SternTV sendete anfangs Januar einen Beitrag mit dem Titel “Schnüffeln per Facebook-App – So schnell wird Privates öffentlich“, der bei einigen der im Beitrag involvierten Personen Kopfschütteln auslöste. Stern TV zeigt im Beitrag auf, wie sie über eine einfache Grusskarten-Applikation Zugriff auf die Facebook Inbox der Nutzer erhielten. Die betroffenen Nutzer sind nach der Konfrontation […]
Schnüffler (istockphoto.com)
SternTV sendete anfangs Januar einen Beitrag mit dem Titel “Schnüffeln per Facebook-App – So schnell wird Privates öffentlich“, der bei einigen der im Beitrag involvierten Personen Kopfschütteln auslöste. Stern TV zeigt im Beitrag auf, wie sie über eine einfache Grusskarten-Applikation Zugriff auf die Facebook Inbox der Nutzer erhielten. Die betroffenen Nutzer sind nach der Konfrontation durch Stern TV schockiert. Wie gefährlich sind Facebook Applikationen wirklich? Wie viele Daten und welche Daten erhält eine Facebook Applikation nach der Freigabe durch den Nutzer?
Der nachfolgende Beitrag wurde am 09.01.2013 von SternTV gesendet:
Wie im Beitrag aufgezeigt, können Anbieter von Facebook Applikationen vom Benutzer die Erlaubnis (Permission) einholen, auf Daten zuzugreifen oder aber auch im Namen der Person Handlungen oder Änderungen vorzunehmen (Publishing Permissions).
Der Freigabe-Dialog sieht bei direkt verlinkten Applikationen wie folgt aus:
Im App-Center von Facebook ist ein Schritt weniger für die Datenfreigabe notwendig, welche Daten von der Applikation verlangt wird:
Freigabe im App-Center
Für viele der Menschen, die Facebook Nutzen, ist nicht wirklich klar, was sie bei der Freigabe einer Applikation wirklich erlauben und was nicht, bzw. welche Daten für den App-Anbieter freigegeben werden und welche nicht.
Installiert ein Benutzer eine Facebook Applikation, erhält der App-Anbieter ohne weitere Nachfrage Zugriff auf das öffentliche Profil und die Freundesliste, folgende Daten werden dabei sichtbar:
Über eine separate E-Mail Freigabe kann der App-Anbieter Zugriff auf die E-Mail-Adresse des Benutzers verlangen, welche aber durch den Nutzer bestätigt werden muss.
Facebook schreibt dazu in der Dokumentation:
Provides access to the user’s primary email address in the
Note: There is no way for apps to obtain email addresses for a user’s friends.
Über erweiterte Profilfreigaben erhalten App-Anbieter Zugriff auf sensitivere Profildaten und können im Namen des Benutzers Inhalte publizieren. Die erweiterten Profilfreigaben können vom Benutzer nicht optional verwehrt werden.
User permission | Friends permission | Description |
---|---|---|
user_about_me | friends_about_me | Erlaubt den Zugriff auf den “Info”-Bereich der Profilseite (und seiner Freunde*). |
user_activities | friends_activities | Erlaubt den Zugriff auf die Aktivitätenliste des Nutzers (und seiner Freunde*). |
user_birthday | friends_birthday | Erlaubt den Zugriff auf das Geburtsdatum des Nutzers (und seiner Freunde*). |
user_checkins | friends_checkins | Erlaubt den Zugriff auf die CheckIns des Nutzers (und seiner Freunde*). |
user_education_history | friends_education_history | Erlaubt den Zugriff auf die Ausbildungsinformationen im Info-Bereich der Profilseite des Nutzers (und seiner Freunde*). |
user_events | friends_events | Erlaubt den Zugriff auf die Liste der Veranstaltung des Nutzers an denen er teilnimmt (und seiner Freunde*). |
user_groups | friends_groups | Erlaubt den Zgurff auf der Liste der Gruppen des Nutzers in denen er Mitglied ist (und seiner Freunde*). |
user_hometown | friends_hometown | Erlaubt den Zugriff auf den Heimatort des Benutzers (und seiner Freunde*). |
user_interests | friends_interests | Erlaubt den Zugriff auf die Interessen des Nutzers (und seiner Freunde*). |
user_likes | friends_likes | Erlaubt den Zugriff auf die Likes des Nutzers (und seiner Freunde*). |
user_location | friends_location | Erlaubt den Zugriff auf den Aufenthaltsort des Nutzers (und seiner Freunde*). |
user_notes | friends_notes | Erlaubt den Zugriff auf die Notizen des Nutzers (und seiner Freunde*). |
user_photos | friends_photos | Erlaubt den Zugriff auf die Fotos des Nutzers und der Fotos, auf welchen er markiert wurde (und seiner Freunde*). |
user_questions | friends_questions | Erlaubt den Zugriff auf die Fragen die ein Nutzer oder Freunde gestellt haben (und seiner Freunde*). |
user_relationships | friends_relationships | Erlaubt den Zugriff auf die Familienverbindungen und Beziehungsstatus des Nutzers (und seiner Freunde*) |
user_relationship_details | friends_relationship_details | Erlaubt den Zugriff auf die Beziehungsstatus Details (und seiner Freunde*). |
user_religion_politics | friends_religion_politics | Erlaubt den Zugriff auf die religiösen und politischen Ansichten des Nutzers (und seiner Freunde*) |
user_status | friends_status | Erlaubt den Zugriff auf die Statusmeldungen und CheckIns des Nutzers (und seiner Freunde*) |
user_subscriptions | friends_subscriptions | Erlaubt den Zugrff auf die Liste der Abonnenten und Abommierten Personen des Nutzers (und seiner Freunde* |
user_videos | friends_videos | Erlaubt den Zugriff auf die Videos des Nutzers und der Videos, in welchen er markiert wurde (und seiner Freunde*) |
user_website | friends_website | Erlaubt den Zugriff auf die WebsiteURL des Nutzers (und seiner Freunde*) |
user_work_history | friends_work_history | Erlaubt den Zugriff auf die Arbeitsinformationen im “Info”-Bereich des Nutzers (und seiner Freunde*) |
* je nach Privatsphäre-Einstellungen der Freunde |
Über erweiterte Freigaben erhalten App-Anbieter Zugriff auf sensitivere Daten und können im Namen des Benutzers Inhalte publizieren oder Daten löschen. Diese erweiterten Freigaben sind optional und können vom Benutzer im Login Dialog verwehrt werden.
Freigabe | Beschreibung |
---|---|
read_friendlists | Erlaubt den Zugriff auf Freundeslisten, die der Benutzer erstellt hat. Die gesamthafte Freundesliste wird standardmässig einer Applikation zur Verfügung gestellt, diese Freigabe erlaubt jedoch zusätzlich den Zugriff auf die individuell durch den Nutzer erstellten Freundeslisten. Facebook schreibt dazu in der Dokumentation “this extended permission grants access to the lists of friends a user has created, and should only be requested if your application utilizes lists of friends.” |
read_insights | Erlaubt den Lesezugriff auf die Statistikdaten von Seiten, Applikationen und Domains die im Zugriff des Benutzers liegen. |
read_mailbox | Erlaubt den Lesezugriff auf die Facebook Inbox des Nutzers. |
read_requests | Erlaubt den Lesezugriff auf die Freundschaftsanfragen eines Nutzers. |
read_stream | Erlaubt den Lesezugriff auf alle Beiträge im Newsfeed des Nutzers und erlaubt der Applikation Suchvorgänge im Newsfeed des Benutzers durchzuführen. |
xmpp_login | Erlaubt Applikationen die den Facebook Chat beinhalten im Namen des Nutzers einzuloggen. |
ads_management | Erlaubt im Namen des Nutzers Ads zu verwalten und die Facebook Ads API zu nutzen. |
create_event | Erlaubt der Applikation im Namen des Nutzers Veranstaltungen zu erstellen oder ändern. |
manage_friendlists | Erlaubt der Applikation im Namen des Nutzers Freundeslisten zu erstellen oder zu editieren. |
manage_notifications | Erlaubt der Applikation Benachrichtigungen zu lesen und als gelesen zu markieren. Beabsichtigte Nutzung: Diese Berechtigung soll dazu verwendet werden, dass der Nutzer Benachrichtigungen lesen und darauf reagieren soll. Die Applikation soll nicht für Data-Mining oder zur Modelleriung des Nutzerverhaltens verwendet werden. Applikationen, die diese Berechtigung missbrauchen, können durch Facebook gesperrt werden. |
user_online_presence | Erlaubt den Zugriff auf den Facebook Status (on/offline). |
friends_online_presence | Erlaubt den Zugriff auf den Facebook Status (on/offline) der Freunde des Nutzers. |
publish_checkins | Erlaub der Applikation im Namen des Nutzers CheckIns vorzunehmen. |
publish_stream | Erlaubt der Applikation Beiträge in den Stream des Nutzers oder seiner Freunde zu publizieren, zu kommentieren oder Inhalte zu liken. Diese Berechtigung beinhaltet weitere Publishing Permissions welche auch die Publikation von publish_actions beinhaltet. Facebook empfiehlt ein durch den Nutzer initiiertes Sharing Modell. Es gelten die Richtlinien der Platform Policies. Für Feed Dialog, den Requests Dialog oder den Send Dialog wird die Berechtigung nicht benötigt. |
rsvp_event | Erlaubt der Applikation Veranstaltungseinladungen (RSVP) im Namen des Nutzers zu beantworten. |
Zusätzlich zu den bereits aufgelisteten Freigaben können sogenannte Open Graph Permissions eingeholt werden. Open Graph Permissions erlauben der Applikation Aktionen im Open Graph zu publizieren und Aktionen von anderen Open Graph Applikationen des Nutzers zu lesen.
User Permission | Friends Permission | Description |
---|---|---|
publish_actions | N/A | Erlaubt der Applikation im Namen des Nutzers im Open Graph zu publizieren. |
user_actions.music | friends_actions.music | Erlaubt der Applikation alle Aktionen des Nutzers (und seiner Freunde*) zu lesen, welche von Applikationen mit der integrierten music.listensaction-Action publiziert wurden (z.B. Spotify) |
user_actions.news | friends_actions.news | Erlaubt der Applikation alle Aktionen des Nutzers (und seiner Freunde*) zu lesen, welche von Applikationen mit der integrierten news.reads-Action publiziert wurden (z.B. Social Reader) |
user_actions.video | friends_actions.video | Erlaubt der Applikation alle Aktionen des Nutzers (und seiner Freunde*) zu lesen, welche von Applikationen mit der integrierten video.watches-Action publiziert wurden (z.B. Social TV). |
user_actions:APP_NAMESPACE | friends_actions:APP_NAMESPACE | Erlaubt der Applikation alle Aktionen des Nutzers (und seiner Freunde*) zu lesen, welche von der Applikation mit der integrierten *individual*-Action publiziert wurden. |
user_games_activity | friends_games_activity | Erlaubt der Applikationen alle Spielstände des Nutzers (und seiner Freunde*) zu publizieren, welche über die Game Achievement Activity sichtbar sind. |
Neben den bereits genannten Freigaben kann eine Applikation auch die Seiten Freigabe einholen, diese erlaubt der Applikation Seiten und Applikationen des Nutzers zu verwalten.
Die Berichterstattung von Stern TV erweckt den Anschein, dass die Datenfreigaben des Nutzers einen Freipass für Entwickler im Selbstbedienungsladen Nutzerdaten darstellen. In der Praxis sieht dies allerdings ein bisschen differenzierter aus. Facebook setzt für die Nutzung der Plattform die Plattform-Richtlinien (Platform Policy) voraus. Diese Richtlinien beinhaltet diverse Punkte, die vom Entwickler eingehalten werden müssen:
Richtlinien
I. Funktionen und Funktionsweise
1. Du darfst gegen kein Gesetz verstoßen, keine Rechte natürlicher oder juristischer Personen verletzen und Facebook oder die Nutzer von Facebook keinem Schaden oder gesetzlichen Haftungsanspruch aussetzen. Ob ein solcher Umstand vorliegt, wird von uns nach alleinigem Ermessen entschieden. Insbesondere wirst du (falls zutreffend) Folgendes tun: das US-Gesetz zum Videodatenschutz („Video Privacy Protection Act“ kurz „VPPA“) befolgen und jede notwendige Einwilligung von Nutzern einholen, damit Nutzerdaten, die dem VPPA unterliegen, auf Facebook geteilt werden dürfen. Du versicherst, dass keine Offenlegung uns gegenüber in direktem Zusammenhang mit deiner gewöhnlichen Geschäftstätigkeit steht.
…
12. Du darfst ohne unsere schriftliche Erlaubnis keine von uns erhaltenen Daten in irgendeine Suchmaschine bzw. irgendein Suchverzeichnis einfügen.
II. Speicherung und Nutzung der von uns erhaltenen Daten
1. Du wirst nur diejenigen Daten anfordern, die du zum Betreiben deiner Anwendung benötigst.
2. Du kannst Daten, die du durch Nutzung der Facebook-API erhalten hast, zur Verbesserung des Nutzererlebnisses in deiner Anwendung zwischenspeichern, allerdings solltest du versuchen, die Daten auf dem aktuellsten Stand zu halten. Diese Erlaubnis gibt dir keinerlei Rechte in Bezug auf solche Daten.
3. Du wirst Datenschutzrichtlinien haben, die anderen Nutzern mitteilen, welche Nutzerdaten du verwenden wirst und auf welche Weise diese verwendet, angezeigt, weitergegeben oder übertragen werden. Darüber hinaus wirst du die URL deiner Datenschutzrichtlinie in der Anwendungskonsole angeben, und musst auch einen Link zur Datenschutzrichtlinie deiner Anwendung in jedem Anwendungsmarktplatz integrieren, der dir die Funktionalität hierzu zur Verfügung stellt.
4. Die Daten eines Freundes des Nutzers dürfen nur im Zusammenhang mit dem Nutzererlebnis in deiner Anwendung verwendet werden.
5. Vorbehaltlich bestimmter Einschränkungen, einschließlich in Bezug auf die Übertragung, geben Nutzer dir ihre allgemeinen Kontoinformationen, wenn sie sich mit deiner Anwendung verbinden. Für alle anderen Daten, die du über die Nutzung der Facebook-API erhältst, musst du die ausdrückliche Zustimmung von dem Nutzer einholen, der uns die Daten bereitgestellt hat, bevor du sie zu irgendeinem anderen Zweck nutzt, außer sie dem Nutzer in deiner Anwendung wieder anzuzeigen.
6. Du wirst keine von uns erhaltenen Daten (einschließlich Nutzerdaten bzw. Facebook-Nutzerkennnummern) direkt oder indirekt an ein Werbenetzwerk, einen Werbeaustauschdienst, einen Datenvermittler oder ein sonstiges werberelevantes oder monetisierungsbezogenes Instrumentarium übertragen (oder diese Daten in Verbindung mit den Vorgenannten verwenden), selbst wenn ein Nutzer dieser Übertragung oder Verwendung zustimmt. Mit indirekt meinen wir, dass du beispielsweise keine Daten an Dritte übertragen darfst, die diese dann an ein Werbenetzwerk übertragen. Mit „irgendwelche Daten“ meinen wir sämtliche Daten, die du durch die Nutzung der Facebook-Plattform (API, soziale Plug-ins usw.) erhalten hast, einschließlich zusammengefasster, anonymer oder abgeleiteter Daten.
…
9. Du wirst keine Daten verkaufen. Wenn du durch einen Dritten aufgekauft wirst oder mit diesem fusionierst, kannst du Nutzerdaten weiterhin innerhalb deiner Anwendung einsetzen. Allerdings kannst du Daten nicht außerhalb deiner Anwendung übertragen.
10. Wenn du die Nutzung der Plattform beendest oder wir deine Anwendung sperren, musst du sämtliche Daten löschen, die du durch die Verwendung der Facebook-API erhalten hast, es sei denn (a) es handelt sich um allgemeine Kontoinformationen oder (b) du hast die ausdrückliche Zustimmung des Nutzers erhalten, seine Daten zu behalten.
11. Du darfst die Freundesliste eines Nutzers außerhalb deiner Anwendung nicht nutzen, auch nicht wenn der Nutzer einer solchen Verwendung zustimmt, aber du kannst die Verbindungen zwischen solchen Nutzern verwenden, die beide mit deiner Anwendung verbunden sind.
12. Du wirst alle Daten von Nutzern, die du von uns erhältst, auf Aufforderung des jeweiligen Nutzers löschen und einen leicht zugänglichen Mechanismus zur Erstellung einer solchen Aufforderung durch die Nutzer bereitstellen. Wir können dich zur Löschung von Daten auffordern, die du von der Facebook-API erhältst, wenn du gegen unsere Bedingungen verstößt.
13. Du wirst keine von uns erhaltenen Daten in Bezug auf einen Nutzer in irgendeiner Werbeanzeige einbinden, selbst dann nicht, wenn ein Nutzer dieser Verwendung zustimmt.
14. Du darfst deinen Geheimschlüssel an niemanden weitergeben, es sei denn diese Partei ist ein Vertreter, der in deinem Namen als Betreiber deiner Anwendung handelt. Du haftest für alle Aktivitäten, die unter deinen Kontokennungen ausgeführt werden.
Zugegeben, die Erkennung von “seriösen” oder eben “unseriösen” Applikationen und deren Anbieter ist nicht immer so einfach.
Seriöse Applikationen
Unseriöse Applikationen
Vorsichtig sollte man generell bei Applikationen sein, welche nicht einem eindeutigen App-Besitzer zugewiesen werden können oder auf dubiosen Facebook Seiten, meist ohne Impressum und klar erkenntlichem Inhaber, platziert sind. Applikationen auf offiziellen Facebook Seiten von namhaften Unternehmen und Marken sind in den meisten Fällen seriös und bieten entsprechende Nutzungsbedingungen oder Datenschutzrichtlinien an.
Die Datenschutzrichtlinien sind jeweils beim “Login Dialog” im Fuss sichtbar verlinkt (Punkt 1 auf dem 1. Bild) beim Direktaufruf einer Applikation, im App-Center von Facebook sind die Informationen in der rechten Spalte ersichtlich (Punkt 1 auf dem 2. Bild)
Datenschbutzrichtlinien und AGB im App-Center
Trifft man auf eine “unseriöse” oder “dubiose” Applikation, kann die Applikation an Facebook gemeldet werden. Im “Login-Dialog”-Fenster findet man unten links jeweils einen Link “Anwendung melden” (siehe Punkt 2 in den beiden vorhergehenden Bildern). Nach dem Klick auf den Link öffnet sich ein Fenster wie nachfolgend abgebildet.
“Applikation melden”-Dialog
Nein. Facebook Applikationen sind immer so gut und schlecht wie die Menschen die dahinter stehen, dh. es lauern Gefahren und eine gewisse Portion Vorsicht schadet nicht. Bei “seriösen” Applikationen wie oben beschrieben besteht keine Gefahr… Schlussendlich muss jeder Nutzer für sich entscheiden, ob er eine Applikation nutzen will oder eben nicht.
Viel Spass mit Facebook Apps!