"Kontakte synchronisieren": Facebook sammelte jahrelang Anrufdaten
Die Android-Apps des Facebook-Messengers erfassten jahrelang Metadaten zu Anrufen und SMS. Möglich machte das offenbar eine ältere Schnittstelle von Android, die inzwischen stillgelegt ist. Nutzer sollen dies mit "Kontakte synchronisieren" aktiviert haben
Dylan McKay wunderte sich, als er seine persönlichen Daten bei Facebook herunterlud und genauer anschaute: Es stellte sich heraus, dass Facebook zwei Jahre lang Metadaten seiner Anrufe protokolliert hatte.
"Irgendwie hat [Facebook] meine gesamte Anrufliste (...)", schrieb der neuseeländische Entwickler in einem Tweet, der sich fast 40.000 Mal weiterverbreite und mehr als 50.000 Likes bekam. Außer den Metadaten hat Facebook auch alle Telefon-Kontakte von McKay gespeichert, "inklusive denjenigen, die ich nicht mehr habe".
Obwohl McKay den Facebook-Messenger nicht für SMS nutzte, hat das soziale Netzwerk auch die Metadaten zu gesendeten und empfangenen Kurznachrichten gesichert. Andere Nutzer durchleuchteten daraufhin ebenfalls ihre Datenarchive und entdeckten auch Metadaten zu Anrufen und SMS.
Alles freiwillig, alles opt-in
Obwohl Facebook mit seinem Datenskandal gerade größere Probleme hat, reagierte das Unternehmen recht schnell und schrieb in einem Blog-Eintrag: "Möglicherweise haben Sie in letzter Zeit einige Berichte gesehen, dass Facebook den Anruf- und SMS-Verlauf von Personen ohne deren Erlaubnis protokolliert hat. Das ist nicht der Fall."
Facebook erklärt, dass es beim Messenger und beim Messenger Lite unter Android eine Funktion gibt, die Telefondaten speichert. Diese "Synchronisation" helfe, Menschen besser zu finden und mit ihnen in Kontakt zu bleiben. Außerdem verbessere sich das "Nutzererlebnis". Das alles geschehe aber auf Opt-in-Basis: Die Nutzer "müssen sich ausdrücklich damit einverstanden erklären, diese Funktion zu nutzen", stellte Facebook klar.
Die Funktion lässt sich jederzeit wieder abschalten; alle bis dahin gesammelten Daten würden gelöscht, verspricht das Unternehmen. Gegenüber dem Onlinemagazin Ars Technica beteuerte Dylan McKay allerdings, dass er der App niemals erlaubt habe, auf seine SMS- und Anruf-Daten zuzugreifen. Er hatte den Messenger 2015 installiert und zwischendurch immer mal wieder gelöscht.
Wenn die Synchronisationsfunktion aktiviert ist, kann Facebook "durch das Hochladen [der] Kontakte auch Informationen verwenden, z.B. wann ein Anruf oder eine SMS getätigt oder empfangen wurde", schreibt das Netzwerk am Schluss seiner Erklärung. "Diese Funktion sammelt nicht den Inhalt Ihrer Anrufe oder Textnachrichten. Ihre Daten werden sicher gespeichert und nicht an Dritte verkauft."
In der Vergangenheit konnten die Messenger-Apps die Anrufe und Nachrichten auch dann auslesen, wenn der Nutzer der App lediglich Lesezugriff auf seine Telefonkontakte gewährt hatte. Facebook hatte standardmäßig also auch Zugriff auf die Anruf- und SMS-Protokolle, erklärt Ars Technica.
Betroffen sind ältere Android-Fassungen bis zur Version 4.1 (Jelly Bean); danach wurde die Berechtigungsstruktur in dem Android-API verändert. App-Entwickler konnten allerdings das alte API verwenden, um weiterhin Metadaten zu erfassen. Im Oktober 2017 hat Google die Schnittstelle schließlich abgeschaltet – soweit reichen offenbar auch die Metadaten, die Facebook gesammelt hat. iOS-Nutzer waren nie betroffen: Ein stiller Zugriff auf Anrufdaten ist hier nicht möglich.
Social-Apps lieben Adressbücher
Facebook hatte den optionalen Kontakt-Import "vor einigen Jahren" eingeführt. Es sei nicht ungewöhnlich, dass eine Social-App das Adressbuch der Nutzer importiert, damit sie schneller ihre Freunde auf der Plattform finden. Im Messenger gibt es die Funktion seit 2015, später dann auch in Messenger Lite.
Wenn ein Nutzer eine der beiden Apps unter Android installiert, erscheint ein Hinweis auf die Funktion. Als Erklärung ist dort aktuell zu lesen: "Deine Kontakte werden fortlaufend synchronisiert, damit du sehen kannst, wer den Messenger noch verwendet". Ein blauer Button mit der Aufschrift "Aktivieren" schaltet die Funktion ein, die App erbittet dann Zugriff auf die Telefon-Kontakte. Wer das alles nicht möchte, muss auf ein graues "Nicht jetzt" tippen. Versehentlich aktivieren kann man die Synchronisation also eher nicht.
Auf einer Übersichtsseite sind für eingeloggte Facebook-Mitglieder alle Kontakte zu sehen, die das Netzwerk importiert hat. Ein Klick auf "Alle löschen" soll die Einträge entfernen. Im Messenger unter Android kann man die Synchronisation auch nachträglich ein- und ausschalten: Im Einstellungsmenü (erreichbar über den Profil-Button im Startscreen rechts oben) unter "Personen" findet sich der Eintrag "Kontakte synchronisieren" mit den Optionen "Aus" oder "An".
Nutzer können ihre persönlichen Daten über die Optionen von Facebook in den "Allgemeine Kontoeinstellungen" herunterladen ("Lade eine Kopie deiner Facebook-Daten herunter."). Das ZIP-Archiv enthält alle Beiträge, Fotos, Videos, Nachrichten, Chats, Profilinfos und vieles mehr.
tipps+tricks zum Thema:
- Facebook: "Kontakte synchronisieren" deaktivieren
- Facebook: Daten schützen durch Deaktivieren der App-Integration
- Facebook: Datenspuren entfernen
(dbe)
