Also, wenn ich Du wäre, würde ich die Meta und Insta App zeitnah von meinem Mobilgerät löschen… Und falls Du aus irgendwelchen Gründen eine Yandex App benutzt, die auch. Warum? Darum – oder hier von Ars Technica etwas laienfreundlicher.
TL;DR:
Meta und Yandex haben über ihre App großflächig Sicherheitsmaßnahmen umgangen und dafür gesorgt, dass sie über App‑Grenzen, Inkognito‑Modi, Resets der Android Advertising ID (AAID) und so weiter hinweg, alle Interaktionen auf einem Gerät verknüpfen können, sobald irgendwo ein Meta- bzw. Yandex Pixel im Spiel ist.
Und das ist ein Skandal!
Was ist genau passiert:
Die Meta- und Yandex-Android-Apps haben einen Localhost aufgemacht. Die Meta- und Yandex-Tracking-Pixel, die in Webseiten und Apps eingebaut sind, haben an diesen Localhost Requests gesendet. Über diese Requests wurden Tracking-Informationen eingesammelt, cookie-IDs geteilt und so weiter. Entsprechend konnten Meta und Yandex die Nutzerdaten vollumfänglich verknüpfen, unabhängig davon, ob man Inkognito, in unterschiedlichen Apps/Browser unterwegs ist, seine Cookies löscht, die Android Advertising ID (AAID) zurücksetzt, Apps neu installiert oder sonst irgendwie im Dreieck oder durch Reifen springt, um das Verknüpfen der Daten zu verhindern.
Yandex macht sowas seit 2017, während Meta erst 2024 anfing. Dabei ging das durch diverse Iterationen. Es wurden mehrere Optimierungen durchgeführt bzw. Änderungen an Browsern, die das System blockiert haben, umgangen. Dieser Mechanismus wurde also offenbar bis zuletzt aktiv gewartet und weiterentwickelt. Nachdem das nun öffentlich gemacht wurde, wurden die Tracking Pixel schnell upgedatet und die Funktion deaktiviert. Die Apps haben bis zum nächsten Update den Port im Localhost aber weiter auf Empfang.
Technisch eine verdammt schlaue und dreiste Idee – aber ethisch und datenschutzrechtlich fallen mir gar nicht genug negative Adjektive ein, um zu beschreiben, wie falsch, bösartig, illegal, verachtenswürdig, machthungrig, manipulativ, absolut niederträchtig, bestrafungswürdig, ruchlos, heimtückisch, abscheulich, schamlos, bar jeder Moral, inakzeptabel, grenzüberschreitend, anrüchig, verderbt, perfide, skrupellos, widerwärtig, mit Absicht schädigend, misanthropisch, unverzeihlich und nicht hinnehmbar ich das finde.
Man könnte argumentieren, dass BigTech das ja alle machen und man das vorher wusste, dass die Datenkraken schlimme Datenkraken sind. Damit würde man vermutlich nicht falsch liegen. Aber dieser Fall hat für mich eine andere Qualität. Da ist nicht die Nutzung eines Single Sign-on verwendet, bei dem logisch ist, dass der Anbieter mitbekommt, bei welchen Domains ich mich damit einlogge (und potenziell noch ein bisschen mehr). Meta und Yandex haben aktiv Sicherheitsmechanismen umgangen, die explizit dazu da sind, solche Verknüpfung von Daten zu verhindern.
Wie rechtswidrig das ist, müssen Gerichte klären. Nach meinem Verständnis der Rechtslage müssten jedoch die Maximalstrafen nach DSGVO und Co. verhängt werden – ohne Wenn und Aber. Ich finde, das muss den Verantwortlichen richtig wehtun.
Ich vergleiche das mal mit anderen Geschäftsmodellen. Wenn ein Unternehmen aktiv Sandboxing-Mechanismen umgeht, ist das für mich keine Fahrlässigkeit. Auch kein Auslassen von Best Practices, um Kosten zu sparen, wie bei Gammelfleischskandalen. Das ist aus meiner Sicht eher vergleichbar mit dem Beimischen von Frostschutzmittel in Wein, also gezielt durchgeführte und illegale Handlungen, die bewusst eine Schädigung von Kunden in Kauf nehmen, um den Profit zu erhöhen.
Und aus der Perspektive meine ich, dass es nicht nur ein Datenschutzthema ist. Ich bin (glücklicherweise) kein Jurist, ABER: Dieses Abgreifen von Daten könnte man meiner Meinung nach auch als Hacking sehen. Es gibt da so Straftatbestände, z. B. §202a StGB Ausspähen von Daten:
Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Rein technisch betrachtet:
- Sandboxing in Android ist eine Sicherung gegen unbefugten Zugang.
- Diese wurde von Meta und Yandex überwunden.
- Und es wurden Daten gesammelt. Grob geschätzt ein paar Milliarden mal in den letzten Jahren.
Und wenn das nicht greift, was ist mit so paragraphen wie
- § 263a StGB Computerbetrug
- § 202b Abfangen von Daten
- § 202c STGB Vorbereiten des Ausspähens und Abfangens von Daten (DER Hackerparagraph) ?
Die klingen für mich alle so, als könnten sie zutreffen.
Je nachdem, was mit den Daten von Yandex und Meta gemacht wurde, ist das vielleicht auch § 202d StGB Datenhehlerei… und möglicherweise sind die Nutzer auch der Gefahr von gegen sie gerichteten Verbrechen ausgesetzt, wenn beispielsweise jemand auf Basis der gesammelten Daten Bewegungsprofile erstellt, Stalking oder Ähnliches… Das wäre dann vielleicht § 126a StGB Gefährdendes Verbreiten personenbezogener Daten.
Das ICCL bezeichnet Real Time Bidding generell als ”biggest illegal data breach ever recorded”. Das hier ist dann vielleicht der größte illegale Hack, die größte Ausspähung von Daten, die größte Verbreitung personenbezogener Daten, das größte Abfangen von Daten und/oder die größte Datenhehlerei, jemals gesehen. Und das ist nur deutsches Recht. Das lief weltweit und anderswo passen die Paragraphen vielleicht noch eindeutiger.
Vielleicht hat jemand wie Max Schrems das nötige Know-how, eine saubere Strafanzeige zu formulieren. Möglicherweise ist ein StGB ja wirkungsvoller als eine DSGVO und ePrivacy Verordnungen.
Was bedeutet das für Dich?
Meta ist schon länger wegen seiner Datensammlung in Kritik, aber wie gesagt ist das aus meiner Sicht eine neue Qualität. Entsprechend ist es Zeit wirklich zu hinterfragen, ob man Kunde eines Konzerns sein will, der aktiv illegal arbeitet. Das betrifft Dich als Privatperson, die Meta/Facebook, Instagram, WhatsApp, Threads (oder evtl. Yandex?) verwendet.
Aber auch für Dich als Online Marketing Betreibenden. Der ganze Paragraphen-Kram in diesem Artikel ist natürlich nur wildeste Spekulation eines Jura-Laien (basierend auf einem halben Jahr Rechtskunde-Unterricht in der 11. Klasse (I’m right here, at the Pinnacle of mount stupid)). Aber angenommen meine Spekulation trifft zu:
Wenn Meta putativ mit illegalen Methoden die Informationen gewonnen hat, mit denen Deine Anzeigen ausgesteuert werden, beteiligst Du Dich damit an Datenhehlerei? Ist es legitim für Dich, Dein Geschäft durch illegale Mittel zu betreiben? Du würdest ja auch Deine Ware nicht bei einem Zulieferer kaufen, von dem Du weißt, dass er sie gestohlen hat…
Muss ich mir als Tracking-Mokel Gedanken darüber machen, ob Meta so etwas vielleicht wieder macht? Im Moment sind diese Localhost Requests der Tracking-Pixel deaktiviert. Aber sollte ich für Meta Pixel in Zukunft prüfen, ob das so bleibt? Ist es sonst fahrlässige Vorbereitung des Ausspähens von Daten (§ 202c STGB, bis zu zwei Jahre Haft) einen Meta-Pixel zu integrieren?
Und falls Du in Deiner Berufsbezeichnung Social Media Marketing stehen hast und Du erstellst auf Basis dieser Daten eine Kampagne, die Anzeigen aussteuert: Ist das möglicherweise ein “Zugänglichmachen” der Daten im Sinne § 202d StGB Datenhehlerei (bis zu drei Jahre Haft)?
Wie gesagt, bin ich kein Jurist, vermutlich ist das nicht so einfach und eindeutig, den Wortlaut des Gesetzes zu nehmen und einfach so laienhaft vor sich hin zu interpretieren. Da müssen bestimmt Rechtsgüter abgewogen werden und geklärt werden, ob und was für Daten das Gesetz denn meint und so weiter und so fort (Eben der ganze Kram, für den die Juristen alle jahrelang Jura studieren). Aber ich denke, diese Fragen sollten zumindest gestellt werden, wenn Konzerne so dreist Privatsphäre und Datenschutz missachten.
Achja, und falls Du Entwickler bist: Augen auf bei merkwürdigen Requests an Localhosts!