Facebook hat die Datenschutz-Einstellungen
geändert,
ohne dass sich am Datenschutz etwas ändert. Denn abgesehen von der
neuen Anordnung der Einstellungen bleibt fast alles beim Alten: Per Default
sind die Einstellungen ziemlich freizügig (um es mal höflich zu
formulieren). Zumindest verspricht Facebook, dass die gewählten
Einstellungen auch für zukünftige Erweiterungen übernommen
werden sollen – wer also einmal seinen Account abgedichtet hat, muss das
nun nicht mehr bei jeder neuen Erweiterung erneut tun.
Wenn Mark Zuckerberg so sehr davon überzeugt ist, dass die meisten
Mitglieder ihre Daten verbreiten wollen, wieso gibt er ihnen dann nicht die
Möglichkeit, das aktiv kund zu tun, statt die, die dagegen sind, zum
ausschalten zu zwingen? Was ist so schwierig an einer
vielfach gewünschten
“opt-in”-Lösung zur Weitergabe der Daten? Anscheinend ist man bei
Facebook der Meinung, der Beitritt zu Facebook sei ein “opt-in” zur
vollkommenen Freigabe der Daten. Nun, in gewisser Weise ist es das. Und
es könnte gut sein, dass man bei Facebook am Ende des heutigen Tages
(31. Mai) ziemlich dumm aus der Wäsche guckt, wenn viele Benutzer
ein finales “opt-out” wählen – am
“Quit Facebook Day”.
Neue Einstellungen auf die Schnelle?
Am 24. Mai hat Mark Zuckerberg
angekündigt,
dass die Datenschutz-Einstellungen vereinfacht werden sollen, und schon am
26. Mai wurden die neuen Einstellungen
präsentiert.
Laut Mark Zuckerberg wurden die Datenschutz-Einstellungen bisher immer dann
angepasst, wenn neue Funktionen implementiert wurden. Und dabei wurden die
neuen Einstellungen dann auch in der entsprechenden Funktion integriert, so
dass es zum bekannten Wildwuchs mit den Einstellungen an 1001 verschiedenen
Orten kam. So einen Wildwuchs dann auf die Schnelle auszulichten und alle
Einstellungen an einen Platz zusammen zu führen ist ziemlich
schwierig. Das hat man auch bei Facebook nicht in 2 Tagen geschafft, an
den neuen Einstellungen wurde schon länger gearbeitet. Allerdings hat
man nicht ganz verstanden, dass die Verteilung und Unübersichtlichkeit
der Einstellungen nur ein Grund für die Kritiken war. Deutlich
schlimmer sind die Voreinstellungen nach dem Motto “Alles freigeben,
was sich freigeben lässt, alles abgreifen, was sich abgreifen
lässt” – und daran hat sich nichts geändert.
Alles nur Kosmetik?
Was ändert sich denn nun? Erst mal eigentlich nichts, außer der
Zusammenfassung der bisher verstreuten Einstellungen an einem Ort. Das
erinnert mich an einen gewissen Schokoriegel, bei dem sich zwar der Name
änderte, aber “… sonst ändert sich nix”. Bei
Facebook gibt es allerdings noch zwei weitere Änderungen: Die im
April
und
Dezember
weggefallenen Einstellungen sind wieder vorhanden. Damit ist es nun wieder
möglich, die Informationen über eigenen Vorlieben, Interessen,
Ausbildung etc. den eigenen Vorstellungen entsprechend frei zu geben oder
zu sperren sowie den Zugriff von Anwendungen und Websites auf die eigenen
Daten komplett zu sperren.
Das klingt gut? Ja, und teilweise ist es das sogar, zumindest was die
“neuen” zusätzlichen Einstellungen betrifft. Allerdings geben die
Default-Einstellungen nach wie vor viel zu viele Daten frei, was auch die
Electronic Frontier Foundation
bemängelt,
die eine
Anleitung
zum Absichern der neuen Datenschutz-Einstellungen veröffentlicht hat.
Eine deutsche Anleitung gibt es z.B. auf
Spiegel online.
Außerdem haben z.B. die von Freunden installierten Anwendungen weiterhin
vollen Zugriff
auf die eigenen Daten – wenn die Freunde das erlauben. Darum Vorsicht bei
der Freigabe von Daten – es sind nicht (nur) die eigenen, sondern auch die
der Freunde, die man da einer mehr oder weniger vertrauenswürdigen
Anwendung in den Rachen wirft. Ginge es Facebook wirklich um den Schutz
der Benutzer, hätten sie so eine Funktion gar nicht implementieren
dürfen oder sie zumindest von der aktiven Zustimmung der Betroffenen
abhängig machen müssen. Meine Freunde dürfen entscheiden, welche
Anwendungen auf meine Daten zugreifen dürfen? Wer kommt auf so eine Idee?
Klar, Mark
“Privatsphäre ist unwichtig”
Zuckerberg – aber wieso hat ihm niemand bei Facebook gesagt, dass das im
normalen Leben nicht so ist? Oder haben etwa die Homebanking-Programme
seiner Real-Life-Freunde Zugriff auf seine Kontoauszüge?
“Alle” bedeutet wirklich “Alle”
Was vielen Benutzern wohl auch immer noch nicht klar ist: Eine Freigabe der
Daten für “Alle” bedeutet nicht für “Alle
Facebook-Benutzer”, sondern für “Alle
Internet-Benutzer”, da die Daten dann auch von den Suchmaschinen
erfasst werden. Vielleicht sollte Facebook auch da mal über eine
Änderung nachdenken, denn es ist kein Problem, Suchmaschinen
auszusperren. Für die Benutzer, die auch über Google und Co.
gefunden werden wollen, könnte man dann eine per opt-in zu
aktivierende zusätzliche Profilseite bereit stellen, auf die die
Suchmaschinen Zugriff haben.
Die Politik wird aktiv…
… und Verbraucherschutzministerin Ilse Aigner
kündigt
“mehr Schutz und Sicherheit für User” an. Gute Idee,
nur: Wieso sollte sich ein US-Unternehmen ausgerechnet für deutsche
Regelungen interessieren? Weil es Kunden aus Deutschland hat? Dann
müsste es genau so auch die Gesetze aller anderen Länder
beachten, aus denen es Benutzer hat. Möchte das wirklich irgend
jemand? Diese Diskussion ist zwar nicht so alt wie das Internet, aber
zumindest so alt wie dessen kommerzielle Nutzung. Wenn man sich darauf
einlassen möchte – viel Vergnügen. Sicher kann man darüber
auf einem G20-Gipfel reden und nach einer einheitlichen Regelung suchen,
aber mehr als eine Einigung auf den kleinsten gemeinsamen Nenner wird dabei
nicht rauskommen, und auch das erst in einigen Jahren. Außerdem
dürfte Frau Aigner eher früher als später Gegenwind aus dem
Innenministerium bekommen, denn Datenschutz, der durch das zügige
Löschen oder sogar den Verzicht auf das Speichern von Daten realisiert
wird, wird dort i.A. als extreme Gefahr für unsere Sicherheit
betrachtet.
Eine technische Lösung…
… für ein soziales Problem? Eigentlich argumentiert man ja, dass
man soziale Probleme nicht mit technischen Lösungen angehen sollte, in
diesem Fall ist das soziale Problem aber eigentlich auch ein technisches:
Würden die Datenberge, auf denen Facebook sitzt und die man dort immer
weiter anhäuft, gar nicht erst anfallen, gäbe es auch keine
Möglichkeit zum Missbrauch.
Diaspora
soll genau das leisten, indem die Daten in einem dezentralen Netz auf den
Rechnern der Benutzer und damit unter deren Kontrolle
bleiben.
Die ‘seeds’ genannten Knoten sammeln die Informationen des Benutzers und
verknüpfen sie ggf. mit denen seiner Freunde, mit denen er auch
direkt kommunizieren kann. Möchte ein Benutzer nicht mehr am Social
Network teilnehmen, deaktiviert er seinen ‘seed’ und ist raus, ohne seine
Daten zurück zu lassen, wie es beim Austritt aus einem zentral
verwalteten System wie Facebook ist.
Zum Abschluss noch ein
Nachtrag zum Standpunkt der vorigen Woche
In der
vorigen Woche
verlinkte ich zu einem
Bericht
des Wall Street Journal über die Weitergabe von Benutzernamen und -IDs
an die Werbepartner von Facebook. Ben Edelman, der dieses Datenleck
entdeckt hat, hat seinen
Bericht
aktualisiert: Die Schwachstelle wurde zwar
behoben
(und die Erklärungen dazu dürften die meisten Nicht-Informatiker
schnell vergraulen), Facebook spielt den Vorfall aber herunter und erweckt
den Eindruck, es sei eher ein theoretisches Problem, während Edelman
die Übertragung der Daten eindeutig bestätigen konnte.
Allgemein ist ein entsprechendes Datenleck, dass durch die Übertragung
eines URL mit darin enthaltenen vertraulichen Daten in einem
Referer-Header
entstanden ist, ein bekanntes Problem. U.A. deshalb haben vertrauliche
Daten ja auch nichts im URL zu suchen (ein weiterer Grund ist das Speichern
des URL in Logfiles).
Carsten Eilers
