In den letzten Tagen hat im Zuge der Cambridge Analytica-Geschichte eine Nachricht die Runde gemacht: Die mobile App von Facebook hat von (Android-)Nutzern auch Anruf- und SMS-Daten gespeichert. Dass beides in einen Topf geworfen wird, ist richtig. Aber nicht aus den Gründen, weswegen sich viele jetzt aufregen.
Es ist nämlich kein weiteres Fehlverhalten von Facebook. Der Fall zeigt eher, wie das Teilen von Kontaktdaten ohne Erlaubnis der Kontakte (also der Freunde, Familie etc.) die Regel ist und nicht die Ausnahme. An den mobilen Betriebssystemen und der jungen Geschichte der mobilen Apps lässt sich auch leicht zeigen, wie wichtig das ist.
Warum es wichtig ist: Die Diskussion rund um Cambridge Analytica und Facebook erreicht jetzt auch die Kontaktdatenweitergabe von iOS und Android und zeigt noch einmal deutlich die sich diametral gegenüberstehenden Kräfte von Privatsphäre auf der einen und Wunsch nach Wettbewerb zwischen Social Networks auf der anderen Seite. Aktuell sieht es nach einem weitreichenden Verbot der Praxis der Teilung von Kontaktdaten aus (siehe GDPR in Europa). Das wird Facebook auf Jahrzehnte zementieren und neue Social Networks verunmöglichen. Dieser wichtige Aspekt fehlt weiterhin in der breiteren Debatte.
Aber der Reihe nach. Ars Technica:
While scanning the information Facebook had stored about his contacts, Dylan McKay discovered something distressing: Facebook also had about two years worth of phone call metadata from his Android phone, including names, phone numbers, and the length of each call made or received. [...]
This experience has been shared by a number of other Facebook users who spoke with Ars, as well as independently by us—my own Facebook data archive, I found, contained call-log data for a certain Android device I used in 2015 and 2016, along with SMS and MMS message metadata.
Das ist eine Folge der Permissions-Struktur bei Android gewesen, das -ganz Google-Tochter- ebenso wie Facebook relativ laissez-faire gegenüber Datenflüssen auf der Plattform eingestellt war. Wie bei Facebooks Open Graph v1.0, dem längst eingestellten Ursacher des CA-Skandals, sind die Daten, die Android-Apps von Nutzern erhalten können heute nicht mehr so reichhaltig:
Facebook uses phone-contact data as part of its friend recommendation algorithm. And in recent versions of the Messenger application for Android and Facebook Lite devices, a more explicit request is made to users for access to call logs and SMS logs on Android and Facebook Lite devices. But even if users didn't give that permission to Messenger, they may have given it inadvertently for years through Facebook's mobile apps—because of the way Android has handled permissions for accessing call logs in the past.
If you granted permission to read contacts during Facebook's installation on Android a few versions ago—specifically before Android 4.1 (Jelly Bean)—that permission also granted Facebook access to call and message logs by default. The permission structure was changed in the Android API in version 16. But Android applications could bypass this change if they were written to earlier versions of the API, so Facebook API could continue to gain access to call and SMS data by specifying an earlier Android SDK version. Google deprecated version 4.0 of the Android API in October 2017—the point at which the latest call metadata in Facebook user's data was found. Apple iOS has never allowed silent access to call data.
(Hervorhebung von mir)
So weit, so üblich.
Das Problem ist folgendes:
* Sowohl iOS als auch Android erlauben es Nutzern, Apps Zugriff auf ihr Adressbuch zu gewähren.
* Diese Kontaktdaten der Freunde werden ohne deren Wissen oder Zustimmung geteilt. Das ist ein Feature, kein Bug.
* Android erlaubte ursprünglich, problematisch viel auf diesem Weg zu teilen (wie Facebooks Open Graph v1.0!), was mittlerweile nicht mehr der Fall ist. (Ebenfalls wie bei Facebook.)
* Aber: Sowohl iOS als auch Android erlauben es weiterhin Nutzern, Apps Zugriff auf ihr Adressbuch zu geben.
* Das mag man schwierig finden. "Meine Telefonnumer gehört mir!" Aber die Folgen dieser Praxis waren/sind offensichtlich: Whatsapp, WeChat, Threema, Signal, Telegram und unzählige weitere mobile Chat-Apps sind beispiellos schnell gewachsen, weil sie auf diesen Weg schnellen Zugriff auf die engsten Freunde und Familie ihrer Nutzer hatten. Oder anders: Ohne diese Datenportabilität hätte Facebook sich nicht genötigt gesehen, Whatsapp und Instagram übernehmen zu müssen, um diese Gefahren für ihre Vormachtstellung zu eliminieren.
* Die Öffnung des Adressbuchs in den mobilen Betriebssystemen hat direkt zu einer neuen Vielfalt der Social Networks geführt.
Ich habe die sehr gleichen Vorgänge zwischen Facebook als Plattform und Android und iOS als Plattformen mit Adressbuch—Schnittstellen hier versucht grob zu visualisieren:
In der Mitte steht abstrahiert, was passiert. Links die damalige Manifestation bei Facebook, rechts, was heute üblich ist bei Android und iOS.
Das grundlegende „Problem“ ist das Gleiche: Die „unerlaubte“ Weitergabe von persönlichen Informationen durch deren Freunde. Die grundlegende Frage: Braucht es hier eine Erlaubnis oder nicht? (Oder: Ab wann braucht es eine Erlaubnis?)
Es ist deshalb sehr kurzfristig gedacht von Apple-CEO Tim Cook, wenn er mit Blick auf Facebook und Google eine Regulierung fordert, die das Teilen der Kontaktdaten unterbindet. via Axios:
[...]for stronger privacy regulations that prevent the misuse of data in the light of the controversial leak of Facebook user information[...]
Wie kann eine Regulierung Facebook treffen aber nicht das iOS-Adressbuch? (Wie wir gleich am Beispiel von GDPR sehen werden, geht diese Unterscheidung nicht, wenn es um Erlaubnis von Datenflüssen geht.)
Benedict Evans fasst es konzis auf Twitter so zusammen:
if you install an iPhone app, it asks for your address book, and you say yes, it just got a few hundred people’s phones, email and maybe home addresses. Without their consent. Is that a ‘breach’? What if it sends them to a marketing company? Who’d be to blame?
Was ist die Folge, wenn diese Praxis wegreguliert wird?
Kein neues Whatsapp oder Instagram.
Ein neues Social Network hat es heute bereits schwieriger als diese beiden. Beide mussten, rein mobil, nur gegen Facebook antreten, das noch auf dem beschwerlichen Weg vom Desktop zum Smartphone war. Beide hatten das Adressbuch (und im Falle von Instagram zusätzlich Twitter) als Vorteil.
Ein neuer Player heute muss sich gegen diese beiden Facebook-Töchter, Facebook selbst (mit Messenger), Snapchat und andere Chat-Apps behaupten. Snapchat und diese "anderen Chat-Apps" tun sich selbst bereits schwer gegen die Marktführer.
Ein Verbot der Nutzung der vorhandenen Kontaktdaten hat vor allem einen Effekt: Es schreibt die Großen weiter fest.
Daten sind nicht nur das neue Öl weil sie wertvoll sind, sondern auch weil nur ihr Einsatz Reibung verringern kann. Darf man sie nicht einsetzen: Viel Reibung, viel Monopol. So einfach ist das leider.
Für Apple bedeutet das bei einem Verbot der App-Zugriffe aufs Adressbuch zum Beispiel mittelfristig auch, dass sie (und Android) mit Facebook einen Player haben, der allen industrialisierten Ländern, wie WeChat in China, so mächtig ist, dass er sich nur noch bedingt bis gar nicht an die rigiden Appstore-Regeln halten muss.
Mittelfristige Prognose also: Je mehr der Markt für Social Networks kein Markt mehr ist, desto eher kann Facebook beginnen, eine Plattform für Transaktionen aller Art in die mobilen Apps einzubauen; analog zu WeChat und unter iOS eigentlich verboten. (Und da alles bei Facebook bleibt, müssen auch keine Freundedaten geteilt werden.)
~
neunetz.com per Email abonnieren!
Email-Adresse eingeben:
~
Was Regulierung für Startups bedeutet, hat Techcrunch gut hier zusammengefasst:
You know what tech startups hate? Complicated legal compliance. The problem is, Facebook isn’t a startup any more, but its competitors are.
Startups beschäftigen in der Regel kein Team an Anwälten, denn Geld und Zeit sind knapp. In Bereichen wie Social Networking sollte das auch nicht unbedingt nötig sein.
#DeleteFacebook ist bereits aufgrund der aktuellen Situation der Social Networks relativ sinnlos, weil es keine ernsthaften1 Alternativen zu Facebook und dessen Töchtern gibt. Jede Form von Regulierung sollte diese Markttendenz mitdenken; und sie auf keinen Fall weiter verstärken.
Techcrunch über eine mögliche Regulierung, die kaum hiesige Datenschützer zufriedenstellen dürfte:
That could mean only requiring certain transparency and privacy protections from apps over a certain size, like 200 million daily users. This would put the cap a bit above Twitter and Snapchat’s size today, giving them time to prepare for compliance, while immediately regulating Facebook, Messenger, Instagram, WhatsApp, and Google’s social problem child YouTube.
Still, with Facebook earning billions in profit per quarter and a massive war chest built up, Mark Zuckerberg could effectively pay his way out of the problem. That’s why it makes perfect sense for him to have told CNN “I’m not sure we shouldn’t be regulated” and that “There are things like ad transparency regulation that I would love to see.” Particular regulatory hurdles amount to just tiny speed bumps for Facebook.
Zum Abschluss zurück zur Datenportabilität: GDPR unterbindet das Teilen von Vernetzungen. Soweit ich das verstehe, verbietet die bald in Kraft tretende GDPR für Europa also bereits das Teilen des Adressbuchs, das Whatsapp und co. schnell hat wachsen lassen.
iOS und Android werden diese Funktion für Europa abschalten müssen. Der Markt für Social Networks wird in Europa also bereits dicht gemacht.
Gegenargumente?
—
Was bisher geschah:
- Facebook wusste vom Datenbreach seit Ende 2015 -> Regulierung ist jetzt unausweichlich
- Wortwahl! Die unerlaubte Zweckentfremdung der Daten durch Cambridge Analytica war kein Datenbreach
- Das größte Opfer des Cambridge-Analytica-Falls wird Datenportabilität sein, und Facebook wird weiter verfestigt
- Warum Datenportabilität in GDPR Facebook als Marktführer festschreibt
- Bitte mir keine Liste mit Apps mit vergleichbaren Features schicken. "Ernsthaft" heißt nicht technisch vergleichbar sondern: Meine, deine, unsere Freunde, oder wenigstens eine Handvoll von ihnen, sind dort. Snapchat ist weit und breit der einzige Kandidat dafür. Alles andere ist Code-Kosmetik vor leeren Hallen. ↩