Facebook-Nutzer können angeben, welcher Partei sie nahestehen, welchen Glauben sie praktizieren, wie ihr Liebesleben aussieht und vieles mehr. Sie müssen aber nicht. Schließlich können das heikle Informationen sein, die weder das Unternehmen, noch andere Facebook-Nutzer etwas angehen. Über Umwege allerdings erfährt Facebook es trotzdem, berichtet Mobilsicher.de . Die Umwege sind Android-Apps von Parteien oder zu Themen wie Religion, Sucht, Gesundheit und so weiter.

Tausende App-Entwickler benutzen einen fertigen Code-Baustein von Facebook, Software Development Kit (kurz: SDK) genannt, weil der eine kostenlose und für Entwickler hilfreiche Analysefunktion beinhaltet. Das geht aus Untersuchungen der französischen Organisation Exodus Privacy  hervor, auf die sich Mobilsicher.de bezieht.

Wer eine entsprechende App installiert und aufruft, startet umgehend eine Datenübertragung an Facebook. Mobilsicher.de hat sich in ausgewählten Apps die dabei versendeten Datenpakete angesehen und darin die Uhrzeit, die Modellbezeichnung des Geräts, die IP-Adresse, den Namen der App und eine Werbe-ID gefunden. Letztere ist eine Folge von Ziffern und Buchstaben und einmalig pro Gerät, sie ist also pseudonymisiert.

Diese Pseudonymität wird laut Mobilsicher.de allerdings aufgehoben, sobald sich ein Nutzer auch nur ein einziges Mal über dasselbe Gerät bei Facebook anmeldet. In dem Fall wird die Werbe-ID aus der App mit dem Facebook-Profil verknüpft.

Facebook habe das auf Anfrage auch bestätigt, heißt es. Die erhobenen Informationen etwa über Parteizugehörigkeit, sexuelle Orientierung, Schwangerschaft, Religionszugehörigkeit, Nikotinsucht und andere gesundheitliche Probleme werden für Werbezwecke verwendet. Auch wenn sich die jeweiligen Facebook-Nutzer zuvor bewusst dazu entschieden hatten, Informationen über diese sehr privaten Themen nicht mit Facebook zu teilen.

Die App-Anbieter wissen offenbar selbst nicht, was das SDK tut

Konkrete Beispiele für Fälle, in denen das passieren kann, sind die Android-Apps "Meine CDU", "SPD Landtagsfraktion NRW", der Depressions-Erkennungstest Moodpath und die Dating-App OKCupid.

Keiner der Anbieter - Stand: 29. November - klärt seine Nutzer bei der Einrichtung der App, in ihren Datenschutzrichtlinien oder auf seiner Website genau darüber auf. Von den vier genannten Angeboten erwähnt einzig Moodpath eine Datenübertragung an Facebook und die Werbe-ID überhaupt. Nach Angaben des Hamburger Datenschutzbeauftragten Johannes Caspar ist das auch zwingend nötig. Dass die Werbe-ID kein Pseudonym mehr ist, wenn sich jemand vom selben Gerät bei Facebook anmeldet, erklärt aber auch Moodpath nicht.

Der SPIEGEL hat die Untersuchungsergebnisse von Mobilsicher.de vorab zu sehen bekommen und stellvertretend für die vielen Tausend Apps mit Facebooks SDK die CDU, die NRW-SPD, Moodpath und OKCupid um Stellungnahmen gebeten. Drei von ihnen versprechen zu handeln.

• Die CDU schrieb: "Das in unserer App verwendete Facebook-Plug-in ist in der aktuellen Version irrtümlich installiert. Wir haben den Hinweis in unsere aktuelle Datenschutzerklärung aufgenommen. Das Plug-in wird nach einem Update nicht mehr zum Einsatz kommen."

• Die NRW-SPD teilte mit: "Wir sind anlässlich Ihrer Mail diesem Hinweis direkt nachgegangen und haben die App aus dem Google Play Store entfernt. Tatsächlich war uns das mögliche Problem bisher nicht bekannt. Uns war dies bisher auch nicht aufgefallen, da wir diese App aufgrund der seit Längerem sehr eingeschränkten Funktionalität nicht mehr nutzen."

• Moodpath antwortete: "Wir bewerten die Möglichkeit, dass ein Drittanbieter wie Facebook möglicherweise sehen kann, wer die App nutzt, sehr kritisch. Aus diesem Grund planen wir, das Facebook SDK zu entfernen, was noch dieses Jahr passieren wird."

• Die Betreiber der Dating-App reagierten nicht.
  

Facebook bewahrt offenbar Daten auf