Seit letzter Woche dominiert der Datenskandal rund um Facebook die Berichterstattungen in den Medien. Von Datenlecks ist die Rede, von fehlendem Schutz über die Daten und von notwendiger Regulierung. Auffällig beim Durchlesen dieser Berichterstattungen ist, dass die wenigstens Journalisten wissen, worüber sie schreiben, dass grundsätzliche Funktionsweisen von Mechanismen und Abläufe schlicht und einfach nicht verstanden […]
Seit letzter Woche dominiert der Datenskandal rund um Facebook die Berichterstattungen in den Medien. Von Datenlecks ist die Rede, von fehlendem Schutz über die Daten und von notwendiger Regulierung. Auffällig beim Durchlesen dieser Berichterstattungen ist, dass die wenigstens Journalisten wissen, worüber sie schreiben, dass grundsätzliche Funktionsweisen von Mechanismen und Abläufe schlicht und einfach nicht verstanden werden, bzw. anscheinend der eine beim anderen abschreibt.
Rund um Cambridge Analytics konnte man in den letzten Jahren schon einige Male lesen, Berichterstattungen über das Datenanalyse-Unternehmen und der angewendeten OCEAN, bzw. Big Five Methode gab es bereits 2015 im Zusammenhang mit der Präsidentschaftskampagne von Ted Cruz in den USA, bereits damals wurde von «data based on research spanning tens of Millions Facebook Users» gesprochen. Damals wurde das Thema nicht so heiss gegessen.
Im Jahr 2013 schrieb der russisch-amerikanische Wissenschaftler Aleksandr Kogan mit «thisisyourdigitallife» eine Facebook-App als Persönlichkeitstest und brachte sie auf die Facebook-App-Plattform. Wie alle Facebook-Apps wollte “thisisyourdigitallife” bei der Autorisierung Zugriff auf bestimmte Informationen über den Nutzer haben. Insgesamt haben 270.000 Facebook-Nutzer bereitwillig die Facebook-App genutzt, autorisiert und den Test gemacht.
Zu diesem Zeitpunkt prüfte Facebook Applikationen nicht auf deren Funktion und Datenverwendung, dh. damals konnten solche Apps auch Informationen von den Freunden derjenigen abgreifen, die die App freigegeben haben. Voraussetzung dafür war, dass diese Freunde die Datenweitergabe in ihrem Profil nicht beschränkt hatten. Viele langjährige Facebook Nutzer kennen den Effekt – startete man beispielsweise ein Spiel wie Farmville auf Facebook, wurde über diese Funktion beispielsweise angezeigt, welche Freunde ebenfalls Farmville spielen. Kogans App «thisisyourdigitallife» hat genau das gemacht und so über die 270.00 Facebook Nutzer zusätzlich über 50 Millionen weitere Nutzerdaten abgegriffen. Facebook hat dann 2014 die Informationen, die Apps aus den Konten von Freunden derjenigen, die sie nutzen, sammeln können, eingeschränkt. Mehr dazu später im Text.
Nichts davon ist bisher besonders ungewöhnlich. Millionen von Facebook Nutzer geben regelmässig Facebook-Apps Daten frei, auch wenn sie deren Entwickler nicht in jedem Fall (oder eher «in den wenigsten Fällen») kennen. Darunter fallen Applikationen wie “Welche Stadt ist dein Seelenverwandter” bis “Geburtstagsliste Deiner Freunde”. Solche Apps fordern jeweils den Zugriff auf Informationen aus dem Facebook-Konto an, bevor sie aktiv genutzt werden können, und der Benutzer, getrieben von der Neugierde ob man tatsächlich Seelenverwandter eine Stadt ist, stimmt der Datenfreigabe zu. In dem Moment erhält der Entwickler Zugriff auf die vom Nutzer freigegebenen Daten in seinem Facebook Profil.
Was den Fall rund um «thisisyourdigitallife» anders macht, bzw. vielleicht gar nicht so extrem anders macht, falls noch mehr ähnliche Enthüllungen auftauchen, ist der Umstand, was danach mit diesen «zusätzlich generierten» Daten angestellt wurde. App Entwickler akzeptieren mit der Nutzung der Facebook API die Plattform-Richtlinien von Facebook, welche sehr stark einschränken, was mit diesen Daten gemacht werden darf, bzw. eben nicht gemacht werden darf. Die Weitergabe von über die API gewonnen Daten an Dritte wird nämlich ausdrücklich untersagt. Dh. die Datenübergabe von Aleksandr Kogans zu Cambridge Analytica stellte ein klarer Verstoss gegen die Datenschutz- und Nutzungsbedingungen von Facebook dar. In diesem Fall wurden genau dieser grosse Datenfundus dazu verwendet, um politisches Profiling zu betreiben und Menschen gezielt, basierend auf dem OCEAN-Modell Profiling, mit politischen Werbeanzeigen anzusprechen, mit dem Ziel politische Kampagnen zu beeinflussen.
Eigentlich, im traditionellen Sinn des Wortes nein. Facebook-Nutzer, die bereitwillig damit einverstanden sind, dass ihre Informationen von Kogans App genutzt werden, haben ihre Daten selber freigegeben. Ein bisschen abstrakter ist der Fall rund um die Daten der Freunde der «thisisyourdigitallife»-Nutzer. Grundsätzlich hatten Apps damals die Möglichkeit auf die Daten der Freunde des App-Nutzers zuzugreifen. Welche Daten diese Freunde freigeben, konnten jede einzelne Person innerhalb der Profileinstellungen selber bestimmen – nämlich von viel, bis überhaupt gar nichts. Dh. jede einzelne Person hätte verhindern können, dass ihre Daten in irgendeiner Form bei der Nutzung einer Facebook Applikation durch einen Freund verwendet würden. Es gibt also keine durch Social Engineering verursachten Lecks. Es hat alles genau so funktioniert, wie es hätte funktionieren sollen. Was nicht hätte passieren dürfen, ist der Umstand, dass der App-Entwickler über die App gewonnene Daten, entgegen der Plattform-Richtlinien von Facebook, einer Drittpartei zur Verfügung gestellt, bzw. verkauft hat. Für meine Ohren klingt das eher nach Datenveruntreuung als nach Datenschutzverletzung.
Nun ja, Facebook hat mehrere Fehler gemacht, ob das aber tatsächlich «Fehler» im Sinne von «falsch machen» sind, darüber kann diskutiert werden.
Problematisch ist, dass Facebook seit jeher sehr viel Verantwortung an die Menschen, die die Plattform nutzen, delegiert. Über das Facebook Profil kann sehr stark durch jeden einzelnen Nutzer kontrolliert werden, welche Daten wie, wo und wofür genutzt werden und ist dabei äusserst transparent. Und genau hier beginnt das Problem. Der Grossteil der Menschen dürfte damit bereits überfordert sein, einerseits auf Grund von fehlendem Wissen, fehlendem Gefahrenbewusstsein, Bequemlichkeit (böse Menschen würden das Wort «Faulheit» verwenden) und Ignoranz.
Und genau hier wäre die Verantwortung von Facebook. Dh. Facebook müsste jeden einzelnen Menschen edukativ weiterbringen, Funktionen genau erklären, informieren, bzw. sensibilisieren und schulen. Facebook stellt zwar umfangreiche Informationen im Hilfebereich von Facebook zur Verfügung, erklärt bei Einstellungen, wofür diese gut sind, bzw. was damit gemacht wird – zwingt aber die Menschen nicht, sich damit auseinanderzusetzen.
Auch auf Seiten «Kunden, Partner und Entwickler» müsste Facebook restriktiver vorgehen. Zwar sind Plattform-Richtlinien vorhanden und es werden Einschränkungen gemacht, die Durchsetzung dieser Richtlinien ist allerdings lasch, teilweise viel zu lasch, dies beginnt bei einfachen Dingen wie Klarnamen (ja, einzelne Länder wollen dies ja auch eher verhindern) und zieht sich in verschiedene Ebenen durch. Nehmen wir beispielswiese Promotionsrichtlinien – wie viele Verstösse finden täglich im Zusammenhang mit Gewinnspielen statt, ohne dass diese von Facebook geahndet werden.
Die Problematik geht weiter, beispielsweise beim Entwickler-Account. Es ist keine Hexerei mit einer «anonymen» E-Mail-Adresse ein Konto zu eröffnen und darüber Zugriff auf die API zu erhalten. Eine Prüfung der Person, beispielsweise mit Hilfe von Identifikationsdokumenten, findet nicht statt. Auch werden keine eigentlichen Verträge geschlossen, vielmehr müssen online irgendwelche Bestimmungen einmalig akzeptiert werden. Würden hier beispielsweise klare Verträge zwischen Entwickler und Plattform geschlossen, wo mögliche Sanktionen oder Schadenersatzforderungen bei Nichtbeachten der Richtlinien genannt würden, wäre die Gefahr eines Missbrauchs deutlich kleiner und die Plattform hätte eine Handhabe gegen allfällige Verstösse.
Mark Zuckerberg hat sich nach den unzähligen Berichterstattungen in einem Interview mit CNN zu Wort gemeldet und Massnahmen angekündigt. Die Reaktionen der internationalen Presse auf das Interview und die angekündigten Massnahmen sind unterschiedlich und reichen beispielsweise alleine in der NZZ von «Zuckerbergs «Ups» als Reaktion auf die Cambridge-Analytica-Affäre enttäuscht» bis zu «Mark Zuckerberg räumt Fehler ein – und lanciert eine Charmeoffensive».
Die angekündigten Massnahmen «Überprüfung der Plattform», «Information über Datenmissbrauch», «Deaktivierung des Zugriffs für nicht benutzte Anwendungen», «Facebook-Anmeldedaten einschränken», «Menschen dazu zu ermutigen, die verwendeten Anwendungen zu verwalten» zu «Belohnung für das Aufspüren von Schwachstellen» sind jedenfalls ein Schritt in die richtige Richtung!
Bei der ganzen medialen Diskussion wird also teilweise der Gärtner zum Bock gemacht. Wenn wir mal alle ganz ehrlich sind…
Ich glaube, die Mehrheit der Menschen auf Facebook müssen bei den meisten genannten Punkte, wenn sie ehrlich antworten, die Fragen mit «Nein» beantworten.
Wenn nun eine Plattform grundsätzlich Einstellungen und Informationen zum Schutz der Daten bietet, Einstellungen und Beschränkungen ermöglicht, transparent in der Hilfe und in entsprechenden Guides informiert, regelmässig Warnhinweise einblendet, wo liegt dann das Problem? Bei Facebook oder beim einzelnen Nutzer, der sich nicht genügend informiert, der nicht die Möglichkeit wahrnimmt, Einstellungen zu überprüfen und anzupassen?
Auch bei den bei Facebook & Co. werbenden Unternehmen darf man durchaus Kritik üben. Wie viele Unternehmen nutzen Retargeting, Fingerprinting, Session Replay, etc. und analysieren ihre Websitebesucher bis ins letzte Detail? Und wie viele Unternehmen informieren dabei ihre Websitebesucher proaktiv oder geben eine Wahlfreiheit, bzw. eine Möglichkeit zum Opt-Out, obwohl Anbieter wie Facebook dies in den Nutzungsbedingungen entsprechender Tools von den Unternehmen genau so verlangen? Diese Frage lassen wir an dieser Stelle einfach einmal offen …
Nun ja, in wie weit viele Journalisten heute noch recherchieren oder Beiträge von Kollegen ab-/umschreiben, lasse ich mal offen. Was ich allerdings mit entsprechenden Fachwissen sagen kann, ist, dass eine Vielzahl von Beiträgen schlicht und einfach schlecht recherchiert sind und viele Autoren keine Ahnung haben, wie Facebook, bzw. das Geschäftsmodell von Facebook funktioniert. Im Zusammenhang mit der Cambridge Analytica Geschichte konnte man wieder häufig den Vorwurf hören, dass Facebook angeblich Daten an Werbetreibende verkaufen soll. Dies ist natürlich grober Unfug. Das Geschäftsmodell von Facebook beruht auf dem Grundsatz Daten- und Verhalten der Nutzer aufzuzeichnen und auszuwerten. Der Nutzer bezahlt die kostenlose Facebook Nutzung mit den Daten, die Facebook über den Nutzer sammeln kann. Diese Daten werden jedoch nicht an Werbetreibende weiterverkauft, sondern zum Ausspielen personalisierter Werbung verwendet. Würde Facebook diese Daten verkaufen und nicht die Hoheit darüber behalten, wäre das Geschäftsmodell kaputt – entsprechend sind die Nutzerdaten das Gold von Facebook und Garant dafür, dass die Werbemaschinerie von Facebook auch in Zukunft funktioniert.
Viele Journalisten werfen aktuell viele Steine mit sensationshaschenden Beiträgen gegen Facebook – dabei vergessen sie gerne, dass ihre Arbeitgeber, die Medienhäuser und Verlage, sehr gerne genau die angeprangerten Tracking-Technologien von Facebook, aber auch eigene Systeme zur Personalisierung der Werbung nutzen – sehr häufig dabei ohne Wahlfreiheit und Einstellungsmöglichkeiten.
Der Rechtsanwalt Martin Steiger hat dazu in dieser Woche einen interessanten Beitrag mit dem Titel «Websites: Tracking auf Kollisionskurs mit dem Datenschutzrecht» veröffentlicht und zusammen mit Nico Ebert von der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) das Tracking-Verhalten von Medientitel und Unternehmen unter die Lupe genommen.
Fazit: Wer im Glashaus sitzt, sollte nicht unbedingt mit Steinen werfen…