Suche
Close this search box.

Ein Blick in die neuen Entwickler-AGBs von Facebook

Gestern also gab es die neue Iteration der Facebook-Plattform, die nun noch dezentraler, aber auch irgendwie offener ist. Da lohnt sich ein Blick auf die AGBs, um zu schauen, wie offen denn nun wirklich, vor allem im Hinblick auf Data Portability.

Bei Data Portability geht es ja im Prinzip darum, dass der User der Herr seiner Daten ist und auch damit machen kann, was er will, also z.B. sie exportieren. Damit und mit offenen Standards, die weit verbreitet sind, lässt sich die Abhängigkeit von einzelnen Providern (wie eben hier Facebook) prinzipiell verringern. Wie sehr das in der Praxis funktioniert, hängt aber natürlich auch von den AGBs und der Offenheit der anderen Provider ab, sich auf Methoden zu einigen.

Die AGBs im Detail

Hier die Regelungen aus den Entwickler-AGBs zu Daten, die ein Entwickler von Facebook bekommt:

  1. You must give users control over their data by posting a privacy policy that explains what data you collect, and how you will use, store, and/or transfer their data.
  2. You may cache data you receive from the Facebook API in order to improve your application’s user experience, but you should try to keep the data up to date.
  3. Users give you their basic account information when they connect with your application. For all other data, you must obtain explicit consent from the user who provided the data to us before using it for any purpose other than displaying it back to the user.
  4. You cannot use a user’s friend list outside of your application, even if a user consents to such use. You can use connections between users who have both connected to your application, subject to your privacy policy. You will delete all data you receive from us concerning a user if the user asks you to do so, and will provide a mechanism for users to make such a request. We may require you to delete data you receive from the Facebook API if you violate our terms.
  5. You must not use user data you receive from us or collect through running an ad, including information you derive from your targeting criteria, for any purpose off of Facebook, without user consent.
  6. You will not directly or indirectly transfer any data you receive from us to (or use such data in connection with) any ad network, ad exchange, data broker, or other advertising related toolset, even if a user consents to such transfer or use. By indirectly we mean you cannot, for example, transfer data to a third party who then transfers the data to an ad network. By any data we mean all data obtained from the Facebook API, including aggregate, anonymous or derivative data.
  7. You will not include data you receive from us concerning a user in any advertising creative.
  8. You must not give your secret key to another party, unless that party is an agent acting on your behalf as an operator of your application, but you must never give your secret key to an ad network. You are responsible for all activities that occur under your account identifiers.

Wie man also direkt zu Beginn sieht, geht es um „User Control“. Das klingt schon etwas anders als noch vor ein paar Jahren, als alle Daten eher unter der Kontrolle Facebooks standen.

Entwicklern wird auch zugestanden, Daten zu cachen, wobei jetzt die 24-Stunden-Regelung entfällt, nach der man die gecachten Daten nur 24 Stunden speichern durfte. Bei der Konferenz gestern hat man dies mit technischen Restriktionen erklärt, die nun weggefallen seien, da Realtime-Updates nun einfacher möglich sind.

Zudem muss eine Applikation alle Daten eines Nutzers löschen, wenn der denn danach fragt. Zudem muss diese Nachfrage gestellt werden können. Dies ist also etwas, bei dem es auch wünschenswert wäre, wenn Facebook dies selbst beherzigen würde.

Weiterhin muss der Nutzer zustimmen, wenn man seine Daten für Werbung nutzen will.

Die nachfolgenden Regelungen relativieren die Nutzer-Kontrolle dann aber auch wieder:

  • Man darf eine Freundesliste nicht ausserhalb der Applikation nutzen, auch wenn der Nutzer zustimmt. Hier ist der Knackpunkt natürlich, dass auch alle auf der Freundesliste ja zustimmen müssten. Dezentralen Netzwerken ist damit aber trotzdem ein Riegel vorgeschoben.
  • Man darf (auch bei Nutzerzustimmung) die Daten nicht an Werbe-Anbieter oder ähnliche Firmen weitergeben, auch nicht indirekt (also über den Umweg eines weiteren Anbieters, dem man die Daten aber anscheinend ansonsten geben darf).

Was bedeutet dies dann für den Datenexport?

Nehmen wir mal den Fall eines Nutzers, der seine Daten aus Facebook exportieren will. Dazu muss er zum App-Entwickler werden, damit er dies vollständig kann. Einfach genug ist dies – dank der neuen Graph-API – ja.

Dann allerdings kommt das Problem des Imports, denn dann ist die Wahrscheinlichkeit ja hoch, dass diese Daten in die Hände eines Ad-Netzwerks kommen, das nicht Facebook ist. Und damit ist diese Möglichkeit also eher ausgeschlossen.

Somit bleibt also der Empfang der Daten einfach, die Nutzung aber ist wirklich nur für Facebook-Applikationen interessant und vom Data Portability-Standpunkt eher ausgeschlossen.

Es ist natürlich auch kein einfaches Unterfangen, da nicht klar ist, wem nun welche Daten gehören und ob „Besitz“ hier überhaupt der richtige Begriff ist, aber es wäre ja trotzdem wünschenswert, wenn mehr in diese Richtung gedacht würde.

Teile diesen Beitrag