Datenklau bei SchülerVZ – eine rechtliche Bewertung
Das soziale Netzwerk SchülerVZ ist in den letzten Tagen in die Schlagzeilen geraten, weil dort offenbar in großem Umfang Nutzerdaten kopiert und weitergegeben worden sind. In den Nachrichtenmedien wird von Datenklau gesprochen, was den Eindruck erweckt, als hätte sich jemand mit Hackermethoden Nutzerdaten verschafft.
Das ist freilich nicht der Fall. Es handelt sich um frei zugängliche Daten, die jedes Mitglied der Community von SchülerVZ aufrufen kann, weil die Daten vorher von dem Berechtigten selbst eingestellt worden sind. Nachdem SchülerVZ auch keine ausreichenden Vorkehrungen gegen eine automatisierte Erhebung dieser Daten ergreift, ist es möglich, diese Daten mit Crawlern zu erfassen. Das wurde auch in der Vergangenheit, teilweise im Rahmen studentischer Projekte, schon vorgeführt. Es sind also weder besondere technische Fähigkeiten erforderlich noch werden geschützte Zugänge geknackt.
Das Problem resultiert primär daraus, dass die VZ-Gruppe, der Betreiber von Plattformen wie Schüler- und StudiVZ nicht ansatzweise für die Datensicherheit sorgt, die man als Nutzer eigentlich erwarten darf.
Wie ist nun das Vorgehen des „Datendiebs“ rechtlich zu bewerten? Eine Strafbarkeit wegen Ausspähens von Daten (§ 202a StGB) scheidet nach meiner Einschätzung aus. Strafbar macht sich danach nämlich nur, wer sich Daten verschafft, die nicht für ihn bestimmt sind und die gegen unberechtigten Zugriff besonders gesichert sind.
Wenn der Täter Mitglied von SchülerVZ ist, dann kann er die Daten, wie jeder andere Nutzer auch, bestimmungsgemäß einsehen. Die Daten sind also für ihn bestimmt. Dass er sie möglicherweise zweckwidrig verwendet, ändert daran nichts. Auch eine Sicherung gegen unberechtigten Zugriff gibt es bei SchülerVZ offenbar nicht. Die Daten sind vielmehr ohne weiteres mittels sog. Bots erfassbar.
Das Verhalten des „Täters“ verstößt möglicherweise gegen Bestimmungen des Datenschutzrechts. Wobei man sich insoweit vor Augen führen sollte, dass Personensuchmaschinen wie Yasni auch nicht anders agieren. Und das Verhalten des Täters verstößt schließlich auch gegen die Nutzungsbedingungen von SchülerVZ, was allerdings nur ein zivilrechtliches Fehlverhalten im Verhältnis zum Plattformbetreiber darstellt.
Die Datenschützer sollten m.E. nicht immer nur darauf hinweisen, dass die Bürger und Nutzer mit ihren Daten vorsichtiger umgehen müssen. Denn das ist angesichts des Umstandes, dass Millionen von Menschen mittlerweile Profile bei Facebook, MySpace, Xing, Lokalisten etc. haben, wenig zielführend. Vielmehr sollten die Betreiber von sozialen Netzwerken verpflichtet werden, die Daten ihrer Nutzer gegen automatisierte Erfassung effektiv zu schützen.
„Der Kern des Vorwurfs gegen den Mann ist derzeit nicht die datenschutzrechtliche Frage, sondern der Erpressungsversuch“, sagte Sprecher Martin Steltner.
http://www.tagesspiegel.de/berlin/Polizei-Justiz-SchuelerVZ-Datenschutz;art126,2927834
Comment by Anonymous — 20.10, 2009 @ 11:03
Die Vorgehensweise von Mathias L. legt Nahe, dass er gezielt Geld damit verdienen wollte, die Daten weiter zu verkaufen.
http://www.golem.de/0910/70567.html
und
Das "Werbe-Video" für seine "Dienstleistung":
http://video.golem.de/security/2509/entwickler-des-schuelervz-crawlers-3x1t-alias-mathias-l.-alias-matt56444-aus-erlangen-video.html
Comment by filmmogul — 20.10, 2009 @ 13:13
Lt. Aussage des Blogs des Verdächtigen umgeht er die CAPTCHA Abfragen im SVZ mit seinem Bot. Demzufolge versucht SVZ, seine Daten vor automatisiertem Zugriff zu schützen, leider mit unzureichenden Mitteln. Trotzdem kann dies als Argument schlecht herangezogen werden – vor allem von einer Seite, die selbst Captcha Codes benutzt wie blogger.com.
Comment by Anonymous — 20.10, 2009 @ 17:07
Machen sich die Meldebehoerden dann auch strafbar wenn sie mit meinen Daten handeln ?
Sie wollen ja ebenfalls damit Geld verdienen. Das zusammentragen erfolgt ja auch "automatisiert".
Comment by deepseafish — 20.10, 2009 @ 17:27
Ganz ungeschützt gegen Daten-Crawler waren die *VZs nicht. Nur konnten die eingesetzten Captchas umgangen werden: http://www.netzpolitik.org/2009/netzpolitik-interview-sicherheitsluecken-bei-der-vz-gruppe/
Comment by Anonymous — 20.10, 2009 @ 20:45
Wobei man fairerweise sagen muss, dass zumindest di in der EU vorherrschenden "Personensuchmaschinen" (yasni, 123people etc.) nicht in geschlossenen Netzwerken "crawlen". Die Vorgehensweise wäre also schon anders zu werten.
Comment by Stephan Hansen-Oest — 21.10, 2009 @ 06:27
meiner Ansicht nach sind die User der Networks selbst dafür verantworlich, was sie online stellen und was nicht – jedem User steht es frei seine Daten irgenwo in die Wolke zu stellen oder nicht…
…in meinen augen ist es auch nicht strafbar die öffentlich für alle nutzer zugänglichen daten zu sammeln – egal ob automatisiert oder von hand – die viel interessantere frage dabei ist, was mit diesen daten später passiert – gibt, bzw. verkauft der "täter" die daten weiter dann macht er sich in meinen augen strafbar, da er daten an dritte weiter gibt zu welchen eben diese eventuell keinen zugang gehabt hätten…
…die Social networks können meiner Ansicht nach nur dafür verantwortlich gemacht werden, wenn daten abgerufen werden können welche vom user als privat eingestuft wurden…
Comment by Michael — 23.10, 2009 @ 12:11
Ich finde, der Fall zeigt sehr schön, dass auch "geschlossene" Netzwerke wie StudiVZ eben doch öffentlich sind. Das ist ein Systemproblem und kein individuelles Versagen von StudiVZ.
Ich frage mich ernsthaft, welche Maßnahmen die VZ-Seiten noch ergreifen können, um Crawling wirksam zu verhindern. Dass Captchas ungeeignet sind, hat der aktuelle Fall gezeigt. Natürlich könnte man die Captchas jetzt viel komplizierter machen und öfter einblenden. Aber irgendwann wird dann die ganze Plattform ad absurdum geführt.
Eine weitere Möglichkeit wäre das Sperren von IP-Adressen nach einigen tausend Hits pro Stunde. Diese Methode greift aber auch erst dann, wenn das Kind schon in den Brunnen gefallen ist. Und bei öffentlichen Hotspots versagt das System ebenfalls. Abgesehen von der Frage, ob StudiVZ die IPs überhaupt speichern darf.
Was also tun? Ich meine, hier hilft nur verstärkte Aufklärung. StudiVZ ist eben kein privates Forum – es ist öffentlich. Jeder kann auf die Daten zugreifen, die die User öffentlich einstellen und jeder kann sie im Zweifelsfall auch speichern. Technisch gibt es kaum Möglichkeiten, das zu verhindern. Darüber müssen sich die Nutzer im Klaren sein und entsprechend verantwortungsvoll mit der Plattform umgehen.
Übrigens: Ich habe mir mal die Methoden von Matthias L. genauer angeschaut. Der Junge ist ein Scriptkiddie. So eine Software kann jeder auch nur halbwegs begabte Programmierer schreiben und das wahrscheinlich auch noch deutlich effizienter als Matthias L. Ich kann mir beim besten Willen nicht vorstellen, dass das die erste Crawling-Aktion auf StudiVZ & Co. war.
Comment by Adrian — 26.10, 2009 @ 14:02
Man sollte die svz seite für nichtangemeldete personen sperren so das sie nur über einladungen per E-Mail erreichbar ist.
Und wie wäre es wnn die svz zentrale eine kontrolle der vz nutzer durchführt!?
Comment by Anonymous — 29.10, 2009 @ 15:06
"Man sollte die svz seite für nichtangemeldete personen sperren…"
1. ist das im Grunde schon der Fall – 2. bringt das genau nichts – was hindert mich daran eine Fake-Identität zu erstellen? ;-)
Es ist im Grunde so, wie der Adrian schon angedeutet hat – man hat kaum Möglichkeiten derartige Datencrawler auszusperren – natürlich gibt es technisch die eine oder andere Möglichkeit es zu erschweren – allerdings wird es damit nicht verhindert, sondern dem "Übeltäter" werden nur Steine in den Weg gelegt – was zur Folge hat, dass es einen Technologiewettstreit gibt wie zwischen Google und den Spammern…
Die einzige Möglichkeit diese Datensammlungen zu verhindern ist ein Bewusstsein dafür zu schaffen, dass jeder Einzelne behutsamer mit seinen Date umgeht – was nicht im Netz ist kann auch nicht automatisch erfasst werden!
Comment by Michael — 13.11, 2009 @ 18:12