Facebook hat anderen großen Tech-Unternehmen weitreichenden Zugriff auf Nutzerdaten ermöglicht - in einigen Fällen ohne Wissen der Nutzer. Wie umfassend die Zugriffsrechte von Microsoft und Amazon über Yahoo bis Netflix waren, geht aus einer Recherche der New York Times hervor. Die Reporter werteten 270 Seiten interner Dokumente aus und sprachen mit 60 Personen, darunter ehemalige Angestellte von Facebook.
Es geht um maßgeschneiderte Deals von Facebook mit 150 Unternehmen - unter denen sich auch das Digitalangebot der New York Times selbst befindet. Sie konnten Daten der Nutzer abgreifen, selbst wenn diese überhaupt keinen direkten Kontakt mit den Unternehmen gehabt hatten. Dieser mindestens sorglose Umgang mit Nutzerdaten verstößt möglicherweise gegen eine Vereinbarung Facebooks mit einer US-Aufsichtsbehörde.
Fahrlässig oder mit Vorsatz?
In jedem Fall aber ist die Enthüllung peinlich für Facebook. Im Zuge des Falls Cambridge Analytica, in dem externe App-Entwickler unkontrolliert Daten des sozialen Netzwerks abgreifen konnten, hatten Konzernchef Mark Zuckerberg und Geschäftsführerin Sheryl Sandberg immer wieder beteuert, den Datenzugriff für andere Firmen seit 2014 deutlich eingeschränkt zu haben. Dem Bericht der Times zufolge ging die Praxis für ausgewählte Unternehmen danach aber noch Jahre weiter.
Demnach beinhalteten die Abmachungen unter anderem:
- Nachrichten, die Nutzer einander auf Facebook schrieben, waren jahrelang noch weniger privat als gedacht. Drittfirmen wie Spotify, Netflix und die Bank of Canada hatten nicht nur Lese- sondern auch Schreibrechte für private Nachrichten. Das bedeutet: Die Unternehmen waren nicht nur in der Lage, Facebook-Nutzer auszuspionieren, sie hätten die Nachrichten auch verändern können. Es ist völlig unklar, warum diese Fähigkeit nötig gewesen sein soll, um eine Verbindung zu Facebook in ihre Dienste zu integrieren, sodass Nutzer zum Beispiel Lieder von Spotify leicht auf Facebook teilen konnten. Nutzer sollten so Facebook-Nachrichten direkt aus der Spotify-Desktop-App verschicken können. Die Unternehmen erklärten allerdings, gar nicht gewusst zu haben, dass sie so weitreichende Eingriffsrechte gehabt hätten. Es ist auch kein Fall bekannt, in dem sie von dieser Möglichkeit Gebrauch machten. Ein Sprecher von Netflix schrieb in einer Stellungnahme, das Empfehlungs-Feature für den Facebook-Messenger sei 2015 abgeschaltet worden, und weiter: "Zu keinem Zeitpunkt haben wir auf private Nachrichten von Personen auf Facebook zugegriffen oder um die Möglichkeit dazu gebeten."
- Die Dokumente verraten der Times zufolge auch etwas über die mysteriöse Facebook-Funktion "Personen, die du kennen könntest". Sie verunsichert Mitglieder des Netzwerkes seit Jahren, weil sie Verbindungen mit Menschen herstellt, die nichts mit dem Facebook-Freundeskreis der Betroffenen zu tun haben. Nutzer und Journalisten mutmaßen, dass sie in Teilen auf Verbindungen außerhalb Facebooks basiert - die manche Mitglieder aber aus privaten oder beruflichen Gründen nicht mit ihrem Facebook-Leben vermischen wollen. Dem Bericht zufolge nutzte Facebook Kontaktlisten von Amazon, Huawei und Yahoo, um Nutzern mögliche neue "Freunde" vorzuschlagen.
- Amazon konnte dem Bericht zufolge Namen und Kontaktinformationen von Nutzern herausfinden, ohne mit diesen direkt Kontakt gehabt zu haben. Das Unternehmen griff sie über die Freundeslisten von deren Facebook-Kontakten ab - ohne dass die Betroffenen dies mitbekamen.
- Yahoo konnte wohl noch diesen Sommer Beiträge von Nutzern sehen, die gar keinen Kontakt mit dem Unternehmen hatten, auch Microsofts Suchmaschine Bing konnte bis 2017 auf Daten nichtsahnender "Freunde" von Nutzern zugreifen - obwohl Facebook erklärt hatte, diese Möglichkeit 2014 abgeschafft zu haben.
Facebook gab zu, einige Schnittstellen nicht geschlossen zu haben, auch nachdem die heiklen Features offiziell abgeschafft worden waren. Das Unternehmen hatte die vollständige Absicherung seiner Nutzerdaten demnach also jahrelang verschleppt.
Hat Facebook gegen eine Vereinbarung mit der Aufsichtsbehörde FTC verstoßen?
Die neuen Informationen über Zugriffmöglichkeiten Dritter könnten Konsequenzen für Facebook haben. Mehrere Fachleute äußerten, das Unternehmen könnte gegen eine Abmachung mit der Handelskommission FTC verstoßen haben, die in den USA über den fairen Wettbewerb wacht. Die Vereinbarung sieht vor, dass Nutzer informiert werden müssen, wer wie auf ihre Daten zugreift. Diese Abkommen mit dem Staat, die auch Google und Twitter geschlossen haben, gehören zu den wenigen Datenschutz-Regeln, die es in den USA überhaupt gibt. Das Land verfügt nicht über ein umfassendes rechtliches Datenschutz-System wie die Europäische Union und Deutschland.
Facebooks Rechtfertigung klingt abenteuerlich: Die Drittunternehmen habe man als Erweiterungen von Facebook selbst angesehen, zitiert die New York Times Steve Satterfield, im Konzern für den Datenschutz der Nutzer zuständig. Deshalb habe man Facebook-Nutzer auch nicht gesondert um Erlaubnis fragen müssen, was diese anderen Unternehmen mit ihren Daten machen dürfen. Die Unternehmen seien vertraglich verpflichtet, die Informationen nicht zu missbrauchen. (Facebooks schriftliche Stellungnahme lesen Sie hier.)
Alex Stamos, der ehemaliger Sicherheitschef von Facebook, wies auf Twitter darauf hin, dass der Zugang, den Facebook Drittanbietern zu seinem Ökosystem gewährt, im Sinne des Wettbewerbs sei. Würde Facebook anderen Unternehmen den Zugang verweigern, würde es noch mehr Marktmacht gewinnen. Er kritisierte die New York Times dafür, diesen Vorgang zu "skandalisieren". Zugleich warf Stamos seinem ehemaligen Arbeitgeber aber vor, die Namen und Zugriffsrechte der Drittanbieter nicht von sich aus transparent zu machen.
