man Business Class fliegt. Diese Suchanfragen wurden geteilt.
Das sind sehr spezifische Informationen.
Facebook hat zwei Milliarden Nutzer. Facebook verfügt also sowieso schon über unglaublich viele Daten über unfassbar viele Menschen. Es ist bedenklich, dass der Konzern darüber hinaus auch noch über Millionen von Apps und Webseiten auch an Daten von Nutzern kommen kann, die überhaupt nicht bei Facebook angemeldet sind.
Facebook sieht die Entwickler in der Pflicht. Diese müssen die Erlaubnis der Nutzer einholen, bevor Daten verschickt werden.
Richtig, Apps haben die Verantwortung, die Privatsphäre ihrer Nutzer zu schützen. Das ist die Position von Facebook. Aber darf Facebook die Verantwortung einfach so abwälzen oder trägt der Konzern nicht auch eine Verantwortung?
Hinzu kommt, dass sich einige Entwickler beschwert haben, dass Daten verschickt werden, noch bevor es überhaupt die Möglichkeit gibt, die Nutzer um Erlaubnis anzufragen. Da hat Facebook aber mittlerweile ein Update veröffentlicht. Das war im Juni, Wochen nach dem Inkrafttreten der Datenschutz-Grundverordnung. Nutzer müssen auf jeden Fall die Möglichkeit bekommen, der Datenweitergabe zuzustimmen.
Wie genau verwendet Facebook Daten über Nicht-Nutzer?
Wir haben analysiert welche Daten wann geteilt werden, können aber natürlich nicht wissen, wie diese verwendet werden. Facebook baut nach eigenen Angaben derzeit ein Tool, dass es auch Nicht-Nutzern erleichtern soll, von ihren Datenrechten Gebrauch zu machen. Das ist lange überfällig und wir hoffen sehr, dass Facebook wirklich einfachen Zugang zu allen personenbezogenen Daten gewährt.
Welchen Nutzen haben die App-Anbieter überhaupt, wenn sie Daten an Facebook weiterleiten?
Facebook bietet App-Entwicklern die Möglichkeit, Daten einfach an Facebook zu senden. Eine muslimische Gebets-App hat uns zum Beispiel erklärt, dass sie ihren Nutzern ermöglichen möchte, Gebetszeiten auf Facebook mit ihren Freunden zu teilen. Es gibt also durchaus legitime Gründe dafür, warum Apps Daten mit Dritten teilen, also auch mit Facebook. Die Frage ist nur, wie transparent Nutzern gesagt wird, welche Daten wann verschickt werden - und ob Nutzern, dort wo es angebracht wäre, eine echte Wahl geboten wird, eben auch nicht zuzustimmen.
Sie haben Facebook die Ergebnisse Ihrer Studie vorgelegt. Wie hat der Konzern reagiert?
Facebook betont gerne, dass diese Art des Datensammelns weit verbreitet ist und auch Firmen wie Amazon, Twitter und Microsoft Daten außerhalb ihrer Plattformen sammeln. Das stimmt.
Es gibt aber kein Naturgesetz, das besagt, dass jede Website und jede App, die wir benutzen, Daten mit Drittanbietern teilen muss, sondern das ist das Resultat einer Entwicklung der letzten Jahre. Apps und Webseiten möchten Werbung schalten und verstehen, wie ihre Nutzer sich auf ihren Seiten bewegen. Aber das kann auch fair und transparent geschehen.
Bis dahin: Kann man sich als Nutzer gegen so eine Datenweitergabe wehren?
Es ist unheimlich schwer, sich vor der Art von Tracking zu schützen, die wir in unserem Bericht beschrieben haben. Aber es gibt Dinge, die man dennoch tun sollte. Wenn man ein Handy mit dem Android-Betriebssystem hat, kann man die Werbe-ID ändern. Das geht auch auf iOS. Dadurch bekommt man ein neues Werbe-Profil. Man kann diese ID aber nicht löschen. Man sollte außerdem personalisierte Werbung deaktivieren.
