15.01.2013 Sicherheit & Privatsphäre

Facebook: Schnüffeln per Facebook Applikation – welche Gefahren lauern?

SternTV sendete anfangs Januar einen Beitrag mit dem Titel “Schnüffeln per Facebook-App – So schnell wird Privates öffentlich“, der bei einigen der im Beitrag involvierten Personen Kopfschütteln auslöste. Stern TV zeigt im Beitrag auf, wie sie über eine einfache Grusskarten-Applikation Zugriff auf die Facebook Inbox der Nutzer erhielten. Die betroffenen Nutzer sind nach der Konfrontation […]

Thomas Hutter
12 Min. Lesezeit
1 Kommentar
Schnüffler (istockphoto.com)

Schnüffler (istockphoto.com)

SternTV sendete anfangs Januar einen Beitrag mit dem Titel “Schnüffeln per Facebook-App – So schnell wird Privates öffentlich“, der bei einigen der im Beitrag involvierten Personen Kopfschütteln auslöste. Stern TV zeigt im Beitrag auf, wie sie über eine einfache Grusskarten-Applikation Zugriff auf die Facebook Inbox der Nutzer erhielten. Die betroffenen Nutzer sind nach der Konfrontation durch Stern TV schockiert. Wie gefährlich sind Facebook Applikationen wirklich? Wie viele Daten und welche Daten erhält eine Facebook Applikation nach der Freigabe durch den Nutzer?

Beitrag von SternTV

Der nachfolgende Beitrag wurde am 09.01.2013 von SternTV gesendet:

Freigaben / Berechtigungen für Facebook Applikationen – wie läuft das ab?

Wie im Beitrag aufgezeigt, können Anbieter von Facebook Applikationen vom Benutzer die Erlaubnis (Permission) einholen, auf Daten zuzugreifen oder aber auch im Namen der Person Handlungen oder Änderungen vorzunehmen (Publishing Permissions).

Der Freigabe-Dialog sieht bei direkt verlinkten Applikationen wie folgt aus:

Login Dialog bei Facebook Applikationen

Login Dialog bei Facebook Applikationen

Im App-Center von Facebook ist ein Schritt weniger für die Datenfreigabe notwendig, welche Daten von der Applikation verlangt wird:

Freigabe im App-Center

Freigabe im App-Center

Für viele der Menschen, die Facebook Nutzen, ist nicht wirklich klar, was sie bei der Freigabe einer Applikation wirklich erlauben und was nicht, bzw. welche Daten für den App-Anbieter freigegeben werden und welche nicht.

Auf welche Daten erhalten Entwickler Zugriff?

Standard-Freigabe

Installiert ein Benutzer eine Facebook Applikation, erhält der App-Anbieter ohne weitere Nachfrage Zugriff auf das öffentliche Profil und die Freundesliste, folgende Daten werden dabei sichtbar:

  • Facebook Benutzer ID
  • Name
  • Vorname
  • Nachname
  • Profil URL
  • Benutzername
  • Geschlecht
  • Ländercode (locale)
  • sowie alle öffentlichen Informationen wie das Profilbild von Facebook, Titelbild (Coverbild) und Netzwerk.

E-Mail Freigabe

Über eine separate E-Mail Freigabe kann der App-Anbieter Zugriff auf die E-Mail-Adresse des Benutzers verlangen, welche aber durch den Nutzer bestätigt werden muss.

Facebook schreibt dazu in der Dokumentation:

Provides access to the user’s primary email address in the email property. Do not spam users. Your use of email must comply both with Facebook policies and with the CAN-SPAM Act.
Note: There is no way for apps to obtain email addresses for a user’s friends.

Erweiterte Profilfreigaben

Über erweiterte Profilfreigaben erhalten App-Anbieter Zugriff auf sensitivere Profildaten und können im Namen des Benutzers Inhalte publizieren. Die erweiterten Profilfreigaben können vom Benutzer nicht optional verwehrt werden.

User permission Friends permission Description
user_about_me friends_about_me Erlaubt den Zugriff auf den “Info”-Bereich der Profilseite (und seiner Freunde*).
user_activities friends_activities Erlaubt den Zugriff auf die Aktivitätenliste des Nutzers (und seiner Freunde*).
user_birthday friends_birthday Erlaubt den Zugriff auf das Geburtsdatum des Nutzers (und seiner Freunde*).
user_checkins friends_checkins Erlaubt den Zugriff auf die CheckIns des Nutzers (und seiner Freunde*).
user_education_history friends_education_history Erlaubt den Zugriff auf die Ausbildungsinformationen im Info-Bereich der Profilseite des Nutzers (und seiner Freunde*).
user_events friends_events Erlaubt den Zugriff auf die Liste der Veranstaltung des Nutzers an denen er teilnimmt (und seiner Freunde*).
user_groups friends_groups Erlaubt den Zgurff auf der Liste der Gruppen des Nutzers in denen er Mitglied ist (und seiner Freunde*).
user_hometown friends_hometown Erlaubt den Zugriff auf den Heimatort des Benutzers (und seiner Freunde*).
user_interests friends_interests Erlaubt den Zugriff auf die Interessen des Nutzers (und seiner Freunde*).
user_likes friends_likes Erlaubt den Zugriff auf die Likes des Nutzers (und seiner Freunde*).
user_location friends_location Erlaubt den Zugriff auf den Aufenthaltsort des Nutzers (und seiner Freunde*).
user_notes friends_notes Erlaubt den Zugriff auf die Notizen des Nutzers (und seiner Freunde*).
user_photos friends_photos Erlaubt den Zugriff auf die Fotos des Nutzers und der Fotos, auf welchen er markiert wurde (und seiner Freunde*).
user_questions friends_questions Erlaubt den Zugriff auf die Fragen die ein Nutzer oder Freunde gestellt haben (und seiner Freunde*).
user_relationships friends_relationships Erlaubt den Zugriff auf die Familienverbindungen und Beziehungsstatus des Nutzers (und seiner Freunde*)
user_relationship_details friends_relationship_details Erlaubt den Zugriff auf die Beziehungsstatus Details (und seiner Freunde*).
user_religion_politics friends_religion_politics Erlaubt den Zugriff auf die religiösen und politischen Ansichten des Nutzers (und seiner Freunde*)
user_status friends_status Erlaubt den Zugriff auf die Statusmeldungen und CheckIns des Nutzers (und seiner Freunde*)
user_subscriptions friends_subscriptions Erlaubt den Zugrff auf die Liste der Abonnenten und Abommierten Personen des Nutzers (und seiner Freunde*
user_videos friends_videos Erlaubt den Zugriff auf die Videos des Nutzers und der Videos, in welchen er markiert wurde (und seiner Freunde*)
user_website friends_website Erlaubt den Zugriff auf die WebsiteURL des Nutzers (und seiner Freunde*)
user_work_history friends_work_history Erlaubt den Zugriff auf die Arbeitsinformationen im “Info”-Bereich des Nutzers (und seiner Freunde*)
* je nach Privatsphäre-Einstellungen der Freunde

 

Erweiterte Freigaben

Über erweiterte Freigaben erhalten App-Anbieter Zugriff auf sensitivere Daten und können im Namen des Benutzers Inhalte publizieren oder Daten löschen. Diese erweiterten Freigaben sind optional und können vom Benutzer im Login Dialog verwehrt werden.

Freigabe Beschreibung
read_friendlists Erlaubt den Zugriff auf Freundeslisten, die der Benutzer erstellt hat. Die gesamthafte Freundesliste wird standardmässig einer Applikation zur Verfügung gestellt, diese Freigabe erlaubt jedoch zusätzlich den Zugriff auf die individuell durch den Nutzer erstellten Freundeslisten. Facebook schreibt dazu in der Dokumentation “this extended permission grants access to the lists of friends a user has created, and should only be requested if your application utilizes lists of friends.”
read_insights Erlaubt den Lesezugriff auf die Statistikdaten von Seiten, Applikationen und Domains die im Zugriff des Benutzers liegen.
read_mailbox Erlaubt den Lesezugriff auf die Facebook Inbox des Nutzers.
read_requests Erlaubt den Lesezugriff auf die Freundschaftsanfragen eines Nutzers.
read_stream Erlaubt den Lesezugriff auf alle Beiträge im Newsfeed des Nutzers und erlaubt der Applikation Suchvorgänge im Newsfeed des Benutzers durchzuführen.
xmpp_login Erlaubt Applikationen die den Facebook Chat beinhalten im Namen des Nutzers einzuloggen.
ads_management Erlaubt im Namen des Nutzers Ads zu verwalten und die Facebook Ads API zu nutzen.
create_event Erlaubt der Applikation im Namen des Nutzers Veranstaltungen zu erstellen oder ändern.
manage_friendlists Erlaubt der Applikation im Namen des Nutzers Freundeslisten zu erstellen oder zu editieren.
manage_notifications Erlaubt der Applikation Benachrichtigungen zu lesen und als gelesen zu markieren. Beabsichtigte Nutzung: Diese Berechtigung soll dazu verwendet werden, dass der Nutzer Benachrichtigungen lesen und darauf reagieren soll. Die Applikation soll nicht für Data-Mining oder zur Modelleriung des Nutzerverhaltens verwendet werden. Applikationen, die diese Berechtigung missbrauchen, können durch Facebook gesperrt werden.
user_online_presence Erlaubt den Zugriff auf den Facebook Status (on/offline).
friends_online_presence Erlaubt den Zugriff auf den Facebook Status (on/offline) der Freunde des Nutzers.
publish_checkins Erlaub der Applikation im Namen des Nutzers CheckIns vorzunehmen.
publish_stream Erlaubt der Applikation Beiträge in den Stream des Nutzers oder seiner Freunde zu publizieren, zu kommentieren oder Inhalte zu liken. Diese Berechtigung beinhaltet weitere Publishing Permissions welche auch die Publikation von publish_actions beinhaltet. Facebook empfiehlt ein durch den Nutzer initiiertes Sharing Modell. Es gelten die Richtlinien der Platform Policies. Für Feed Dialog, den Requests Dialog oder den Send Dialog wird die Berechtigung nicht benötigt.
rsvp_event Erlaubt der Applikation Veranstaltungseinladungen (RSVP) im Namen des Nutzers zu beantworten.

 

Open Graph Freigaben

Zusätzlich zu den bereits aufgelisteten Freigaben können sogenannte Open Graph Permissions eingeholt werden. Open Graph Permissions erlauben der Applikation Aktionen im Open Graph zu publizieren und Aktionen von anderen Open Graph Applikationen des Nutzers zu lesen.

User Permission Friends Permission Description
publish_actions N/A Erlaubt der Applikation im Namen des Nutzers im Open Graph zu publizieren.
user_actions.music friends_actions.music Erlaubt der Applikation alle Aktionen des Nutzers (und seiner Freunde*) zu lesen, welche von Applikationen mit der integrierten music.listensaction-Action publiziert wurden (z.B. Spotify)
user_actions.news friends_actions.news Erlaubt der Applikation alle Aktionen des Nutzers (und seiner Freunde*) zu lesen, welche von Applikationen mit der integrierten news.reads-Action publiziert wurden (z.B. Social Reader)
user_actions.video friends_actions.video Erlaubt der Applikation alle Aktionen des Nutzers (und seiner Freunde*) zu lesen, welche von Applikationen mit der integrierten video.watches-Action publiziert wurden (z.B. Social TV).
user_actions:APP_NAMESPACE friends_actions:APP_NAMESPACE Erlaubt der Applikation alle Aktionen des Nutzers (und seiner Freunde*) zu lesen, welche von der Applikation mit der integrierten *individual*-Action publiziert wurden.
user_games_activity friends_games_activity Erlaubt der Applikationen alle Spielstände des Nutzers (und seiner Freunde*) zu publizieren, welche über die Game Achievement Activity sichtbar sind.

 

Weitere Freigaben (Page Permissions)

Neben den bereits genannten Freigaben kann eine Applikation auch die Seiten Freigabe einholen, diese erlaubt der Applikation Seiten und Applikationen des Nutzers zu verwalten.

Datenfreigabe = Selbstbedienungsladen und Freipass für Entwickler?

Die Berichterstattung von Stern TV erweckt den Anschein, dass die Datenfreigaben des Nutzers einen Freipass für Entwickler im Selbstbedienungsladen Nutzerdaten darstellen. In der Praxis sieht dies allerdings ein bisschen differenzierter aus. Facebook setzt für die Nutzung der Plattform die Plattform-Richtlinien (Platform Policy) voraus. Diese Richtlinien beinhaltet diverse Punkte, die vom Entwickler eingehalten werden müssen:

Richtlinien

I. Funktionen und Funktionsweise

1. Du darfst gegen kein Gesetz verstoßen, keine Rechte natürlicher oder juristischer Personen verletzen und Facebook oder die Nutzer von Facebook keinem Schaden oder gesetzlichen Haftungsanspruch aussetzen. Ob ein solcher Umstand vorliegt, wird von uns nach alleinigem Ermessen entschieden. Insbesondere wirst du (falls zutreffend) Folgendes tun: das US-Gesetz zum Videodatenschutz („Video Privacy Protection Act“ kurz „VPPA“) befolgen und jede notwendige Einwilligung von Nutzern einholen, damit Nutzerdaten, die dem VPPA unterliegen, auf Facebook geteilt werden dürfen. Du versicherst, dass keine Offenlegung uns gegenüber in direktem Zusammenhang mit deiner gewöhnlichen Geschäftstätigkeit steht.

12. Du darfst ohne unsere schriftliche Erlaubnis keine von uns erhaltenen Daten in irgendeine Suchmaschine bzw. irgendein Suchverzeichnis einfügen.

II. Speicherung und Nutzung der von uns erhaltenen Daten

1. Du wirst nur diejenigen Daten anfordern, die du zum Betreiben deiner Anwendung benötigst.

2. Du kannst Daten, die du durch Nutzung der Facebook-API erhalten hast, zur Verbesserung des Nutzererlebnisses in deiner Anwendung zwischenspeichern, allerdings solltest du versuchen, die Daten auf dem aktuellsten Stand zu halten. Diese Erlaubnis gibt dir keinerlei Rechte in Bezug auf solche Daten.

3. Du wirst Datenschutzrichtlinien haben, die anderen Nutzern mitteilen, welche Nutzerdaten du verwenden wirst und auf welche Weise diese verwendet, angezeigt, weitergegeben oder übertragen werden. Darüber hinaus wirst du die URL deiner Datenschutzrichtlinie in der Anwendungskonsole angeben, und musst auch einen Link zur Datenschutzrichtlinie deiner Anwendung in jedem Anwendungsmarktplatz integrieren, der dir die Funktionalität hierzu zur Verfügung stellt.

4. Die Daten eines Freundes des Nutzers dürfen nur im Zusammenhang mit dem Nutzererlebnis in deiner Anwendung verwendet werden.

5. Vorbehaltlich bestimmter Einschränkungen, einschließlich in Bezug auf die Übertragung, geben Nutzer dir ihre allgemeinen Kontoinformationen, wenn sie sich mit deiner Anwendung verbinden. Für alle anderen Daten, die du über die Nutzung der Facebook-API erhältst, musst du die ausdrückliche Zustimmung von dem Nutzer einholen, der uns die Daten bereitgestellt hat, bevor du sie zu irgendeinem anderen Zweck nutzt, außer sie dem Nutzer in deiner Anwendung wieder anzuzeigen.

6. Du wirst keine von uns erhaltenen Daten (einschließlich Nutzerdaten bzw. Facebook-Nutzerkennnummern) direkt oder indirekt an ein Werbenetzwerk, einen Werbeaustauschdienst, einen Datenvermittler oder ein sonstiges werberelevantes oder monetisierungsbezogenes Instrumentarium übertragen (oder diese Daten in Verbindung mit den Vorgenannten verwenden), selbst wenn ein Nutzer dieser Übertragung oder Verwendung zustimmt. Mit indirekt meinen wir, dass du beispielsweise keine Daten an Dritte übertragen darfst, die diese dann an ein Werbenetzwerk übertragen. Mit „irgendwelche Daten“ meinen wir sämtliche Daten, die du durch die Nutzung der Facebook-Plattform (API, soziale Plug-ins usw.) erhalten hast, einschließlich zusammengefasster, anonymer oder abgeleiteter Daten.

9. Du wirst keine Daten verkaufen. Wenn du durch einen Dritten aufgekauft wirst oder mit diesem fusionierst, kannst du Nutzerdaten weiterhin innerhalb deiner Anwendung einsetzen. Allerdings kannst du Daten nicht außerhalb deiner Anwendung übertragen.

10. Wenn du die Nutzung der Plattform beendest oder wir deine Anwendung sperren, musst du sämtliche Daten löschen, die du durch die Verwendung der Facebook-API erhalten hast, es sei denn (a) es handelt sich um allgemeine Kontoinformationen oder (b) du hast die ausdrückliche Zustimmung des Nutzers erhalten, seine Daten zu behalten.

11. Du darfst die Freundesliste eines Nutzers außerhalb deiner Anwendung nicht nutzen, auch nicht wenn der Nutzer einer solchen Verwendung zustimmt, aber du kannst die Verbindungen zwischen solchen Nutzern verwenden, die beide mit deiner Anwendung verbunden sind.

12. Du wirst alle Daten von Nutzern, die du von uns erhältst, auf Aufforderung des jeweiligen Nutzers löschen und einen leicht zugänglichen Mechanismus zur Erstellung einer solchen Aufforderung durch die Nutzer bereitstellen. Wir können dich zur Löschung von Daten auffordern, die du von der Facebook-API erhältst, wenn du gegen unsere Bedingungen verstößt.

13. Du wirst keine von uns erhaltenen Daten in Bezug auf einen Nutzer in irgendeiner Werbeanzeige einbinden, selbst dann nicht, wenn ein Nutzer dieser Verwendung zustimmt.

14. Du darfst deinen Geheimschlüssel an niemanden weitergeben, es sei denn diese Partei ist ein Vertreter, der in deinem Namen als Betreiber deiner Anwendung handelt. Du haftest für alle Aktivitäten, die unter deinen Kontokennungen ausgeführt werden.

Woran erkennt man “seriöse” Applikationen

Zugegeben, die Erkennung von “seriösen” oder eben “unseriösen” Applikationen und deren Anbieter ist nicht immer so einfach.

Seriöse Applikationen

  • erklären dem Nutzer wofür die Daten verwendet werden.
  • beinhalten gut erkennbare, nicht versteckte, Nutzungsbedingungen oder Datenschutzrichtlinien

Unseriöse Applikationen

  • verlangen direkt beim Aufruf das Freigeben von Daten
  • erklären dem Nutzer nicht, wofür die Daten verwendet werden
  • beinhalten keine erkennbaren und gut sichtbare Nutzungsbedingungen oder Datenschutzrichtlinien

Vorsichtig sollte man generell bei Applikationen sein, welche nicht einem eindeutigen App-Besitzer zugewiesen werden können oder auf dubiosen Facebook Seiten, meist ohne Impressum und klar erkenntlichem Inhaber, platziert sind. Applikationen auf offiziellen Facebook Seiten von namhaften Unternehmen und Marken sind in den meisten Fällen seriös und bieten entsprechende Nutzungsbedingungen oder Datenschutzrichtlinien an.

Die Datenschutzrichtlinien sind jeweils beim “Login Dialog” im Fuss sichtbar verlinkt (Punkt 1 auf dem 1. Bild) beim Direktaufruf einer Applikation, im App-Center von Facebook sind die Informationen in der rechten Spalte ersichtlich (Punkt 1 auf dem 2. Bild)

Login Dialog   (1) Datenschutzrichtlinien   (2) Anwendung melden

Login Dialog (1) Datenschutzrichtlinien (2) Anwendung melden

Datenschbutzrichtlinien und AGB im App-Center

Datenschbutzrichtlinien und AGB im App-Center

Was kann man gegen “unseriöse” Applikationen unternehmen?

Trifft man auf eine “unseriöse” oder “dubiose” Applikation, kann die Applikation an Facebook gemeldet werden. Im “Login-Dialog”-Fenster findet man unten links jeweils einen Link “Anwendung melden” (siehe Punkt 2 in den beiden vorhergehenden Bildern). Nach dem Klick auf den Link öffnet sich ein Fenster wie nachfolgend abgebildet.

"Applikation melden"-Dialog

“Applikation melden”-Dialog

Sind Facebook Applikationen grundsätzlich gefährlich?

Nein. Facebook Applikationen sind immer so gut und schlecht wie die Menschen die dahinter stehen, dh. es lauern Gefahren und eine gewisse Portion Vorsicht schadet nicht. Bei “seriösen” Applikationen wie oben beschrieben besteht keine Gefahr… Schlussendlich muss jeder Nutzer für sich entscheiden, ob er eine Applikation nutzen will oder eben nicht.

Viel Spass mit Facebook Apps!

 

Facebook Instagram Twitter LinkedIn Xing TikTok

Kommentar via Facebook

Bitte akzeptieren Sie die Cookies um die Facebook Kommentare zu nutzen.

Schreib uns einen Kommentar

Möchtest Du immer auf dem neusten Stand mit unseren Newsletter sein?

Melde Dich jetzt an