Aus Anlass des aktuellen Datenskandals ist Mark Zuckerberg in den letzten Tagen im US-Kongress befragt worden. Wie in den Wochen zuvor setzte der Facebook-Gründer darauf, für einzelne Fehler um Verzeihung zu bitten und Besserung zu geloben. Doch die momentane Kritik an dem Datenkonzern lieferte dafür nicht die erste Gelegenheit. Im Gegenteil: Facebooks Geschichte ist voll von Entscheidungen, bei denen das Unternehmen seine Profitinteressen über das Wohl seiner Nutzer*innen stellt – und voll von Entschuldigungen.
Die Strategie des Unternehmens folgt dabei immer dem gleichen Schema und enthält immer die folgenden Komponenten:
- Partielles Schuldeingeständnis und Entschuldigung,
- Beteuerung des guten Willens,
- Hervorhebung schon existierender Werkzeuge, die Nutzer*innen wohl übersehen haben / zu kompliziert fanden,
- Ankündigung neuer Werkzeuge und Mechanismen, mit denen Fehler nicht noch einmal passieren sollen.
Daher folgt hier, ohne Anspruch auf Vollkommenheit, eine Chronologie der Facebook-Entschuldigungen. Wenn wir Ereignisse vergessen haben, freuen wir uns über einen Hinweis. Inspiriert wurden wir von den sehr lesenswerten englischsprachigen Überblicken der Washington Post, von Wired und dem Blogeintrag des ehemaligen FTC-Direktors David Vladeck.
November 2003: Anfänge als „Hot or Not“-Seite für Harvard-Studierende
Passenderweise beginnt Facebooks Geschichte quasi mit einer Entschuldigung. In einer ersten Version diente die Seite bei ihrer Gründung 2003 als öffentliches Bewertungstool für die Attraktivität von Mitstudierenden an Zuckerbergs Universität Harvard. Noch unter dem Namen „Facemash“ hatte Zuckerberg Fotos von Kommiliton*innen veröffentlicht, damit andere sie nach dem Muster „Hot or Not“ bewerten können. Nach Beschwerden und einer Vorladung vor den Verwaltungsrat Harvards entschuldigte sich Zuckerberg, nahm die Seite vorerst wieder offline und überarbeitete das Konzept.
September 2006: Einführung des Newsfeeds
Anfangs gab es auf Facebook noch keine Funktion, die Posts befreundeter Nutzer*innen sortierte und zusammenfließen ließ. Einträge waren nur auf der Seite des jeweiligen Users sichtbar, wie bei einem Gästebuch. Als 2006 plötzlich die Einträge der Nutzer*innen zentral im neuen Newsfeed angezeigt wurden und jede Äußerung ohne Vorwarnung erheblich mehr Sichtbarkeit erhielt, gab es starken Protest. Zuckerberg entschuldigte sich kurze Zeit später:
We really messed this one up. […] This was a big mistake on our part, and I’m sorry for it. But apologizing isn’t enough. I wanted to make sure we did something about it, and quickly. So we have been coding nonstop for two days to get you better privacy controls.
Das haben wir wirklich vermasselt. […] Das war ein großer Fehler unsererseits, und das tut mir leid. Aber sich zu entschuldigen ist nicht genug. Ich wollte sichergehen, dass wir etwas ändern und zwar schnell. Also haben wir ohne Pause zwei Tage lang gecodet, um euch bessere Datenschutzeinstellungen anzubieten.
Dezember 2007: Tracking von Online-Einkäufen
Anfang November 2007 startete Facebook das Werbe-Feature „Beacon“. Mithilfe von Tracking-Pixeln und Cookies wurden Daten über Online-Einkäufe der Nutzer*innen bei Facebook-Partnern an die Plattform gesendet. Anfangs wurden die Einkäufe ohne Zustimmung der User im Newsfeed veröffentlicht. Nach massiven Beschwerden schuf Facebook eine Opt-Out-Möglichkeit. (Die New York Times hat eine gute Übersicht zu den verschiedenen Stadien der Funktion erstellt.)
Doch der Forscher Stefan Berteau fand kurz danach heraus, dass trotz Opt-Out weiter Daten über Einkäufe an Facebook gesendet wurden – sie wurden nur nicht mehr in der Timeline veröffentlicht. Am 5. Dezember äußerte sich Mark Zuckerberg ausführlich und erklärte:
We’ve made a lot of mistakes building this feature, but we’ve made even more with how we’ve handled them. We simply did a bad job with this release, and I apologize for it.
Mit dem Erstellen dieser Funktion haben wir viele Fehler gemacht, aber noch mehr beim Umgang damit. Wir haben einfach einen schlechten Job mit diesem Release abgeliefert, und ich entschuldige mich dafür.
Im selben Post verkündete er, dass Facebook das Beacon-System auf Opt-In geändert habe und Nutzende es mit einer neuen Datenschutzeinstellung komplett deaktivieren könnten.
Mai 2010: Daten für Werbekunden
Am 21. Mai 2010 berichtete das Wall Street Journal, dass Facebook, Myspace und andere Soziale Netzwerke persönliche Daten an Werbepartner senden würden. Beim Anklicken von Werbeanzeigen auf dem Sozialen Netzwerk sollen im Referrer, also dem Verweis, welche Webseite der*die Nutzer*in vorher genutzt hat, der jeweilige Username oder die ID mitgeschickt worden sein. Das erlaubte eine direkte persönliche Zuordnung. Facebook-Gründer Zuckerberg antwortete auf Beschwerden prompt mit einer Entschuldigung in der Washington Post:
Sometimes we move too fast – and after listening to recent concerns, we’re responding. […] Our intention was to give you lots of granular controls; but that may not have been what many of you wanted. We just missed the mark. We have heard the feedback. There needs to be a simpler way to control your information. In the coming weeks, we will add privacy controls that are much simpler to use.
Manchmal schreiten wir zu schnell voran – und nachdem wir aktuellen Bedenken zugehört haben, antworten wir. […] Unsere Intention war es, euch viele feinstufige Kontrollwerkzeuge zu geben; aber das war vielleicht nicht, was viele von euch wollten. Wir haben einfach das Ziel verfehlt. Wir haben euer Feedback gehört. Es braucht einen einfacheren Weg, eure Informationen zu kontrollieren. In den kommenden Wochen werden wir Datenschutzeinstellungen anbieten, die einfacher zu bedienen sind.
November 2011: Irreführende Behauptungen und Datenabfluss an App-Anbieter
Die in den USA für Verbraucherschutz zuständige Federal Trade Commission befand im November 2011, dass Facebook seine User wiederholt falsch oder missverständlich über Datenschutzeinstellungen informiert hatte und somit gegen den Federal Trade Commission Act verstoßen hat. Am 29. November kam es zu einer Vereinbarung, die Facebook unter anderem verpflichtete, keine missverständlichen Angaben zum Datenschutz mehr zu machen und in zweijährigen Abständen unabhängige Audits des Datenschutzprogramms durchführen zu lassen. Unter den von der FTC kritisierten Punkten soll hier vor allem die mangelnde Sorgfalt gegenüber Drittanbieteranwendungen hervorgehoben werden:
Facebook represented that third-party apps that users’ installed would have access only to user information that they needed to operate. In fact, the apps could access nearly all of users’ personal data – data the apps didn’t need. Facebook told users they could restrict sharing of data to limited audiences – for example with „Friends Only.“ In fact, selecting „Friends Only“ did not prevent their information from being shared with third-party applications their friends used. Facebook had a „Verified Apps“ program & claimed it certified the security of participating apps. It didn’t.
Facebook stellte es so dar, dass Drittanbieter-Apps nach der Installation durch den Nutzer lediglich Zugriff auf die Informationen haben, die sie brauchen, um zu funktionieren. In Wirklichkeit konnten die Apps auf nahezu alle persönlichen Daten der Nutzer zugreifen – Daten, welche die Apps nicht brauchten. Facebook hat seinen Nutzern gesagt, sie könnten das Teilen von Daten auf ein bestimmtes Publikum beschränken – z. B. „Nur Freunde“. In Wirklichkeit hat die Einstellung „Nur Freunde“ sie nicht davor bewahrt, dass ihre Informationen mit Drittanbieteranwendungen ihrer Freunde geteilt wurden. Facebook hatte ein „Verified Apps“-Programm und behauptete, es zertifiziere die Sicherheit von teilnehmenden Apps. Dies ist nicht geschehen.
Am selben Tag veröffentlichte Zuckerberg ein Statement auf dem Facebook-Blog, in dem er Fehler in der Vergangenheit zwar zugab, aber hauptsächlich die bereits existierenden Privacy-Tools seiner Plattform pries:
I’m the first to admit that we’ve made a bunch of mistakes. […] We do privacy access checks literally tens of billions of times each day to ensure we’re enforcing that only the people you want see your content. […] In the last 18 months alone, we’ve announced more than 20 new tools and resources designed to give you more control over your Facebook experience.
Ich bin der Erste, der zugibt, dass wir einen Haufen Fehler begangen haben. […] Wir führen „Privacy Access Checks“ im wahrsten Sinne des Wortes zehn Milliarden Mal pro Tag durch, um sicherzustellen, dass wir durchsetzen, dass nur Personen euren Inhalt sehen, von denen ihr das wollt. […] In den letzten 18 Monaten allein haben wir mehr als zwanzig neue Werkzeuge und Mittel angekündigt, um euch mehr Kontrolle über eure Facebook-Erfahrung zu geben.
Januar 2013: Plötzlich auffindbar dank Graph Search
Im Januar 2013 rollte Facebook eine neue Suchfunktion aus. Mit „Graph Search“ war es nun möglich, noch detaillierter nach Themen, Seiten, Orten etc. auf Facebook zu suchen. Heftige Kritik entzündete sich daran, dass viele in der Vergangenheit unachtsam geteilten Informationen jetzt einfacher in einen größeren Kontext gebracht werden konnten.
Aufsehen erregte in diesem Zusammenhang ein Tumblr-Blog von Tom Scott, auf dem die neuen Möglichkeiten eindrucksvoll präsentiert wurden. Eher harmlos mutete noch es an, Leute aufzufinden, die sowohl die „English Defence League“ als auch „Curry“ mit Gefällt mir markiert hatten – das englische Äquivalent zu deutschen „Nazis, die gerne Döner essen“. Aber auch potenziell gefährliche Möglichkeiten wurden präsentiert: zum Beispiel chinesische Staatsbürger*innen zu finden, welchen die vom Regime rigoros verfolgte und bestrafte spirituelle Praktik Falun Gong gefällt.
Nach dieser Kritik reagierte Facebook – ausnahmsweise ohne Entschuldigung – mit einer bloßen Anleitung, wie man seine Daten vor den neuen Suchmöglichkeiten schütze.
Juli 2014: Manipulation von Newsfeeds für psychologische Experimente
Als 2014 bekannt wurde, dass Facebook 700.000 Nutzer*innen einen veränderten Newsfeed anzeigte, um zu überprüfen, wie sich dies auf ihre Stimmung auswirkt, erklärte zunächst Facebook-COO Sheryl Sandberg, dass die Studie schlecht kommuniziert worden sei:
[F]or that communication we apologize. […] We never meant to upset you.
Für diese Kommunikation entschuldigen wir uns. […] Wir wollten euch nie verärgern.
Zwei Monate später folgte dann der obligatorische Blogpost Facebooks, in dem Besserungen versprochen wurden.
Frühjahr 2018: Hate-Speech in Myanmar
Angesprochen auf den Fakt, dass Facebook einer der Hauptverbreitungsorte für Anti-Rohingya-Propaganda sei, antwortete Mark Zuckerberg in einem Interview, dass Facebooks „Systeme“ die Hassnachrichten automatisch erkannt hätten. Dies kritisierten sechs NGOs in einem offenen Brief. Sie stellten klar, dass sie Facebook erst auf die Welle der Hassnachrichten aufmerksam machen mussten, das Unternehmen sie also eben nicht selbst erkannt habe. Daraufhin entschuldigte sich ein Sprecher Facebooks und kündigte verbesserte Werkzeuge an:
We should have been faster and are working hard to improve our technology and tools to detect and prevent abusive, hateful or false content
Wir hätten schneller darin sein sollen und arbeiten hart daran, unsere Technologie und unsere Werkzeuge zur Erkennung von schädlichen, hassvollen oder falschen Inhalten zu verbessern.
Frühjahr 2018: Daten für Donald Trumps Wahlhelfer
Und damit sind wir beim gegenwärtigen Skandal angekommen. Als die Infos über die Datennutzung von Cambridge Analytica im März 2018 hochkochten, bezog Mark Zuckerberg am 21. März in einem Facebook-Post Stellung:
We have a responsibility to protect your data, and if we can’t then we don’t deserve to serve you. […] I’m serious about doing what it takes to protect our community.
Wir tragen die Verantwortung, eure Daten zu schützen, und wenn wir das nicht können, dann verdienen wir euch nicht. […] Ich meine es ernst damit, alles dafür zu tun, unsere Gemeinschaft zu schützen.
Nachfolgend wies Facebook abermals auf die bereits existierenden Tools hin, die künftig einfacher gestaltet werden sollen. Zu den weiteren angekündigten Maßnahmen zählt außerdem der bessere Schutz von Daten gegenüber externen Entwicklern:
We will also no longer allow apps to ask for access to personal information such as religious or political views, relationship status and details, custom friends lists, education and work history, fitness activity, book reading activity, music listening activity, news reading, video watch activity, and games activity. In the next week, we will remove a developer’s ability to request data people shared with them if it appears they have not used the app in the last 3 months.
Wir werden außerdem Apps nicht mehr erlauben, nach persönlichen Informationen zu fragen, wie beispielsweise religiöse oder politische Ansichten, Beziehungsstatus und ‑details, eigene Freundeslisten, Bildungs- und Arbeitshistorie, Fitness-Aktivitäten, Aktivitäten zu Büchern, Musik, News, Videos und Spielen. In der nächsten Woche werden wir die Möglichkeit für Entwickler entfernen, Daten abzufragen, die Personen mit ihnen geteilt haben, wenn die Personen die App länger als drei Monate nicht genutzt haben.
Das sind genau die Daten, deren Zugriffsmöglichkeit schon 2011 von der FTC moniert wurden und auf die Apps trotz unzähliger Entschuldigungen und „verbesserter Werkzeuge“ bis vor kurzem Zugriff hatten. Mark Zuckerberg hat seine Glaubwürdigkeit mit jeder folgenlosen Entschuldigung ein bisschen mehr verspielt. Warum Facebook ausgerechnet diesmal aus seinen Fehler lernen sollte, bleibt im Angesicht der Lernresistenz der vergangenen Jahre zweifelhaft.