Internet-Law

Onlinerecht und Bürgerrechte 2.0

20.10.09

Datenklau bei SchülerVZ – eine rechtliche Bewertung

Das soziale Netzwerk SchülerVZ ist in den letzten Tagen in die Schlagzeilen geraten, weil dort offenbar in großem Umfang Nutzerdaten kopiert und weitergegeben worden sind. In den Nachrichtenmedien wird von Datenklau gesprochen, was den Eindruck erweckt, als hätte sich jemand mit Hackermethoden Nutzerdaten verschafft.

Das ist freilich nicht der Fall. Es handelt sich um frei zugängliche Daten, die jedes Mitglied der Community von SchülerVZ aufrufen kann, weil die Daten vorher von dem Berechtigten selbst eingestellt worden sind. Nachdem SchülerVZ auch keine ausreichenden Vorkehrungen gegen eine automatisierte Erhebung dieser Daten ergreift, ist es möglich, diese Daten mit Crawlern zu erfassen. Das wurde auch in der Vergangenheit, teilweise im Rahmen studentischer Projekte, schon vorgeführt. Es sind also weder besondere technische Fähigkeiten erforderlich noch werden geschützte Zugänge geknackt.

Das Problem resultiert primär daraus, dass die VZ-Gruppe, der Betreiber von Plattformen wie Schüler- und StudiVZ nicht ansatzweise für die Datensicherheit sorgt, die man als Nutzer eigentlich erwarten darf.

Wie ist nun das Vorgehen des „Datendiebs“ rechtlich zu bewerten? Eine Strafbarkeit wegen Ausspähens von Daten (§ 202a StGB) scheidet nach meiner Einschätzung aus. Strafbar macht sich danach nämlich nur, wer sich Daten verschafft, die nicht für ihn bestimmt sind und die gegen unberechtigten Zugriff besonders gesichert sind.

Wenn der Täter Mitglied von SchülerVZ ist, dann kann er die Daten, wie jeder andere Nutzer auch, bestimmungsgemäß einsehen. Die Daten sind also für ihn bestimmt. Dass er sie möglicherweise zweckwidrig verwendet, ändert daran nichts. Auch eine Sicherung gegen unberechtigten Zugriff gibt es bei SchülerVZ offenbar nicht. Die Daten sind vielmehr ohne weiteres mittels sog. Bots erfassbar.

Das Verhalten des „Täters“ verstößt möglicherweise gegen Bestimmungen des Datenschutzrechts. Wobei man sich insoweit vor Augen führen sollte, dass Personensuchmaschinen wie Yasni auch nicht anders agieren. Und das Verhalten des Täters verstößt schließlich auch gegen die Nutzungsbedingungen von SchülerVZ, was allerdings nur ein zivilrechtliches Fehlverhalten im Verhältnis zum Plattformbetreiber darstellt.

Die Datenschützer sollten m.E. nicht immer nur darauf hinweisen, dass die Bürger und Nutzer mit ihren Daten vorsichtiger umgehen müssen. Denn das ist angesichts des Umstandes, dass Millionen von Menschen mittlerweile Profile bei Facebook, MySpace, Xing, Lokalisten etc. haben, wenig zielführend. Vielmehr sollten die Betreiber von sozialen Netzwerken verpflichtet werden, die Daten ihrer Nutzer gegen automatisierte Erfassung effektiv zu schützen.

posted by Stadler at 09:39