Schutzbehauptungen
Ein Abkommen mit der US-amerikanischen Wirtschaftsaufsicht FTC erschwert es Facebook, die Privatsphäre seiner Nutzer weiter auszuhöhlen. Das Unternehmen muss ein internes Privacy-Programm auflegen – und geriert sich prompt als Datenschutz-Vorkämpfer.
Ich verpflichte mich, Facebook zum Vorreiter bei der Transparenz und Kontrolle rund um das Thema Datenschutz zu machen“. Der eine oder andere Leser des Postings von Facebook-Chef Mark Zuckerberg mag sich verwundert die Augen gerieben haben. Stammen diese Worte vom selben Mark Zuckerberg, der noch Anfang 2010 laschere Privatsphäre-Einstellungen seines Dienstes damit begründete, dies sei „zeitgemäß“?
Zuckerberg wird noch deutlicher. In dem Beitrag im Haus-Blog spricht er über Fehler in der Vergangenheit, zum Beispiel Beacon, ein Projekt, mit dem Facebook die Einkäufe seiner Nutzer auf externen Seiten beobachten wollte. Und er verkündet zwei neue Chief Privacy Officer für Policy und Products, die das neue Datenschutzbewusstsein seines Unternehmens nach außen und innen transportieren sollen.
Druck der FTC
So ganz freiwillig kommen Zuckerbergs Schritte allerdings nicht. Vielmehr hat offensichtlich die amerikanische Wirtschaftsaufsicht FTC Druck gemacht und mit Facebook ein Abkommen zum Thema Datenschutz ausgehandelt. Die FTC hatte eine Reihe von Beschwerden aus der Vergangenheit untersucht und war zu der Einschätzung gekommen, dass das Unternehmen etliche Male Datenschutzversprechen nicht eingehalten hat.
So machte Facebook zum Beispiel im Dezember 2009 etliche Informationen öffentlich, etwa die Freundeslisten, ohne die Nutzer vorab zu warnen. Auch informierte Facebook die Benutzer falsch darüber, auf welche Daten die Apps der Facebook-Plattform zugreifen können. Unwahr sei auch das Versprechen gewesen, dass Facebook Nutzerdaten nicht an Werbekunden weitergebe. Insgesamt sieben Vorwürfe listet das Papier der FTC.
Das Abkommen untersagt Facebook jetzt weitere „betrügerische Datenschutzbehauptungen“. Benutzer müssen sich nunmehr explizit einverstanden erklären, bevor irgendeine Neuerung ihre Datenschutzvoreinstellungen verändern kann. 30 Tage, nachdem ein Benutzer seinen Account gelöscht hat, soll niemand mehr von ihm hochgeladene Inhalte zu Gesicht bekommen dürfen.
Darüber hinaus wird Facebook dazu verdonnert, ein internes Privacy-Programm aufzulegen. Es soll insbesondere neue Funktionen auf Datenschutzrisiken abklopfen. Dieses Programm soll innerhalb der nächsten 180 Tage und dann für die nächsten 20 Jahre im Zweijahresrhythmus einer externen Überprüfung unterzogen werden.
Cookies erklärt
Als eine Art Transparenz-Maßnahme lässt sich werten, dass Arturo Bejar, der Technik-Chef des Unternehmens, Spiegel online erklärt hat, wofür und wie Facebook ein bestimmtes Cookie einsetzt, das sogenannte datr-Cookie. Bejars Erklärungen nach ist es Bestandteil eines Sicherheitssystems namens Delta, das täglich 600 000 missbräuchliche Login-Versuche unterbindet. Es wird unter anderem auf externen Websites ausgelesen, die Social Plug-ins nutzen, etwa den „Gefällt mir“-Button.
Das datr-Cookie enthält eine eindeutige Kennung, die an den Browser gebunden ist. Bei jedem Login werde geprüft, ob auf dem verwendeten Rechner ein datr-Cookie mit einer vertrauenswürdigen „Historie“ von Logins platziert ist. Wer sich etwa an einem öffentlichen Rechner einloggt, müsse wegen des fehlenden datr-Cookies zusätzliche Nachweise erbringen, um seine Identität zu belegen.
Auch wenn jemand Websites mit eingebetteten Facebook-Plug-ins aufruft, aber nicht bei Facebook eingeloggt ist, liest Facebook das datr-Cookie aus. Außerdem erhalte Facebook die URL der Website, die IP-Adresse und den Zeitpunkt des Aufrufs. Die IP-Adresse werde für Aufrufe aus Deutschland durch eine generische ersetzt und so anonymisiert.
Laut Bejar legt Facebook keine Profile mit detaillierten Informationen über Besuche auf Drittseiten an. Stattdessen genüge es Facebook, Webseiten zu thematisch nicht sortierten Gruppen zusammenzufassen, die „zum Teil“ Hunderte oder Tausende von Webseiten enthalten. Statt die einzelnen Sites zu erfassen, die ein Mitglied besuche, genüge es festzuhalten, auf welche Gruppen sich seine Besuche verteilen. Und auch diese Information lösche Facebook nach 90 Tagen.
Nichtsdestotrotz stellt sich die Frage, warum die Informationen über Besuche auf Drittseiten überhaupt genutzt werden müssen. Auf Nachfrage schrieb uns die Facebook-Pressestelle: „Das Wissen über die Verteilung der Besuche gibt zum Beispiel Aufschluss über die Historie von Logins und hilft unter anderem beim Aufspüren von auffälligem Verhalten (Phishing).“ Außerdem gibt es nach wie vor keine umfassenden Informationen zu den anderen Cookies, die Facebook speichert.
Offen bleibt, ob es sich bei allen zur Schau gestellten Reuebekundungen und Transparenzoffensiven letztlich nur um Augenwischerei handelt. Denn im Gegenzug zu den Auflagen für Facebook, die die Abmachung mit der FTC vorsieht, verfolgt die Behörde die alten Vorwürfe nicht weiter: Facebook kommt also mit einem erhobenen Zeigefinger davon, rechtzeitig vor dem für 2012 geplanten Börsengang.
Nur Lippenbekenntnisse?
Verbraucherschutzministerin Ilse Aigner jedenfalls ist mit dem Status quo nicht zufrieden. Sie wirft dem Netzwerk vor, das sogenannte Safe-Harbor-Abkommen über den Datenaustausch zwischen Europa und den USA zu verletzen. „Für die Gesichtserkennung erstellt Facebook derzeit die vermutlich weltweit größte Datenbank mit biometrischen Merkmalen einzelner Personen, ohne über die biometrische Erfassung klar und verständlich zu informieren“ schreibt sie in einem Brief an die FTC.
Dass bei Facebook in puncto Datenschutz noch viel im Argen liegt, zeigt eine Panne eine Woche nach der Einigung mit der FTC, die Fremden den Zugriff auf als privat gekennzeichnete Bilder ermöglichte. Um Zugriff auf solche Bilder anderer Nutzer zu erhalten, musste man zunächst ein öffentliches Bild eines Nutzers als anstößig melden. Danach bot Facebook an, noch weitere Fotos aus dem Profil als unangemessen zu markieren – wobei man in einigen Fällen Zugang zu privaten Bildern erhielt, darunter auch welche von Firmengründer Mark Zuckerberg.
