DatenschutzSchwachstellenHackerangriffe

Meta und TikTok nutzen Ad-Pixel zur Massensammlung sensibler Daten – Rechtsverletzungen drohen

Meta und TikTok nutzen Ad-Pixel zur Massensammlung sensibler Daten – Rechtsverletzungen drohen
Zusammenfassung

Sicherheitsforscher haben enthüllt, dass Meta und TikTok über Werbe-Tracking-Pixel sensible persönliche und finanzielle Daten von Nutzern sammeln, wenn diese auf Anzeigen klicken und externe Websites besuchen – selbst wenn Nutzer dem Datensammeln ausdrücklich widersprochen haben. Die Pixel-Skripte erfassen umfangreiche Informationen wie vollständige Namen, Standortdaten, Kreditkartennummern, E-Mail-Adressen und detaillierte Kaufverlaufsdaten, noch bevor Nutzer Datenschutzeinwilligungen akzeptieren oder ablehnen können. Dies betrifft nicht nur Millionen von deutschen und europäischen Social-Media-Nutzern, sondern auch deutsche Unternehmen, die diese Tracking-Pixel auf ihren Websites eingebunden haben. Die Praktiken verstoßen nach Einschätzung der Forscher gegen die Datenschutz-Grundverordnung (DSGVO) und könnten erhebliche rechtliche Konsequenzen mit sich bringen – ähnlich wie die 18-Millionen-Dollar-Vergleichszahlung eines US-Krankenhausverbunds. Deutsche Behörden und Datenschützer könnten nun verstärkt gegen solche Datensammlungsmechanismen vorgehen, während Unternehmen gleichzeitig Haftungsrisiken tragen, wenn sie diese Pixel nicht angemessen konfigurieren oder einschränken.

Die Sicherheitsforschung von Jscrambler offenbart ein strukturelles Problem im digitalen Ökosystem: Während Cybersicherheitsexperten Infostealern – Malware, die Daten stiehlt – scharf verurteilen, funktioniert die Datenabschöpfung durch große Technologiekonzerne nach ähnlichen Prinzipien, nur legal kaschiert. “Der Hauptunterschied zwischen Pixel-Skripten und echten Infostealer ist, dass Pixel-Skripte eine Datenschutzerklärung und Konfigurationsoptionen haben”, erklärt Gareth Bowker, Leiter der Sicherheitsforschung bei Jscrambler, die juristische Grauzone.

Die Dimensionen sind beeindruckend: Meta- und TikTok-Pixel erfassen vollständige Namen, Standortdaten, die letzten vier Ziffern von Kreditkarten, Ablaufdaten und Karteninhabernamen. Hinzu kommen detaillierte Shopping-Informationen wie Produktnamen, Preise, Warenkorbinhalte und sogar die Struktur von Checkout-Formularen. Diese Daten werden gesammelt, noch bevor Nutzer über Cookie-Banner entscheiden können – ein fundamentales Problem für die DSGVO-Konformität.

Meta weist Vorwürfe als “selbstpromotional” zurück und argumentiert, dass ihre Pixel-Technologie “Standardpraxis” sei und respektiere Datenschutzrichtlinien. TikTok hingegen verlegt Verantwortung auf die Advertiser und betont, dass Unternehmen ihre Pixel-Implementierung konfigurieren müssten. Doch genau hier liegt das Dilemma: Viele Unternehmen verstehen nicht, welche Daten ihre Tracking-Pixel tatsächlich saugen, geschweige denn, wie sie die Standardeinstellungen einschränken könnten.

Die rechtlichen Konsequenzen könnten erheblich sein. Das precedent-setting Case der Mass General Brigham Hospitals zeigt die Realität: 2021 einigten sich die Kliniken auf eine 18-Millionen-Dollar-Zahlung – nicht, weil sie selbst spioniert hatten, sondern weil Patienten nicht ausreichend über Drittanbieter-Tracking informiert worden waren. Deutsche und europäische Unternehmen, die Meta- oder TikTok-Pixel nutzen, laufen ähnliche Risiken ein, besonders unter der DSGVO.

Bowker warnt: Unternehmen, die von diesen Risiken wissen und dennoch keine angemessene Überprüfung vornehmen, hinterlassen sich selbst in einer kritischen Rechtsposition. “Businesses riskieren Vertrauensverlust, Reputationsschäden und Compliance-Probleme”, fasst er zusammen. Für deutsche Mittelständler und E-Commerce-Plattformen bedeutet dies: Sofortiges Handeln ist erforderlich – sei es durch Pixel-Neukonfiguration oder deren Entfernung.

Ähnliche Artikel