Aktuellen Meldungen zufolge hat es bei SchülerVZ, einem der größten deutschen Sozialen Netzwerke für Schüler, erneut ein Datenleck gegeben, bei dem offensichtlich 1,6 Millionen Datensätze von aktiven Mitgliedern der Plattform (d.h. Schülern) ausgelesen werden konnten.
Neben den durchaus begründeten Fragen hinsichtlich der technisch geprägten Datensicherheit, ist in solchen Fällen zukünftig immer auch zu prüfen, ob das Unternehmen die im letzten Jahr neu eingeführte Meldepflicht des § 42 a BDSG trifft. Diese häufig noch nicht hinreichend bekannte Vorschrift verpflichtet Unternehmen, die jeweilige Aufsichtsbehörde und die Betroffenen unverzüglich darüber zu benachrichtigen, wenn entsprechend sensible Daten Dritten unrechtmäßig zur Kenntnis gelangt sind. Bei entsprechend schwerwiegenden Verstößen drohen nach § 43 Abs. 2 BDSG Bußgelder von bis zu 300.000 Euro.
Erlangt ein Unternehmen also Kenntnis davon, dass unbefugte Dritte datenschutzrechtlich relevante Daten erlangt haben, sollte sofort geprüft und festgestellt werden, ob und inwieweit entsprechend sensible Daten betroffen sind, die dann die Meldepflicht auslösen. Diese an das amerikanische Modell der „Data Breach Notifications“ angelehnte Meldepflicht soll verhindern, dass entsprechende Datenpannen nicht „unter den Teppich gekehrt werden“, sondern die Meldebehörden, aber auch die Betroffenen zumindest bei entsprechend schwerwiegenden Beeinträchtigungen schutzwürdiger Interessen in Kenntnis gesetzt werden. Den Betroffenen soll so die Möglichkeit gegeben werden, etwaige durch den Datenverlust drohende Gefahren (z.B. bei Kreditkartendaten) durch entsprechende eigene Maßnahmen zu mindern.I. Die neue Meldepflicht des § 42 a BDSG
Aufgrund verschiedener Datenschutzskandale in den letzten Jahren und die unbefugte Weitergabe sensibler Daten hat der deutsche Gesetzgeber mit dem seit Anfang September 2009 geltenden § 42a BDSG eine gesetzliche Pflicht eingeführt, der Aufsichtsbehörde und den Betroffenen Meldung über illegale Daten zu machen. Sobald das datenverarbeitende Unternehmen Kenntnis davon erlangt hat, dass bei ihm gespeicherte personenbezogene Daten im Sinne des § 3 Abs. 9 BDSG unrechtmäßig erlangt worden sind oder es sich um Daten handelt, die dem Berufsgeheimnis unterliegen, Straftaten oder Ordnungswidrigkeiten betreffen und bei Bank- und Kreditkartenkonten, hat es die Aufsichtsbehörde und die Betroffenen zu informieren. Sofern die Benachrichtigung der Betroffenen einen unverhältnismässigen Aufwand darstellt, tritt an die Stelle die Information der Öffentlichkeit durch Anzeigen in Tageszeitungen.
Die Meldepflicht besteht unverzüglich, das heißt nach § 121 BGB ohne schuldhaftes Zögern. Dem datenverarbeitenden Unternehmen wird allerdings noch das Recht eingeräumt, zunächst die Sicherheitslücken im System schließen.
Nach § 42a Satz 4 BDSG muss die Benachrichtigung der Betroffenen eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich gemäß § 42a Satz 5 BDSG eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten.
II. Meldepflicht im vorliegenden Fall
Ob die Betreiber von SchülerVZ im vorliegenden Fall die Aufsichtsbehörde bzw. die betroffenen Schüler informieren müssen, hängt davon ab, welche Daten „entnommen“ worden sind. Da im Zusammenhang mit den betroffenen Schülern wohl weder personenbezogene Daten, die dem Berufsgeheimnis unterliegen oder Ordnungswidrigkeiten und Straftaten betreffen, noch Bank- oder Kreditkartenkonten erlangt worden sind, ist zu prüfen, inwieweit besondere Arten personenbezogener Daten im Sinne des § 3 Absatz 9 BDSG tangiert sind.
Wenn tatsächlich personenbezogene Daten wie Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung, Lieblingsfach, -musik, -filme, -bücher, wie lange man im SchülerVZ aktiv ist und individuelle Selbstbeschreibungstexte betroffen sind, ist durchaus wahrscheinlich, dass auch besonders sensible Daten im Sinne des § 3 Abs.9 BDSG, d.h. personenbezogene Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben dabei sind.
Weiterhin ist zu entscheiden, ob durch das Datenleck schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Dafür spricht vorliegend, dass die Daten auch Minderjährige betreffen, die besonders schutzwürdig sind. Dagegen spricht, dass die Daten nach den Angaben von Netzpolitik gelöscht worden sind und insoweit wohl keine weiteren Gefahren und damit auch keine schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen drohen. Gegen entsprechend schwerwiegende Beinträchtigungen spricht weiterhin, dass die Nutzer die Daten ja selbst einstellen und – zumindest gegenüber Teilen der Nutzer von SchülerVZ – veröffentlichen.
III. Zusammenfassung
Auch wenn eine abschließende Entscheidung über die Notifizierungspflicht von SchülerVZ mangels weiterer Details hier nicht getroffen werden kann, wird die dargestellte Meldepflicht des § 42a BDSG angesichts der wachsenden Bedeutung des Datenschutzes und der Häufung der Meldung über entsprechende Datenschutzpannen auch in Zukunft noch an Bedeutung gewinnen. Dabei wird interessant sein, zu beobachten wie die zuständigen Stellen und die Gerichte die auslegungsbedürftigen Begriffe wie „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen“ zukünftig interpretieren.
Der Gesetzgeber hat mit der Meldepflicht sicherlich ein sinnvolles Werkzeug (und aufgrund der Bußgelder auch entsprechend „scharfes Schwert“) eingeführt, nach dem vor allem auch die Betroffenen zu informieren sind. Da es letztendlich um ihre Daten geht ist es nur richtig, sie über entsprechende Datenverluste aufzuklären und über die entsprechende Information in die Lage zu versetzen, eigene Gegenmaßnahmen zu treffen. Unternehmen ist angesichts des Bussgeldes dringend zu raten, bei entsprechenden Datenlecks das Eingreifen des § 42a BDSG zu prüfen und gegebenenfalls die notwendigen Meldungen zu veranlassen.
Weiterführend zu den seit 01.09.2009 geltenden Änderungen der BDSG Novelle II siehe auch „Thema Auftragsdatenverarbeitung wird vernachlässigt – Dringender Handlungsbedarf für zahlreiche Unternehmen“
UPDATE 04.05.2010 11.20 Uhr:
Zwischenzeitlich gibt es einen weiteren Beitrag mit einem Interview zu den Hintergründen des SchülerVZ Datenlecks.
FOLGEN SIE MIR AUF TWITTER 
Auch wenn ich was Datenschutz angeht eher die Hardcore Linie fahre und auch wenn ich die *VZ (wie alle sozialen Netze) eher nicht mag, aber:
Hierbei andauernd von „Datenlecks“ zu reden finde ich maßlos übertrieben.
Ein Datenleck habe ich dann, wenn personenbezogene Information, die ich jemandem zur Verarbeitung für einen bestimmten Zweck gegeben habe an Dritte weitergegeben wird (freiwillig oder unfreiwillig).
Der Zweck von sozialen Netzen ist doch aber, dass die Informationen eben an andere weitergegeben werden. Wenn also jemand Daten freigibt, kann jemand anderer sie auslesen, das ist dann kein Leck. Genauso könnte man sich ereifern, dass zB. jemand alle Kommentare zu diesem Blog angegriffen und statistisch ausgewertet hat. Hier ist doch auch jedem klar, dass es öffentlich ist und niemand würde es als „Datenleck“ bezeichnen. Oder?
Anders läge der Sachverhalt, wenn *geschütze* Information erhältlich gewesen wäre, was aber wohl nicht der Fall ist, soweit ich das aus dem (IMHO mässigen) Interview erkennen kann.
Er hat nichts anderes gemacht als jede Suchmaschine auch und ist jetzt der Held des Datenlecks. Dabei hat er nur das bekommen, was *ihm* die jeweiligen Leute freiwillig gegeben haben. Und was ist daran jetzt so toll?
@Markus Stumpf
zunächst vielen Dank für den Kommentar, dessen Inhalt auch an vielen anderen Stellen im Zusammenhang mit der SchülerVZ Geschichte eingewandt wird.
Auch wenn auch ich nicht alles gut und richtig finde, was die deutschen Datenschutzgesetze alles vorschreiben, so muss man doch sehen, dass auch die Teilnahme innerhalb eines Social Network und Veröffentlichung entsprechender Infos auf dem eigenen Profil nicht gleich heißt, dass die Inhalte ungeschützt sein sollen und damit auch unbefugten Dritte davon Kenntnis erlangen dürfen.
Jeder soll selbst Herr über die eigenen Daten bleiben. Wer also sein Profil so einstellt, dass nur Freunde Zugriff auf Infos haben sollen, der hat auch nur insoweit seine Zustimmung erteilt. Wenn trotzden unbefugte Dritte Zugriff auf diese Daten erlangen, da lässt sich schon auch noch über ein Datenleck diskutieren.
Wer das Profil umfassend, d.h. insbesondere auch für Suchmaschinen, freigibt, der braucht sich wirklich nicht zu beschweren. Fraglich ist aber, ob Jugendliche nicht insoweit schutzwürdig sind und solche Entscheidungen unter einer gewissen Altersgrenze vielleicht überhaupt nicht wirksam treffen können (sollen).
Das ganze Thema sollte unbedingt differenzierter betrachtet werden. Man muss wohl darauf abstellen, ob bzw inwieweit Nutzer über ihre Profileinstellungen Infos tatsächlich frei zur Verfügung gestellt haben bzw. deren Zugänglichkeit bewußt begrenzt haben.
Entsprechende Themen werden uns sicher noch weiterhin begleiten…
Das mit den „unbefugten Dritten“ ist ja genau der Punkt.
a) kann ich auch aus dem Interview nicht erkennen, dass der Crawler auf „nicht für ihn freigegebene“ Informationen Zugriff hatte
b) ist das mit dem „unbefugter Dritter“ in Social Networks extremst schwer zu definieren.
Das große Geschrei war nur, dass *VZ den Crawler nicht als Crawler erkannt hat und somit das Sammeln der Daten nicht unterbunden hat. Leicht ist das aber nicht, denn wenn das Limit bei einem Crawler zuschlägt, mach ich mir halt einen zweiten Account oder 100 oder 1000 (der Betreiber des Crawlers hatte ja wohl 400). Und wenn das nicht geht, dann mache ich halt langsamer. Dann habe ich die Infos nicht an einem Tag, sondern in einem Monat. Für mich kein grundlegender Unterschied bzgl. der Tatsache.
1. Jemand wird Teil eines Social Networks, indem er sich registriert. Über die AGB versuchen die Betreiber zu erreichen, dass es reale Personen sind um Fake Accounts leicht ausschliessen zu können.
2. Man muß einen Account haben, damit man geschützten Zugriff und seine eigenen Daten hat und sichergestellt ist (sollte) dass man nur selbst seine eigenen Daten auch verändern kann.
3. Normalerweise definieren Soziale Netze Mechanismen, anhand derer man Informationsweitergabe an das gesamte Internet (sag ich jetzt mal so) alle anderen Teilnehmer, Teilnehmergruppen (generelle und selbstdefinierte) oder einzelne Teilnehmer regeln kann.
4. Damit das Auffinden von anderen Teilnehmern (besser) funktioniert sind die Voreinstellungen meist so, dass bestimmte Informationen wie Name, Wohnort, (Profil-)Bilder per Voreinstellung an alle freigegeben werden. Man soll ja schließlich alle alten Schulkameraden suchen und identifizieren können und bei 10x anonym „Gretchen Müller“ geht das ja nicht.
5. Somit stehen alle diese Informationen per Voreinstellung (die kaum jemand ändert) allen anderen Teilnehmern zur Verfügung.
6. Die quasi nicht vorhandene Hürde einer Registrierung und gewisse Einschränkungen bezüglich der Anzahl der Aktionen ist also das einzige wirklich Hindernis, dass ein Crawler dann überwinden muß, um alle diese Informationen zu sammeln.
7. Dies wird dann als „Datenleck“ bezeichnet, ist es aber IMHO nicht. Gäbe es wirklich ein Datenleck, bräuchte ich keinen Crawler, dann könnte ich mir das auch im Browser anschauen. Der „Hype“ ist ja nur, weil es jemanden „gelungen“ ist die Datensätze maschinell abzuziehen. Und er ist nicht einmal „unbefugter Dritter“, weil er ja Teil des Netzwerks geworden ist. Er macht also nichts anderes als tausende (millionen?) anderer Teilnehmer auch jeden Tag. Der Unterschied ist nur, dass er darüber quasi „Buch führt“.
Ok, hier ziehen jetzt dann IMHO die AGB und evtl auch Gesetze zu Urheberrechtsschutz (Datenbanken). IANAL, da kennen Sie sich sicher besser aus 😀
Es gibt Bestrebungen zu anderen Arten von sozialen Netzen (FOAF, XFN) bei denen der Zugriffschutz verlagert wird. Da gibt es nicht ein augenscheinlich geschlossenes System (weil ich benötige ein Passwort), hier werden die Verknüpfungsdaten als Datei auf dem eigenen Webserver/Blog hinterlegt. Die Berechtigung ergibt sich daraus, dass ich das Passwort kenne, mit dem ich die Daten auf „meinem“ System modifizieren kann. Zugriff auf meine zB. Bilder gewähre ich, indem ich auf meinem Server eine Bildergalerie mit Zugriffschutz betreibe und nur ausgewählten Personen Zugriff gewähre.
Beide „Systeme“ arbeiten vom Prinzip her ähnlich, nur dass es einmal völlig klar wird, dass die Information „ins Netz“ gestellt wird, bei Systemen wie *VZ, Facebook, MySpace, XING, LinkedIn haben die Benutzer aber die falsche(!) Vorstellung eines abgeschlossenen Systems, was von den Betreibern (gerade der Bezahl-Systeme) ja auch gefördert wird.
In gewisser Weise erinnert mich das an die Diskussion über die Telefon-CDs. Mit Hilfe des mitgelieferten Programms war es nur möglich über Namen die Nummer und Anschrift zu suchen. Bis jemand auf die Idee kam selbst auf die Daten zuzugreifen und plötzlich hatte er ganz andere Möglichkeiten, nämlich die der Inverssuche:
– wer hat die Telefonummer nnnnnn
– wer hat alles Telefon in „PLZ Ort Straße“
Auch hier sehe ich kein Datenleck. Alle Personen auf der CD haben der Veröffentlichung der Daten zugestimmt. Dass jetzt jemand kommt und diese anders verwendet, als man das klassisch vom Telefonbuch her kennt, ist zuerst unerwartet und deshalb gab es Geschrei, hat aber IMHO wiederum nichts mit Datenschutz zu tun.
So, genug geschrieben, ich wünsche allen ein schönes Wochenende!
Man muss sich das nur mal im Mund zergehen lassen. Mal eben 1,6 Millionen Userprofile. Woooow.
Und da meckern alle über die Hersteller der Browsergames in Facebook und Co. Egal wo man sich herumtreibt, man gibt Daten preis und muss einfach damit rechnen bzw. die Leute darüber informieren was passieren kann. Anders geht es nicht.