Interne Dokumente offenbaren Facebooks Umgang mit Nutzerdaten

Im Rahmen seiner Ermittlungen zum Umgang Facebooks mit persönlichen Nutzerdaten hatte das britische Parlament interne Dokumente samt E-Mail-Verkehr zwischen Mark Zuckerberg und anderen hochrangigen Mitarbeitern im Unternehmen beschlagnahmt. Nun wurden die Inhalte zum Teil veröffentlicht und demonstrieren, dass Whitelisting bestimmter Partner wie Netflix betrieben und ihnen Zugang zu Userdaten gewährt wurde.

E-Mail-Verläufe zeigen Facebooks Handeln

Der britische Chairman des Komitees für Kultur, Medien und Sport, Damian Collins, hatte veranlasst, dass der US-App-Entwickler Six4Three Dokumente an das britische Parlament weitergibt, die Interna zu Facebooks Geschäftspraktiken enthalten. Diese Informationen wurden inzwischen veröffentlicht; was Facebook zuvor noch zu vermeiden versucht hatte. Collins hatte zu dieser ungewöhnlichen Handlung erklärt:

This is an unprecedented move but it’s an unprecedented situation. We’ve failed to get answers from Facebook and we believe the documents contain information of very high public interest.

Tatsächlich scheint das öffentliche Interesse an den Inhalten des Dokuments berechtigt. Denn aus diesem geht hervor, wie Facebooks Führungsriege über Deals diskutiert und dabei das Whitelisting bestimmter Partner vorantreibt, während anderen Unternehmen Zugang zu Daten verwehrt wurde. In seiner Beurteilung des Dokuments kommt der Experte Damian Collins zu dem Schluss, dass die Verzahnung von Einnahmesteigerung und der Gewährung von Zugang zu Nutzerdaten ein zentrales Element in der Entwicklung Facebooks ist. Hierbei wurden Apps jedoch ungleich behandelt.

The files show evidence of Facebook taking aggressive positions against apps, with the consequence that denying them access to data led to the failure of that business.

Ein Beispiel hierfür liefert die inzwischen wieder eingestellte Video App Vine von Twitter. Der Zugang zur Friends API wurde kurz nach dem Launch gesperrt – und PR-Maßnahmen diesbezüglich schon vorbereitet. Das zeigt ein E-Mail-Verlauf aus dem Januar 2013:

Facebook email 24 January 2013

Justin Osofsky – ‘Twitter launched Vine today which lets you shoot multiple short video segments to make one single, 6-second video. As part of their NUX, you can find friends via FB. Unless anyone raises objections, we will shut down their friends API access today. We’ve prepared reactive PR, and I will let Jana know our decision.

MZ – ‘Yup, go for it.’

Whitelisting von Netflix und AirBnB bei Facebook

2014 stellte Facebook die Graph API vor, zu der Apps migrieren mussten. Damit verloren diese gleichzeitig Zugang zu den umfassenden Nutzerdaten, zu denen sie zuvor Zugriff gehabt hatten. Darauf weist Facebook auch in einer offiziellen Reaktion auf die aktuelle Veröffentlichung der Dokumente hin:

We changed our platform policies in 2014/15 to prevent apps from requesting permission to access friends’ information. The history of Cambridge Analytica shows this was the right thing to do. For most developers, we also limited their ability to request a list of who someone’s friends were, unless those friends were also using the developer’s app. In some situations, when necessary, we allowed developers to access a list of the users’ friends. This was not friends’ private information but a list of your friends (name and profile pic).

Dabei wird aber klar: manche Entwickler hatten dennoch Zugang zu weiteren Daten.

Facebook have clearly entered into whitelisting agreements with certain companies, which meant that after the platform changes in 2014/15 they maintained full access to friends data. It is not clear that there was any user consent for this, nor how Facebook decided which companies should be whitelisted or not,

kommentiert Collins seine Erkenntnisse. Gegründet ist diese Aussage auf weitere E-Mail-Verläufe zwischen Facebook-Mitarbeitern und Partnern wie AirBnB oder Netflix, aus denen hervorgeht, dass diesen Zugang zu Friends API gewährt wird.

Email Konstantinos Papamiltidas to AirBnB, 18 March 2015

‘As promised, please find attached the docs for Hashed Friends API that can be used for social ranking. Let us know if this would be of interest to you, as we will need to sign an agreement that would allow you access to this API.’

…

Netflix wrote on 13 February

‘We will be whitelisted for getting all friends, not just connected friends’

Wie Facebook die Entwicklungen einschätzt

Die Erkenntnisse zum Whitelisting sind nicht die einzigen, die in den Dokumenten ersichtlich sind. Im Übrigen wird argumentiert, dass Whitelisting eine übliche Praxis ist; und sie widerspricht auch nicht dem Anspruch keine Userdaten zu verkaufen. Weitere Ergebnisse zeigen etwa, dass das Soziale Netzwerk Onavo nutzte, um globale Umfragen zu erstellen, die dem Unternehmen anzeigten, welche Apps wie oft heruntergeladen und genutzt wurden. Auf Basis dieser Umfragen entschied Facebook, bei welchen Unternehmen sich ein Kauf lohnen könnte und bei welchen Konkurrenzkampf angesagt ist.

Während all diese Angaben sicherlich von großem Interesse sind und man verstehen kann, warum Facebook sie unter Verschluss halten wollte, sind sie doch unvollständig. Das Unternehmen gibt im Post selbst an:

As we’ve said many times, Six4Three — creators of the Pikinis app — cherrypicked these documents from years ago as part of a lawsuit to force Facebook to share information on friends of the app’s users. The set of documents, by design, tells only one side of the story and omits important context.

Auch wenn diese Einleitung nach einer Verteidigung klingt, hat Facebook doch recht damit, dass hier nur Bruchstücke einer jahrelangen Geschäftspraktik dokumentiert sind. Ob das für das Image Facebooks besser oder schlechter ist, liegt wohl im Auge des Betrachters. In der eigenen Richtigstellung heißt es beispielsweise zu Onavo, dass die Nutzer der App jederzeit darüber informiert waren, welche Daten gesammelt werden. In Bezug auf das Verwehren von Zugriff auf die Friends API heißt es:

At that time we made the decision to restrict apps built on top of our platform that replicated our core functionality.

Hier hat Facebook nun seine Richtlinien just geändert. Diesen Vorsatz müssen Entwickler nicht mehr erfüllen. Das zeigt, dass Facebook sich stets auch an die Voraussetzungen der Umgebung anpasst.

Schon 2012 hatte Mark Zuckerberg überlegt, den Zugriff auf die Daten von Facebook-Freunden zu minimieren. Allerdings betonte er ebenfalls, dass er kein so großes Risiko für Datenlecks erkennen kann.

‘I’m getting more on board with locking down some parts of platform, including friends data and potentially email addresses for mobile apps.’
‘I’m generally sceptical that there is as much data leak strategic risk as you think. I agree there is clear risk on the advertiser side, but I haven’t figured out how that connects to the rest of the platform. I think we leak info to developers, but I just can’t think if any instances where that data has leaked from developer to developer and caused a real issue for us.

Kann Facebook seinen Problemen noch effektiv entgegensteuern? 

Probleme hat es nun für Facebook gegeben, nicht zuletzt die Veröffentlichung der Dokumente. Darauf reagierte Zuckerberg per Post nun persönlich. Dabei geht er auf die wichtigen Änderungen ein, die dazu geführt haben, dass weniger fragwürdige Apps mit Nutzerdaten Geschäfte machen können. Er erkennt an, dass es richtig ist, dass Facebook sich bei seiner immensen Nutzerzahl immer wieder der Frage stellen muss, was das Unternehmen tut. Doch die Motive und das Handeln der Plattform dürften nicht falsch interpretiert werden.

Nun hat Facebook durch zeitweilige Intransparenz und Unklarheiten bei der Datensicherheit aber seinen Teil dazu beigetragen, dass die Motive nicht immer mit dem gewünschten Branding übereinstimmen. Die Realität liegt wohl in der Mitte zwischen tollen Social Features, die Unmengen Menschen nutzen, und immer noch nutzen wollen, und dem nachvollziehbaren ökonomischen Handeln eines Unternehmens, das seine Innovationen und seine Marke monetarisieren möchte. Wie dabei intern vorgegangen wird, kann im vom britischen Parlament veröffentlichten Dokument zum Teil nachgelesen werden. Doch auch hier gilt eine differenzierte Betrachtung.

Der kostenlose Zugriff zu zahlreichen Features hat aber seinen Preis, oftmals Nutzerdaten in irgendeiner Form. Facebook hat sie, andere Unternehmen wollen sie. Und es wäre illusorisch zu glauben, dass diese Ware bei einer guten Gegenleistung nicht den Besitzer wechseln sollte.