Welche Daten gibt man wohl als Liker einer Facebook Page (z.B. einer Firmenseite) dem Inhaber der Page preis? Antwort: User bezogene Daten im Sinne einer maschinellen Auslesbarkeit gibt man nicht wirklich preis. Dafür bietet Facebook das Statistiktool „Insights“ an, das gesammelte Zugriffszahlen zur Page ausspuckt. Das ist recht unkritisch, denn personenbezogene Daten sind damit nicht auslesbar. Um an Deine Daten als Liker einer Firmenpage auf Facebook heranzukommen, muss der Anbieter schon etwas schwerere Geschütze auffahren.
Was können App-Anbieter prinzipiell aus Facebook auslesen?
Dies wird von Facebook im Dokument Graph API beschrieben. Ein ziemlich umfassendes Datenuniversum. Schaut mal ruhig rein, um eine Vorstellung zu bekommen. Ich will das jetzt nicht aufzählen, doch im Grunde genommen kann man jeden erdenklichen Datensatz aus Facebook rausfischen, verkürzt gesagt. Solange man dazu die Berechtigung bekommt. Ob es nun die unten besagten User-Daten sind oder Checkins, Events, Fotos, Videos, Statusnachrichten, Pages, Notes, Likes, Shares, was auch immer Euch einfällt. Wieso spreche ich eigentlich von „App-Anbietern“? Die können Daten auslesen. Eure Daten.
Userdaten anzapfen
Wie kommen die Firmen an maschinell auslesbare User-Daten heran – also Deine Daten auf Facebook – und um welche Daten handelt es sich konkret? Die Voraussetzung ist, dass ein Anbieter eine „Facebook-Applikation“ bastelt. Eine Appliaktion, die Ihr sicher alle kennt? Mafia Wars, Farmville? Das sind Beispiele für Facebook-Applikationen. Anwendungen, die innerhalb von Facebook laufen, auf Facebooks riesigen Datenstrom zurückgreifen dürfen, wenn ihnen die einzelnen Facebook-User den Zugriff auf ihren individuellen Datenstrom gestatten. Solch eine „App“ kann der Anbieter in dessen FB-Firmenpage einbinden. Beispiele für Apps in Facebook Pages? Ein Gewinnspiel? Ja, sowas in der Art kann es sein. Was sehr beliebt ist. Ein Quiz. Ein Spielchen. Ein Abstimmungstool.
Was passiert, wenn man als User eine derartige FB-App benutzen will? Kennt spätestens dann jeder, wenn er dieses Bild sieht. Facebook nennt das „App authorization„:
Mit Hilfe dieser Genehmigung erlaubt Ihr dem Anbieter, auf Eure Daten zuzugreifen. Einfach so auf alle? Nein, das bestimmt einerseits der Anbieter, auf was er zugreifen möchte – und das kann sehr umfassend sein -, andererseits müsst Ihr dem zustimmen. Entweder ganz oder gar nicht. Die Dialogbox ist nicht einfach nur ein wegzuklickende Geschichte. In der Dialogbox steht exakt, was der Anbieter an Daten von Euch haben will. Name, Vorname, und noch vieles mehr, inklusive der Daten Eurer Freunde auf Facebook. Wir kommen gleich drauf. Schauen wir uns im nächsten Schritt an, welche User-Daten prinzipiell abrufbar sind, aus welchem reichhaltigen Menue der App-Anbieter wählen kann.
Welche Datenzugriffsrechte bekommt der Anbieter via „App-Authorization“?
Facebook unterscheidet folgende, gruppierten Zugriffsrechte (lesend, informierend und schreibend), die in der Dialogbox entsprechend angezeigt werden können. Je nachdem, was sich der App-Anbieter zusammengebaut hat, um an Deine Daten zu kommen, das kann etwas weniger, mal etwas mehr sein:
– Allowing email to be sent to the user
– Reading from a user’s stream
– Publishing posts to a user’s stream
– Granting offline access (what used to be known as an infinite session) for your application
– Updating user status
– Uploading and tagging photos
– Creating and modifying events
– Setting a user’s RSVP status for an event
– Sending SMS to the user
– Uploading videos to user profiles
– Writing, editing, and deleting notes on user profiles
– Posting links to user profiles
Klar? Ihr gestattet dem App-Anbieter mit Eurer Einwilligung, nicht nur Eure Daten auszulesen, sondern auch schreibende Zugriffe. Je nach App ergibt sich logischerweise der lesende und schreibende Zugriff auf Eure Facebook-Daten. Nutzt Ihr eine mobile Facebook-App, um die neuesten Beiträge Eurer Freunde anzuzeigen? Dann braucht diese App eben Zugriff auf Deine Daten und die Statusmeldungen Deiner Facebook-Freunde, logisch, oder? Bei manchen Apps muss man sich jedoch die Frage stellen, wozu die App komischerweise mehr wissen will als notwendig? Muss demnach eine Quiz-Applikation wissen, wie es mit Eurer politischen Gesinnung ausschaut? Oder wo Ihr wohnt? Oder mit wem Ihr befreundet seid? Denkt nach ;)
Gehen wir einen Schritt weiter und schauen uns an, was der App-Anbieter über Dich im Einzelnen erfassen kann.
Was weiß Facebook über Dich und worauf darf der App-Anbieter zurückgreifen?
Das, was Facebook über Dich weiß, wird klipp und klar in FB genannt. Auf diese Daten kann der App-Anbieter wie oben beschrieben zurückgreifen, insofern Du diese hinterlegt hast.
Zunächst bekommt er auf Wunsch Zugriff auf Deine persönlichen Daten:
Vorname, Nachname, Geschlecht, Lokation, Username, Link zu Deinem Profil, Deine Zeitzone, Deine letzte Aktivität (Uhrzeit, Datum), Dein About, Deine Bio, Geburtstag, Erziehung&Beruf (Schule, Studium, Ausbildung, Beruf, von wann bis wann, wo, komplett!), Deinen Geburtsort, Deine Mailadresse, Deinen Beziehungsstatus, Dein geschlechtliches Interesse, Deine Religion, Deine politische Ansicht, Deine Webseiten.
Zusätzlich kann er auf Wunsch Deine Facebook-Mails (!!) auslesen, Deine Page- und Gruppenzugehörigkeiten, Deine Events, Deine Likes, Deine Statusupdates in Deiner Timeline, Deine Freunde, Deine Fotos, Videos und entsprechenden Tags, Deine Notes, Deine Alben, Filme, Bücher, Vorlieben, Deine App-Requests. Wenn Du so lieb bist, gestattest Du dem App-Anbieter Zugriff auf Deine eigenen Insight-Statistiken.
Und, der App-Anbieter kann auf Wunsch in Deiner Timeline posten, Events in Deinem Namen erstellen, Eventteilnahmen für Dich bestätigen, SMS und Mails an Dich versenden, lokale Checkins in Deinem Namen ausführen.
Eine recht gierige Anwendung ist z.B. Quora:
Gibt es etwas, was Quora nicht über mich weiß?
Datenzugriff auf Deine Freunde mit inbegriffen
Ach ja, noch eins. Der auslesende Zugriff umfasst nicht nur Deine eigenen Daten. Der App-Anbieter wird automatisch auf nahezu alle Daten Deiner Freunde zugreifen können, weil Du ihm Deine Rechte – Freundesdaten angezeigt zu bekommen – vererbst!! Solange Dir Deine Freunde in ihren Privacy-Settings persönlich einen Zugriff auf ihre Daten freigeben. Wenn ich die Dokumentation richtig verstanden habe, ist dem so. Schau einfach in dieser Tabelle nach, welche Freundesdaten das sind, auf die der App-Anbieter zurückgreifen kann.
Anbei ein Screen zu einer App namens „Branchout“. Achtet mal besonders auf den Bereich „Freunde“
und wenn man sich Details dazu anzeigen lässt, wird der Datenzugriff auch auf die Freundesdaten bestätigt:
Wie steuert Ihr dem entgegen, dass Eure Freundesdaten präsentabel sind?
Wenn Eure Freunde Apps in Facebook den Zugriff gestatten und damit auch ggbfl. Eure Daten weitergeben, müsst Ihr das nicht schulterzuckend hinnehmen. Ihr könnt diesen Zugriff auf „Freundesdaten“ (und damit auf Eure Daten) einschränken. Geht dazu in Facebook auf den Menuepunkt „Account“ -> „Privacy Settings“ -> „Apps and Websites“ (unten links) -> „Info accessible through your friends“ => „Edit Settings“. In der Dialogbox könnt Ihr angeben, was Eure Kontakte über Euch an Apps verraten dürfen und was nicht. Ein Screen anbei von möglichen Einstellungen:
Hakt Ihr alles aus, kann die Facebook-App nicht mehr auf die Freundesdaten zugreifen. In dem Beispiel? Sollte ich Quora den Zugriff gewähren (siehe oben Screen), darf Quora auf die Daten meiner Facebook-Kontakte nahezu komplett zugreifen. Doch, der User hat lediglich gestattet, dass Quora – stellvertretend für alle Facebook-Applikationen – nur auf die Facebook-Profil des Users hinterlegten Webseiten-Links zugreifen kann. Alle anderen Daten der Users sind für Quora tabu und nicht abrufbar. Und ich? Ich sehe Daten des Users wie gehabt. Quora nicht.
Resümee
Angesichts dessen, was Facebook den App-Anbietern für Datenzugriffe erlaubt, inklusive dem Auslesen Deiner Mailbox, sollte man sich beim nächsten Mal die Authorisationsanfrage genauer anschauen, wenn es wieder heißt „Allow“ oder „Deny“. Ich denke, es dürfte auch klar werden, warum Apps gerne kostenlos zur Verfügung gestellt werden. Weil der Anbieter Langeweile hat, Daten auszulesen? Aus Spaß?
Wenn Ihr demnach wissen möchtet, was Ihr welcher App an Datenzugriffen gewährt habt, ruft unter „Account“ -> „Privacy Settings“ -> „Apps and Websites“ (unten links) die Übersicht der bewilligten Apps auf. Anschließend klickt Ihr für eine Detailübersicht auf die einzelne App. Dann bekommt Ihr eine Übersicht wie in den Screens oben.
*obiges Foto von Jordan Prestrot
04.05.2011 um 00:10 Uhr
Danke für die absolute wertvollen Infos !
04.05.2011 um 07:39 Uhr
Robert super Artikel. Danke. :)
Bei mir waen auch alle Freigaben zur Weitergabe angehakt.
Jetzt sind es nur die Webseiten, die weiter gegeben werden dürfen.
04.05.2011 um 07:57 Uhr
Klasse Artikel. Danke.
Ich werde jetzt erst einmal bei Facebook entrümpeln.
04.05.2011 um 08:08 Uhr
Von dir hätte ich einen etwas weniger tendenziösen Artikel erwartet.
Geht es dir darum, sachlich über das Thema aufzuklären (was sicher sinnvoll ist, denn vermutlich denken sich viele tatsächlich nichts dabei, wenn sie eine App autorisieren), oder eher um die Verbreitung Panik?
Formulierungen wie „Die können Daten auslesen. Eure Daten.“ deuten auf letzteres als Motiv hin. Und das ist sehr enttäuschend.
04.05.2011 um 08:16 Uhr
Zum Zugriff auf die „allgemeinen Daten“. Dort steht immer „..i’ve shared with everyone“:
Für mich heißt das eigentlich: Es werden nur Informationen preisgegeben, die ich auch mit allen Teile. Und da kann ich glücklicherweise in den „Benutzerdefinierten Einstellungen“ innerhalb der Privatsphäre-Einstellungen massiv und sehr granular einschränken.
„Alle“ sehen zum Beispiel aktuell gar nichts von mir. Nur Nutzer in speziellen Listen dürfen auf meine Informationen zugreifen etc.
Alle „Freunde“ der Liste „Freunde und Familie“ dürfen mein komplettes Profil einsehen und auch fröhlich kommentieren. Nutzer meiner B-Promi-Liste sind zwar mit mir befreundet und können einige ausgewählte Informationen über mich erfahren, meine Pinnwand sehen sie nicht. Alle anderen dürfen erstmal gar nix.
Wenn nun eine Facebook-App danach fragt ob sie auf die Informationen zugreifen darf, die ich mit allen teile, so gehe ich davon aus, dass diese App nichts weiter über mich erfährt als meinen Namen.
04.05.2011 um 09:16 Uhr
Hallo Robert,
habe einen Versuch eines „Datenschutzkonformen Kommentarfelds“ (Like würde auch so gehen) im Blog PadLive.de eingebunden. So siehts aus:
http://padlive.de/2011/05/bilder-vom-1-wp-blogger-treffen-im-unperfekthaus/
DIe Funktion ist am unteren Ende vom Beitrag.
Viele Grüße aus Essen,
Gerd
04.05.2011 um 09:51 Uhr
@Gerhard, danke, interessante Lösung. Plugin oder handgestrickt?
@Toni ich selbst mache wir wenig Sorgen um meine Daten, da ich das lockerer sehe, doch die ganzen Einstellungsarien von Facebook sind mit der Zeit immer schwieriger zu überschauen. Ist mir bei Tests zusammen mit Nicole aufgefallen, nach dem Motto „was bewirkt jetzt diese Einstellung, oder doch eher die andere…“
@Martin, eigentlich nicht in der Intention, wenn es so rüberkommen kann, stört es mich im Grunde nicht, das muss jeder für sich selbst entscheiden. Der Hinweis, selbst nachzudenken, wenn Apps zuviel Infos wollen, ist entscheidend.
@Tim, Frank, Punet, danke!
04.05.2011 um 10:00 Uhr
Wertvolle Infos – vielen Dank!
04.05.2011 um 10:41 Uhr
@Robert: „Handgestrickt“, noch mit Baustellenschild ;)
04.05.2011 um 13:27 Uhr
Hi Robert, von mir 100 Punkte für den sehr interessanten Artikel.
Gute Arbeit – weiter so!!!!!!!!
04.05.2011 um 13:28 Uhr
Ufff …
Komm Robert, hier habe ich eine super schöne App für Dich.
http://www.facebook.com/socialmemories
Grüße
Marco
04.05.2011 um 15:32 Uhr
Super Artikel!
08.05.2011 um 13:57 Uhr
Danke für den Artikel! Die meisten Berichte, wie Facebook sicher zu machen ist tauchen nicht einmal ansatzweise so in die Tiefe der Materie ein.
14.06.2011 um 21:59 Uhr
Erstmal besten Dank für deinen Artikel.
Der bestärkt mich nur umso mehr, die Finger von Fratzenbuch und Co. zu lassen.
Leute, denkt daran: Je mehr solch eine Datenkrake über euch weiß, umso verwundbarer
seid ihr. Lest den Artikel mal *ganz* genau.
Es lohnt sich. Und wer sich in solch einem Netzwerk immer
noch anmelden will, ist es selbst schuld.