Schlagwort: Darknet
2. Oktober 2023
Das Oberlandesgericht Hamm hat einer Nutzerin trotz eines Datenschutzverstoßes von Facebook nach dem Diebstahl ihrer Daten Schadensersatz verweigert. Die Begründung des Gerichts lautet, dass die Klägerin ihren Schaden nicht ausreichend konkretisiert habe. In diesem Artikel werden die Hintergründe des Falls und die rechtliche Argumentation des Gerichts näher erläutert.
Der Fall und die Hintergründe
Der Fall, der vor dem Oberlandesgericht Hamm verhandelt wurde, betrifft das bekannte Datenleck bei Facebook, bei dem Daten von etwa 500 Millionen Nutzern gestohlen wurden. Im April 2021 tauchten diese gestohlenen Daten, darunter Namen und Telefonnummern, im Darknet auf. Dies führte zu zahlreichen Klagen auf Schadensersatz gegen den Facebook-Mutterkonzern “Meta”.
Die gestohlenen Daten wurden von sogenannten “Scrapern” über einen längeren Zeitraum gesammelt, indem sie die Suchfunktion “Freunde suchen” nutzten. Selbst wenn Nutzer die Anzeige ihrer Telefonnummer bei Facebook deaktiviert hatten, war es den “Scrapern” möglich, Nutzer anhand ihrer Telefonnummer zu identifizieren. Obwohl Facebook Anpassungen an dieser Funktion vornahm, konnten die “Scrapern” weiterhin Daten abrufen. Erst im Oktober 2018 deaktivierte Facebook die Funktion.
Die Klage der betroffenen Nutzerin
Die Klage, die vor dem OLG Hamm verhandelt wurde, wurde von einer Nutzerin eingereicht, deren Daten von den “Scrapern” gestohlen wurden und im Darknet veröffentlicht wurden. Die Nutzerin warf der Betreiberin der Facebook-Plattform “Meta” einen Verstoß gegen Datenschutzvorschriften vor und forderte eine Entschädigung in Höhe von mindestens 1.000 Euro für immaterielle Schäden.
Die Datenschutzverstöße von Meta
Das OLG Hamm erkannte an, dass Meta als das für die Datenverarbeitung verantwortliche Unternehmen gegen verschiedene Bestimmungen der DSGVO verstoßen hatte. Unter anderem konnte Meta nicht nachweisen, dass die Weitergabe der Mobilfunktelefonnummer der Klägerin im Rahmen der Such- oder Kontaktimportfunktion datenschutzrechtlich gerechtfertigt war. Die Verarbeitung der Mobilfunknummer war nach Ansicht des Gerichts nicht zwingend erforderlich und verstieß gegen den Grundsatz der Datensparsamkeit.
Das OLG argumentierte auch, dass für die Verarbeitung der Mobilfunknummer eine Einwilligung der Nutzer gemäß Art. 6 Abs.1 und Art. 7 DSGVO erforderlich war. Obwohl die Klägerin formal eine Einwilligung erteilt hatte, wurde diese Einwilligung als unwirksam angesehen. Facebook hatte ein “Opt-Out-Verfahren” verwendet, bei dem die Klägerin die Einwilligung aktiv hätte ablehnen müssen. Dies wurde als unzulässig betrachtet, insbesondere da die Informationen von Facebook über die Such- und Kontaktimportfunktion als unzureichend und entgegen Art. 5 Abs. 1a DSGVO intransparent angesehen wurden.
Pflichtverletzung von Meta
Darüber hinaus stellte das OLG fest, dass Meta trotz Kenntnis von den “Scrapern” keine angemessenen Maßnahmen zur Verhinderung weiterer unbefugter Datenabgriffe ergriffen hatte. Dies stellte eine Pflichtverletzung dar, da Meta gemäß Art. 32 DSGVO verpflichtet war, die Sicherheit der Datenverarbeitung entsprechend dem Stand der Technik zu gewährleisten.
Die rechtliche Grundlage für Schadensersatz
Gemäß Art. 82 DSGVO hat jede Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Dies umfasst ausdrücklich auch Ansprüche auf Ersatz immaterieller Schäden. Allerdings trägt der Anspruchsteller die Darlegungslast für entstandene Schäden und muss auch immaterielle Schäden hinreichend konkretisieren.
Ablehnung der Klage
Das OLG Hamm entschied, dass die Klägerin nicht ausreichend konkret dargelegt hatte, welche individuellen persönlichen oder psychologischen Beeinträchtigungen durch das “Scraping” in ihrem Fall verursacht wurden. Das allgemeine Gefühl eines Kontrollverlusts, Hilflosigkeit oder Beobachtetwerdens nach der Veröffentlichung ihrer Daten im Darknet wurde als nicht ausreichend angesehen, um eine Entschädigungspflicht auszulösen. Selbst ein allgemeines Angstgefühl und Erschrockenheit reichten nicht aus, insbesondere da der Datenmissbrauch nicht als so schwerwiegend betrachtet wurde, dass er einen immateriellen Schaden ohne weiteres nach sich zieht.
Fazit
Insgesamt wurde die Klage auf Schadensersatz aufgrund mangelnder Konkretisierung des immateriellen Schadens abgewiesen. Trotz festgestellter Datenschutzverstöße seitens Meta konnte die Klägerin nicht nachweisen, dass sie individuell und konkret durch den Vorfall geschädigt wurde. Dieser Fall betont die Bedeutung der klaren und konkreten Darlegung von Schäden bei Datenschutzverstößen, insbesondere bei Ansprüchen auf immaterielle Schäden.
16. April 2020
Seit Wochen überschlagen sich die Nachrichten zur Videokonferenz App Zoom, das seit der Corona Krise eine rasante Nachfrage zu verzeichnen hat, gleichzeitig aber auch mit erheblicher Kritik hinsichtlich seiner Datensicherheit kämpft (wir berichteten hierzu am 01.04.2020 und 09.04.2020).
Das Unternehmen arbeitet laut eigener Aussage seitdem auf Hochtouren daran seine Datensicherheit zu verbessern.
Politiker raten von Nutzung ab
Deutsche Politiker raten momentan jedoch weiter von der Verwendung des Videodienstes ab. Solange es dem Unternehmen nicht gelinge, sämtliche Sicherheits- und Datenschutzvorwürfe vollständig zu entkräften, könne Zoom nicht als Videokonferenzdienst empfohlen werden.
Der Vorsitzende des Digitalausschusses im Bundestag, Manuel Höferlin (FDP) äußert sich hierzu sehr deutlich: „Solange Zoom nicht nachweisen kann, dass ihre Software sicher und vertrauenswürdig ist, sollten deutsche Unternehmen auf die Nutzung dieser Video-Plattform weitestgehend verzichten. Das sollte zumindest für alle Besprechungen gelten, bei denen das erforderliche Vertraulichkeitsmaß höher ist als bei einer Postkarte.“
Vor allem aber auch Behörden und Ministerien wird von einer Nutzung der App abgeraten. Politiker von CDU und FDP befürchten einen Zugriff Chinas auf die Nutzerdaten und Inhalte.
Das Unternehmen hatte noch im Februar Konferenzen über Server in China geleitet. Auch wenn das Problem nach eigener Aussage des Unternehmens mittlerweile behoben sei, sind deutsche Politiker weiterhin der Ansicht, dass der Zugriff chinesischer Behörden auf Zoom-Daten nicht ausgeschlossen werden könne. Vor allem da sich nach wie vor ein Rechenzentrum des Unternehmens in China befinde.
Zoom reagiert
Per Blog-Post gab das Unternehmen nun bekannt, dass zahlende Kunden ab dem 18.April die Möglichkeit erhalten sollen, Rechenzentren-Regionen selbst auszuwählen. Somit soll der zahlende Kunde selbst entscheiden können, über welche Länder die Daten und Konferenzen geleitet werden. Als Regionen zur Auswahl stehen derzeit die USA, Kanada, Europa, Indien, Australien, China, Lateinamerika, und die Region Japan / Hong Kong.
Nutzer die die App weiterhin kostenlos nutzen wollen, haben diese Möglichkeit allerdings nicht.
Fazit
Es bleibt abzuwarten, ob Zoom es schafft seine Funktionen sicherer zu gestalten. Massive datenschutzrechtliche Bedenken bestehen in jedem Falle weiterhin und auch die Politik hat deutlich gemacht, dass Zoom für sensible Daten oder vertrauliche Informationen keinesfalls verwendet werden sollte.
Update
Wie jetzt bekannt wurde, werden die Zugangsdaten von über 500.000 Zoom-Accounts im Darknet für weniger als einen Penny zum Kauf angeboten. In einigen Fällen werden die Daten auch kostenlos zur Verfügung gestellt. Der Verkauf soll seit Anfang April 2020 laufen.
Die Daten wurden vermutlich durch sogenannte „Credential Stuffing“-Angriffe gesammelt. Hierbei versuchen Hacker sich bei Online-Diensten – wie in diesem Fall Zoom – mit Login-Daten anzumelden, die aus älteren Datenpannen stammen. Denn: Viele Nutzer verwenden dasselbe Passwort für mehrere Dienste. Dies kommt Hackern beim „Credential Stuffing“ zugute. Erfolgreiche Anmeldungen werden dann in Listen zusammengestellt und an andere Hacker verkauft. Die Listen beinhalten neben den E-Mail-Adressen auch Passwortkombinationen.
Zoom erklärte, gegen diese Angriffe bereits umfangreiche Maßnahmen ergriffen zu haben. So habe man Firmen damit beauftragt, die Passwort-Dumps und Tools, mit denen diese erstellt wurden, ausfindig zu machen. Außerdem würden als kompromittiert erkannte Zoom-Accounts gesperrt und Nutzer würden gebeten, ihre Passwörter zu ändern. Zoom betonte außerdem, dass große Unternehmenskunden mit eigenen Single-Sign-On-Systeme im Allgemeinen nicht von den Angriffen betroffen seien.
Bei „Credential Stuffing“ handelt es sich um kein Zoom-spezifisches Sicherheitsproblem. Jeder Dienst kann Opfer solcher Angriffe werden. Doch insbesondere während der Corona-Krise, in der ein erhöhter Bedarf an Video-Kommunikationsmitteln besteht, sind die Nutzerdaten von Zoom für Hacker wohl von besonderem Interesse.
23. Mai 2019
Der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) kritisiert Pläne des Bunderats, die sich gegen Betreiber von Darknet-Angeboten richten. Durch das geplante Gesetz würden Unschuldige ins Visier der Behörden geraten, sagte Kelber der Süddeutschen Zeitung. Alle Anbieter von Anonymisierungssoftware müssten sich künftig Gedanken machen, ob ihre Dienste bald für illegal erklärt würden. Das Tor-Netzwerk sei nicht pauschal mit dem Darknet gleichzusetzen.
Der Bundesrat hatte Mitte März 2019 einen Gesetzesentwurf beschlossen, der das “Anbieten von Leistungen zur Ermöglichung von Straftaten” unter Strafe stellen soll. Aufgrund des (geplanten) § 126a des Strafgesetzbuchs (StGB) droht Anbietern einer “internetbasierten Leistung”, “deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten” zu ermöglichen oder zu fördern, eine Freiheitsstrafe von bis zu drei Jahren. Mit dem Darknet sind zumeist Webseiten und Dienste gemeint, die im Tor-Netzwerk als sogenannte Onion-Services (früher Hidden-Services) bereitgestellt werden. Das Programm verschleiert die IP-Adresse seiner Nutzer und lässt sie so anonym im Netz surfen.
Das Tor-Netzwerk sei jedoch nicht pauschal mit dem Darknet gleichzusetzen. Dissidenten und Whistleblower in Unrechtsstaaten nutzten es als geschützten Kommunikationsraum. Auch für normale Bürger gebe es gute und legitime Gründe, den Tor-Browser zu nutzen. Sie können sich damit der Überwachung durch Unternehmen entziehen.
“Wenn man nach einer Kneipenschlägerei nicht beweisen kann, wer sich daran mutwillig beteiligt hat, kommt man doch auch nicht auf die Idee, alle zu bestrafen, die in der Nähe herumstanden”, sagte Kelber. Dass die Polizei schon aufgrund eines derart vagen Anfangsverdachts ermitteln dürfe, sei ein kaum zu rechtfertigender Eingriff in die Bürgerrechte, so Kelber.
Die Pläne des Bundesrats waren von Juristen und der Tor-Community scharf kritisiert worden. “Die Verhaltensweisen, um die es den Verfassern des Gesetzentwurfs offiziell geht, sind typischerweise bereits heute strafbar – als Beihilfehandlungen zu den eigentlichen Straftaten”, sagte der Jurist und Richter am Landgericht Berlin, Ulf Buermeyer. Allerdings könnten mit dem neuen Straftatbestand mehr Überwachungsmaßnahmen durchgeführt werden – für die wiederum ein Verdacht ausreiche.
Der Gesetzentwurf des Bundesrats ist inzwischen mit einer Stellungnahme der Bundesregierung versehen in den Bundestag eingebracht worden (PDF).
