Es ist eine besorgniserregende Entdeckung, die der aus Wien stammende Softwareentwickler Felix Krause da vor wenigen Tagen mit der Öffentlichkeit teilte. Wie sich herausstellte, injizieren die Apps für Instagram, Facebook und Facebook Messenger in jede mit dem zugehörigen In-App-Browser geöffnete Webseite ein Stück Javascript-Code – der STANDARD berichtete.

Solch ein Vorgehen würde theoretisch eine vollständige Überwachung aller Aktivitäten der Nutzer erlauben, warnte Krause, nur um auch gleich zu betonen: Was hier wirklich in weiterer Folge passiert, ist unklar, da Hersteller Meta die übertragenen Daten mehrfach verschlüsselt und verschleiert – und diese Aktivitäten generell nirgendwo dokumentiert.

Eine Reaktion

Eine Anfrage des STANDARD zu diesem Vorgehen blieb zunächst unbeantwortet. Nachdem die Geschichte sich langsam durch die internationalen Medien verbreitete, gibt sich der Softwarehersteller nun aber gesprächiger – zumindest ein bisschen. Vor allem aber: Man fühlt sich missverstanden.

"Diese Behauptungen sind falsch und stellen die Funktionsweise von Metas In-App-Browser und Pixel falsch dar. Wir haben diesen Code entwickelt, um die Entscheidungen der Nutzer*innen zur App-Tracking-Transparenz zu respektieren", betont ein Meta-Sprecher gegenüber dem STANDARD.

Ein bisschen Detail

Gegenüber Krause wird ein Entwickler des Unternehmens zumindest eine Spur deutlicher, was mit dieser recht vagen Antwort gemeint sein könnte. Demnach würde das eingebrachte Skript dafür sorgen, dass nur dann Daten gesammelt werden, wenn auf der betreffenden Webseite ohnehin das "Meta Pixel" von Facebook zum Tracking verwendet wird. Es werde auf diesem Weg außerdem nicht das erwähnte "Meta Pixel" eingebracht, sondern ein Skript namens "pcm.js", das unter anderem die ATT-Wahl der Nutzer überprüft.

Weiter viele Fragen offen

Eine Erklärung, die freilich mehr Fragen als Antworten aufwirft. Etwa warum Meta überhaupt – ungefragt und ohne die Betreiber oder Nutzer zu informieren – Code auf jeder auf diesem Weg aufgerufenen Webseite einbringen muss, um Apples Anti-Tracking-Maßnahmen zu respektieren. Man könnte auch genauso gut nichts machen, formuliert es Krause in einem Update zu seinem ursprünglichen Blogeintrag.

Vor allem aber: An dem Umstand, dass hier via Instagram und Co zusätzlicher Code auf Webseiten eingebracht wird, ändere dies nichts, betont Krause, der dieses Vorgehen als ganz grundlegend problematisch ansieht. (Andreas Proschofsky, 12.8.2022)