Facebook stellte gestern ein überarbeitetes Datenschutz- und Privatsphärekonzept vor, welches in den kommenden Tagen weltweit umgesetzt wird. Damit reagierte das Unternehmen auf Beschwerden, dass Privatsphäreneinstellungen unverständlich und versteckt seien bzw. viele Daten nicht mehr geschützt sein. In beiden Punkten bessert facebook nun nach: Die Einstellungen sind übersichtlicher gestaltet und sind damit verständlicher und außerdem können nun wieder umfassender Daten geschützt werden.

Google wartet gleich mit zwei datenschutzrechtlichen Neuerungen auf, beide hinsichtlich des Analysetools Google Analytics. Google Analytics war im November von den deutschen Datenschutzbehörden heftig kritisiert worden, da es einerseits die IP-Adresse als personenbezogenes Datum ohne Einwilligung des Betroffenen erhob und gleichzeitig auch noch ein (“Bewegungs-”) Profil des Betroffenen erstellt. In beiden Punkten bietet Google nun eine Abhilfe an. Seitenbetreiber können nun Google Analytics ergänzt um den Code „_anonymizeIp()“ und angepasster Datenschutzerklärung wieder einsetzen. Weitere Infos dazu, hat der Datenschutzbeauftragte Online zusammen gestellt. Wer nicht möchte, dass Google überhaupt Daten im Rahmen von Google Analytics erfasst, dem bietet Google ein Opt-Out AddOn für InternetExplorer und Firefox an. Das AddOn deaktiviert den Google Analytics Schnipsel und verhindert somit die Erstellung eines Profils durch Google.

Die drei Änderungen mögen für sich genommen, keine große Änderung sein und machen aus beiden Unternehmen sicherlich noch keine Vorreiter des Datenschutz. Auch in Zukunft werden wohl beide in einem (mehr oder weniger) gesunden Spannungsverhältnis zum Datenschutz agieren. Doch die Änderungen zeigen, dass anhaltender Protest von Datenschützern und die zunehmende Sensibilisierung der Nutzer auch Platzhirsche wie Google und facebook zur Reaktion zwingt.

Die vorgeschlagenen E-Mail Adressen kommen mir bekannt vor. Drei der vier Vorschläge sind jedoch nicht mehr in Verwendung und teilweise  schon seit Jahren deaktiviert. Die Vorschläge sind nicht zufällig gewählt, da unter den Vorschlägen auch Adressen sind, die nicht zu einem gängigen E-Mail Hoster gehören. Es dürfte sich dabei um Daten handeln, die Facebook aus dem Upload von Adressbüchern gewinnt und intern entsprechenden Nutzern zu ordnet.

Ich denke, es ist an der Zeit für eine Datenschutzauskunft nach § 34 BDSG, welche Daten Facebook über einen gespeichert hat, die NICHT im Profil freigegeben sind. Mal schauen, ob da eine Antwort kommt. Der Datenschutzbeauftragte der Stadt Hamburg würde bei Nichtauskunft sicherlich mit Vergnügen eines dieser neuen Bußgelder verhängen. :)

Wie mit jeder Umstellung, werden gleichzeitig die Privatsphäreeinstellungen für solche Informationen verändert. Von “only Friends” werden diese Informationen im Nu jedermann sichtbar. Die Sichtbarkeit von Informationen nennt facebook “visibility” und nur diese kann man in den Einstellungen festlegen. Mit anderen Worten: Informationen die in Facebook veröffentlich werden, sind öffentlich. Wenn man Glück hat und seine Einstellungen richtig setzt, kann sie nur nicht jeder sehen!

EFF behauptet in ihrem Artikel “Six things you need to know about Facebook Connections” übrigens auch, dass Informationen und Connections nicht gelöscht werden, sondern nur ausgeblendet, wenn man sie aus dem Profil entfernt. Die verbundenen Seiten könnten weiterhin auf diese Daten zurückgreifen. Ob dies stimmt und woher EFF diese Informationen nimmt ist unklar. Bei der Suche durch die Einstellungen von Facebook ist mir jedoch eines aufgefallen: Schaut man sich in den Apps Einstellungen um, findet man eine Liste aller Apps die man seit seiner Registrierung mal genutzt hat, auch wenn sie nach wenigen Minuten schon gelöscht wurden. Einfach auf der mittlerweile gut versteckten Apps-Einstellungsseite den unteresten Reiter öffnen, welche Apps nie auf das eigene Profil posten dürfen…

Wie immer gilt: Drum prüfe, welche Informationen du wirklich bei facebook veröffentlichst!

Für alle die eigentlich die Einhaltung deutschen Datenschutzrechts gewöhnt sind, ist der zweite Link besonders wichtig, denn hier geht es zu den Privatsphäreeinstellungen. Dort ist (natürlich) voreingestellt, dass man an dem Programm teilnimmt. Wer das Häkchen entfernt, bekommt für die Einhaltung seiner Rechte auch noch einen Warnhinweis:

Auf der deutschen Seite von Facebook fehlt der Opt-Out link derzeit noch. Ob das ein Hinweis darauf ist, dass es in Deutschland vielleicht doch ein Opt-In geben wird? Ich bezweifele es, lasse mich aber gerne überraschen.

Doch natürlich enthält der Entwurf jede Menge Neuheiten die einem Datenschützer nur so die Haare zu Berge stehen lassen:

1. Wie bereits bekannt, stößt man auf facebook nicht nur auf facebook.com und den dort verfügbaren Programmen/Spielen sondern auf unzähligen Seiten (etwa heute.de, die aber gerne mal den Datenschutz bei Facebook kritisieren.). Mit diesen Programmen und Webseiten, die die Facebook-Plattform eingebunden haben und die der User nutzt (also das Programm autorisiert hat oder ein Fan von der Webseite ist), teilt Facebook sämtliche “Jedermann” Daten. Das sind neben Namen und Profilbild sämtliche Daten die der User als solche freigegeben hat. Diese Daten werden nach Aussage von Facebook künftig
   

   “ohne datenschutzbezogene Einschränkungen importiert, exportiert, weitergegeben und sonst weitergeleitet”.

   Wer also (künftig) auch nur irgendwelche Daten mit der Einstellung “Jedermann” (Everyone) veröffentlicht, sollte wissen, dass diese Daten wohl für immer und ewig im Netz herumgeistern werden.

2. In diesem Zusammenhang steht auch ein neues Feature von Facebook: “Überprüfte Webseiten und Anwendungen”. Bisher teilte Facebook die vorgenannten Informationen nur mit Programmen oder Webseiten, die der Facebook-User freigegeben hat. Dies wird sich künftig ändern. Denn in Zukunft wird es Webseiten und Programme geben, die nicht vom User autorisiert werden sondern von facebook selbst (meist bietende bitte vortreten). Wenn ein Facebook User eine solche Seite im Netz ansurft, werden automatisch seine (jedermann) Daten an diese Seite weitergeleitet. Welche Seiten und Programme das sind, steht bislang noch nicht fest. Dieses neue Feature wird natürlich in klassischer (amerikanischer) Facebook-Art natürlich als (verstecktes) Opt-Out Verfahren eingeführt. Vom Double Opt-In ist facebook noch weit entfernt.
3. Es mag vielleicht keine Neuerung sein, aber es ist eine Klarstellung: Jedermann-Daten können nicht nur durch eigene Freigaben oder den Besuch solcher “überprüften” Webseiten und Programme weitergegeben werden, sondern auch durch die Freigaben und den Besuch von “Freunden” auf solchen Seiten und Programmen:
   

   Wenn ein Freund/eine Freundin von dir eine Verknüpfung zu einer Anwendung oder Webseite herstellt, ist diese in der Lage, auf deinen Namen, dein Profilbild, Geschlecht und auf sonstige Informationen Zugriff zu nehmen, die du “Jedermann” zugänglich gemacht hast.

4. Eine weitere Neuerung ist die Einführung von standortbezogenen Daten. Dies hatte Facebook bereits im vergangenen Jahr angekündigt und wird wohl nun umgesetzt. Diese Daten über den aktuellen Aufenthaltsort eines Users werden künftig ebenfalls an Programme und Webseiten weitergegeben, damit diese besser mit dem User interagieren können. Oder weniger Marketinglastig ausgesprochen: Ein Bewegungsprofil erstellen können.

Alles in allem enthält die neue Datenschutzrichtlinie weitreichende Ergänzungen und Änderungen und es ist nur jedem Facebook-Mitglied zu empfehlen sich dies genau anzuschauen (am besten im Vergleichmodus von Word oder im engl. Redline) und seine Privatsphären-Einstellungen im Auge zu behalten. Bei diesen Entwicklungen ist jedenfalls von einem allzu leichtfertigen Umgang mit Facebook abzuraten, will man nicht irgendwann böse Überraschungen erleben, wo auf einmal persönliche Daten von einem auftauchen. Von der Einhaltung deutschen Datenschutzrechtes ist facebook wohl noch weit entfernt.

Wer sich dem Datenschutz verpflichtet fühlt, sollte allerdings nicht nur mit medial groß angekündigten (aber letztlich nur leicht veränderten) Privatsphärenverbesserungen für sich werben sondern auch den Schutz der Daten wirklich ernst meinen. Dazu gehört eigentlich auch ein möglichst geringer Datenhunger. Sollte man meinen.

Das eben veröffentlichte Update 3.1 von Facebook für das iPhone spottet diesem Grundsatz allerdings schon in den Release Notes: “Sync friends with your address book” heißt eine der beiden Neuerungen. In den Einstellungen heißt es dann nur lapidar “Füge Facebook Profilbilder und Links zu deinen Kontakten hinzu”. Das klingt harmlos. Doch was kommt denn dann?

Eine Einwilligungserklärung. Ein Novum bei Facebook. Aber wozu eigentlich? Es sollen doch nur Daten von Facebook in das eigene Adressbuch kopiert werden…? Der Hinweistext belehrt einen besseres. Zunächst werden nämlich sämtliche Kontakte aus dem Adressbuch an Facebook gesendet. Was passiert mit den Daten dort? Bestenfalls sollten die Daten dort mit der Freundesliste abgeglichen werden, der App mitgeteilt werden, welche Kontakte bearbeitet werden können und die Daten anschließend gelöscht. Mehr eigentlich nicht. Jedenfalls erfolgt der Download des Profilbildes eines Kontaktes ganze ohne die Zustimmung des jeweiligen Nutzers. Schnell und unkompliziert, sind Bilder und Daten, die man auf Facebook eingestellt (und auch nur dort wähnt) lokal im Adressbuch gespeichert. Da nutzt der Hinweis, dass man doch bitte vorher die Zustimmung der “Freunde” einholen möge, nicht wirklich viel weiter. Eine antizipierte Einwilligung kennt das Datenschutzrecht nicht. Unklar ist, inwiefern man selbst beeinflussen kann, ob etwa das eigene Profilbild von anderen in lokalen Adressbüchern gespeichert werden kann. Eine Einwilligung der synchronisierten Nutzer holt Facebook nicht ein. Es wäre allerdings nur logisch, wenn Facebook sich hier an die Vorgaben der Nutzer in den “Privatsphäre Einstellungen” halten würde. Der Hinweistext suggeriert etwas anderes… leider.

Die nächste Irreführung wartet auch schon, wenn man sich die Möglichkeiten anschaut “Ich stimme nicht zu” und “ich stimme zu”. Die erste rot hinterlegt, die andere Schwarz. Rote Tasten sehen immer irgendwie gefährlich aus, oder? Da drückt man intuitiv erstmal auf die schwarze Taste, da kann nicht viel passieren… denkt man.

Da der Username ein Teil der URL wird, kann er konsequenterweise auch nur einmal vergeben werden. Facebook ist bei seinen Usernamen noch weitergegangen. Wurde ein Username einmal in Verbindung mit einem Account registriert, so kann dies nicht mehr geändert werden und der Username ist dauerhaft blockiert.

First come, first serve, wird man sich denken. Soweit nichts besonderes im digitalen Zeitalter. Doch mit der dauerhaften Bindung an ein Account ohne weitere Prüfung ist Missbrauch Tür und Tor geöffnet. Insbesondere eingetragene und international bekannte Marken könnten als Usernamen missbraucht werden. Diese Gefahr hat Facebook jedoch erkannt und um möglichen Streitigkeiten aus dem Weg zu gehen, wurde Firmen die Gelegenheit gegeben ihre Marken selbst zu nutzen in Verbindung mit werblichen “Pages”.

Damit wollte Facebook offensichtlich bereits im Vorfeld Streit mit Markeninhabern (etwa Microsoft, RalphLauren) oder berühmten Persönlichkeiten (http://www.facebook.com/barack.obama) aus dem Weg gehen.

Sollte tatsächlich ein Fall des Missbrauchs vorliegen, bietet Facebook dem Rechteinhaber die Möglichkeit sich per Webformular an Facebook zuwenden.

Das WordPress-plugin Wordbook bindet allerdings die Beiträge direkt ein und somit nur noch auf der eigenen Wall und nicht mehr im Stream der eigenen Freunde, was für die Verbreitung der Artikel doch eher nachteilig ist. Doch die Abhilfe war nicht weit. Sie kommt allerdings in Form einer neuen Facebook-Application entwickelt von James Andrews: FullCircle.

FullCircle bietet außerdem zahlreiche weitere Features: Neben facebook verwaltet das plugin auch die Integration nach Twitter und man kann in jedem einzelnen Beitrag optional entscheiden, ob der Artikel tatsächlich über die beiden Dienste veröffentlicht werden soll oder nicht.

FullCircle hat allerdings einen kleinen Haken zur Zeit. Da der Blogbeitrag als Link (und nicht als Note!) in Facebook gepostet wird, übernimmt facebook das erst beste Bild, dass es in passender größe im Quelltext finden kann. Das hat bei der Verwendung von Badges und Werbung den nachteil, das völlig unzusammenhängende Bilder verwendet werden.

Folgende Abhilfe habe ich gefunden: Da facebook das erste Bild aus dem Quelltext nimmt habe ich am Ende des Headers eine 100px große Version meines Logos eingefügt mit folgendem Code:

<img src="http://www.BILDURL.de/BILD.png" style="display:none;" />

Der Code bewirkt, dass beim normalen Betrachten des Blogs, das Bild nicht angezeigt wird. facebook allerdings ignoriert die style-Anweisung und übernimmt das Bild.

Et voila. :-)

Jetzt fehlt nur noch die Integration von twitter. ;)

Wer noch nicht in den Genuss der neuen Homepage kommt, kann sich die Tour anschauen.

Die Nutzer von facebook sollen bei der Gestaltung und Umstellung mitwirken. Sie haben u.a. die Möglichkeit im Vorfeld ihre Meinung in den oben verlinkten Gruppen zu äußern und über die Änderungen abzustimmen.