Datenskandal: Facebook wollte Anruflisten und SMS ohne Einwilligung
Das britische Parlament hat rund 250 Seiten interner Dokumente aus dem Rechtsstreit zwischen Facebook und dem App-Entwickler Six4Three veröffentlicht(öffnet im neuen Fenster) , die es in der vergangenen Woche in einem präzedenzlosen Vorgang beschlagnahmt hatte . Daraus geht unter anderem hervor, dass Facebook 2015 versuchte, seiner Android-App neue Berechtigungen zu verleihen, ohne dass Nutzer den entsprechenden Dialog im Play Store zu sehen bekommen.
Facebook wollte demnach den Zugriff auf die Anrufhistorie und die SMS der Nutzer, die es Berichten vom März zufolge dazu nutzen wollte, die eigenen Algorithmen und die Funktion vorgeschlagener Freunde zu verbessern. Die nun gegen den Willen Facebooks veröffentlichten internen E-Mails zeigen, wie Facebook die damit verbundenen Risiken für das öffentliche Image des Unternehmens abgewogen und die Funktion daran angepasst hat.
"Ziemlich hohes Risiko"
Offenbar war den Facebook-Entwicklern wohl bewusst, wie sensibel solche persönlichen Daten sind und welche Risiken deren Nutzung birgt: "Das birgt aus PR-Perspektive ein ziemlich hohes Risiko, aber es sieht so aus, als wollte das Growth-Team das wirklich machen" , schrieb ein Produktmanager in einer internen E-Mail am 4. Februar 2015. Um die gewünschten Daten zu bekommen, brauchte Facebooks Android-App eine neue Zugriffsberechtigung für die Anrufhistorie von Smartphones ('Read Call Log'), deren Erlangen bei der Aktualisierung der App über den Play Store ein Informationsfenster angezeigt hätte, dem Nutzer hätten zustimmen müssen.
Das Growth-Team, also die Abteilung, die für das Mitgliederwachstum bei Facebook verantwortlich ist, wollte dagegen offenbar sicherstellen, dass Nutzer von der erweiterten Datensammlung nichts mitbekommen. Wegen des damals recht löchrigen Berechtigungssystems in Android fanden die Facebook-Entwickler demnach einen Weg die Anrufhistorie ohne zusätzliche Berechtigungen einzusammeln.
"Nach unseren ersten Tests sieht es so aus, als könnten wir Nutzer auf die neue Funktion upgraden, ohne sie einer Zugriffsberechtigungsabfrage auszusetzen" , schrieb Facebooks Privacy Sherpa Yul Kwon in einer der veröffentlichten E-Mails. Es sei weiterhin eine große Änderung, Nutzer müssten also die App aktualisieren. "Aber ohne Berechtigungsdialog."
Pickt das Parlament Rosinen?
Facebook verteidigte am Mittwoch in einer Stellungnahme(öffnet im neuen Fenster) seinen Umgang mit den persönlichen Daten seiner Nutzer. Die durch das britische Parlament veröffentlichten Dokumente seien "Rosinenpickerei" , zeigten "nur eine Seite der Geschichte" und unterschlügen "wichtigen Kontext" . "Wir suchen immer nach dem besten Weg, Nutzer nach ihrer Einwilligung zu fragen" , behauptet Facebook, "ob über die Berechtigungsdialoge des Betriebssystems wie Android oder iOS oder über eine Einwilligung innerhalb der Facebook-App." In der veröffentlichten internen E-Mail-Diskussion sei es laut Facebook nicht darum gegangen, zu vermeiden, Nutzer um ihre Einwilligung zu fragen.
Yul Kwons Rolle wurde einmal als "der Typ, der zwischen Facebook und dessen nächstem Privacy-Desaster steht" beschrieben(öffnet im neuen Fenster) . Da war er in diesem Fall offenbar weniger erfolgreich.