Allzu oft gelangen Datenschutz-Skandale in die Schlagzeilen. Will man dabei gewisse Technologien oder Branchen besonders hervorheben, kann man sich die Mühe sparen. Techniken wie E-Mails, GPS, Handys, soziale Medien, Suchmaschinen, Voice-Mails und Webcams sind alle gleichermaßen betroffen. Die Unternehmen sammeln persönliche Daten ihrer Endkunden ohne deren Einverständnis. Die so erworbenen Informationen werden an Dritte veräußert oder gelangen wegen unzureichendem Schutz an die Öffentlichkeit. Wir haben für Sie die größten Datenschutz-Skandale der jüngeren und älteren IT-Geschichte zusammengestellt.
Sony BMG und der Kopierschutz "XCP"
Im Herbst 2005 wurde bekannt, dass Sony BMG im Kampf gegen Raubkopierer den Kopierschutz XCP (Extended Copy Protection) auf Musik-CDs einsetzt. Das Fatale: XCP installiert heimlich mit dem Abspielprogramm eine Rootkit-Software. Die versteckte Anwendung sammelt Informationen über die CD sowie die IP-Adresse des Rechners und leitete diese an Sony weiter. Des Weiteren kann mittels XCP Schadsoftware einfacher ins System eindringen. Nachdem Sammelklagen gegen das Vorgehen eintrafen, setzte die Kartellbehörde der Vereinigten Staaten fest, dass Sony jedem betroffenen Kunden Schadenersatz von umgerechnet 100 Euro zahlen musste.
Der Selbstversuch bei Craigslist
Jason Fortuny aus Seattle wollte wissen wie viele Zuschriften eine Frau, die auf der Suche nach einem Sex-Partner bei der US-Kleinanzeigen-Webseite Craiglist innerhalb eines Tages erhält. Hierzu veröffentlichte er im Februar 2006 ein entsprechendes Gesuch mit einem Foto einer lasziv posierenden Frau auf der erwähnten Webseite. Fortuny erhielt 178 Zuschriften mit Namen, Fotos, E-Mail-Adressen und Telefonnummern. Die erhaltenen Daten von den antworteten Männern publizierte er auf der Seite von Encyclpedia Dramatica. Die Medien griffen das Thema auf und verbreiteten es. Daraufhin wurde anonym Klage gegen Fortuny eingereicht. Erst im Mai 2009 fällte das Gericht das Urteil: Fortuny wurde zu umgerechnet knapp 50.000 Euro Bußgeld wegen mehrfachen Nicht-Erscheinens vor Gericht verurteilt.
Der AOL-Skandal
Für Forschungszwecke sammelte AOL drei Monate lang die eingegebenen Suchbegriffe von Usern und publizierte im August 2006 die entsprechende Übersicht mit über 20 Millionen Termini von über 650.000 Nutzern. Statt die Liste wie vorgesehen anonym zu veröffentlichen, enthielt die Übersicht viele persönliche Informationen, die Rückschlüsse auf konkrete Anwender und deren Such-Protokolle zuließen. Das Unternehmen räumte den Fehler ein und entfernte die Auflistung nach drei Tagen von der Internetseite. Die kurze Zeit reichte aber aus, dass sich die Daten auf andere Webseiten verbreiteten. Der ehemalige CEO Maureen Govern trat zwei Wochen nach dem Vorkommnis zurück. Bereits im September 2006 wurde gegen AOL eine Sammelklage eingereicht, in der jeweils 3500 Euro Schadensersatz verlangt wurde. Das Verfahren wird noch an kalifornischen Gerichtshöfen verhandelt.
Street View in Google Maps
Foto: Google
Google ergänzte im Mai 2007 seinen Dienst Google Maps um Street View. Seitdem sieht sich das Unternehmen mit Beschwerden von Datenschützen, Bußgeldern und regelmäßigen Kontrollen durch die US-Kartellbehörde konfrontiert. Im Vorfeld wurden schon Gegenstimmen laut. Mit 360-Grad-Panorama-Aufnahmen von Straßen, bei denen peinliche Augenblicke wie das Verlassen von Erotik-Geschäften festgehalten werden, greift der Dienst in die Privatsphäre ein. Deshalb können Anwender beantragen, dass heikle Fotos entfernt und sowohl Gesichter als auch Nummernschilder mittels Unschärfe-Effekt unkenntlich gemacht werden. Trotz dieser Maßnahmen liegen weltweit zahlreiche Klagen gegen Google vor. So legten die Länder Belgien, Deutschland, Schweiz und Süd-Korea Beschwerde ein. Im März 2001 erstattete Frankreich Anzeige aufgrund von bedenklichen Street View Bildern und forderte Schadensersatz in Höhe von rund 100.000 Euro. Das kalifornische Unternehmen muss regelmäßig für die nächsten 20 Jahren Kontrollen durch die US-Kartellbehörde zulassen.
Großer Datenschutzskandal bei Hotmail
Der Gratis-E-Mail-Dienst Hotmail bescherte seinem Anbieter Microsoft einen großen Datenschutz-Skandal. Die Redmonder forderten im Oktober 2009 Millionen Hotmail-User auf ihre Passwörter zu ändern. Sie empfahlen Kunden, die E-Mail-Adressen mit den Endungen @hotmail.com, @msn.com und @live.com verwendeten, das Passwort binnen 90 Tagen zu ändern. Grund: Kurz vorher wurden per Phishing-Angriff über 10.000 E-Mail-Adressen ausgespäht und auf der Internetseite www.pastebin.com veröffentlicht.
Lower Merion School spähte Schüler mittels Webcam aus
Eine Highschool im Lower-Merion-School-District gab mehrere Tausend Apple-Notebooks mit integrierten Webcams an ihre Schüler aus. Die Kameras wurden heimlich verwendet, um die Zöglinge außerhalb der Schule zu überwachen. Es entstanden über 56.000 Fotos und Screenshots auf denen die Schüler teilweise bekleidet oder unbekleidet waren. Als der Schüler Blake Robbins einen Verweis wegen unangemessenem Verhalten mit solchen Fotos als Beweis erhielt, reichte er im April 2010 eine Sammelklage aufgrund der Verletzung der Privatsphäre gegen den Lower-Merion-School-District ein. Ein halbes Jahr später, im Oktober 2010 lenkte der Schul-Bezirk ein und zahlte umgerechnet rund 450.000 Euro, um zwei Hauptklagen aus der Welt zu schaffen.
Facebook-Apps und Datenschutz
Foto: Zynga
Facebook hatte schon immer Probleme mit dem Datenschutz. Im Oktober 2010 gab es einen größeren Skandal. Das Unternehmen musste eingestehen, dass zehn seiner beliebtesten Apps Namen der Nutzer und deren Freunde Werbefirmen übergeben. Hierzu gehören Farmville und Texas Hold’em. Mehrere Millionen Facebook-Mitglieder waren laut The Wall Street Journal betroffen. Bereits vor dem Vorfall wurde bekannt, dass Facebook sobald User auf Werbebanner klickten, die entsprechenden Nutzer-IDs den Werbefirmen mitteilte. Das soziale Netzwerk geriet in die Kritik. Im Herbst 2011 einigte sich Facebook mit der US-Kartellbehörde und stimmte zu, dass über 20 Jahre lang unabhängige Dritte die Einhaltung der Datenschutz-Bestimmungen prüfen. Wer nicht möchte, dass seine Daten übertragen werden, kann dies bei den Einstellungen bestimmen.
Datenschutz-Skandale aus dem Jahr 2011
Datenleck bei US-Krankenversicherer
Im März 2011 gestand der US-Krankenversicherer HealthNet erneut einen Datenschutz-Skandal. Bereits zwei Jahre vorher, 2009, "verschwanden" 1,5 Millionen Sozialversicherungsnummern von Kunden. Im neusten Eklat sind fast zwei Millionen der Versicherten betroffen. Das Unternehmen speicherte ihre Namen, Adressen, Sozialversicherungsnummern, Gesundheits- und Finanzdaten unverschlüsselt auf Festplatten und bewahrte diese beim Vertragspartner IBM auf - wo die Daten abhandenkamen. Gegen HealthNet und IBM wurde eine landesweite Sammelklage eingereicht. Beängstigend: Von 2009 bis 2011 sollen laut der US-Gesundheitsbehörde von rund elf Millionen Versicherten die Daten im Internet ungeschützt vorgelegen haben.
Verhaltensorientierte Nutzerprofile via Targeting Services
Marketing-Agenturen führen Online-Verhaltensforschungen mittels Targeting Services durch. Bei diesem Dienst wird das Surfverhalten der User anonym aufgezeichnet, um ein verhaltensorientiertes Nutzerprofil zu erstellen. Die so angefertigten Profile dienen als Grundlage für personenbezogene Online-Werbung. 2009 bewirkte die US-Kartellbehörde ein Gesetz, das die Anbieter solcher Dienste gesetzlich verpflichtet, die Internet-User über die Aufzeichnung ihres Surfverhaltens zu informieren und ihnen die Möglichkeit einräumt Targeting Services abzuschalten. Im März 2011 reichte die Kartellbehörde gegen das Werbenetzwerk Chitika Klage ein. Begründung: Das Netzwerk verstoße gegen dieses Gesetz. Chitika gestand, durch einen Programmierfehler den Zeitraum für die optionale Abschaltung der Sammelwut statt zehn Jahre lang lediglich zehn Tage angeboten zu haben.
Der Umgang mit ortsbasierten Daten
Herstellern von mobilen Betriebssystemen scheint viel an den ortsbasierten Daten und den Profilen ihrer Kunden zu liegen. Der damalige CEO von Apple Steve Jobs entschuldigte sich im April 2011 für das Speichern der Nutzerdaten auf dem iPhone sowie dem iPad, nachdem ein Sicherheitsunternehmen dies herausfand. Die Security-Profis fanden im System eine unverschlüsselte Datei, die Auskunft über alle besuchten Orte der letzten zwölf Monate vom Gerätebesitzer gab. Apple wurde von Kongressmitgliedern und anderen daraufhin kritisiert. Jobs antworte: "Das haben wir nie. Und das werden wir auch nie." Ferner stellte das Unternehmen mit dem angebissenen Apfel ein kostenloses Programm bereit, das den Fehler korrigieren sollte. Später offenbarten Google und Microsoft identische Ortsdaten via ihren mobilen Betriebssystemen zu speichern.
Datenleck bei Playstation Network
Foto: Sony
Bei Sony soll im April 2011 laut Sicherheitsexperten eines der größten Datenskandale seit deren Aufzeichnung stattgefunden haben. Hacker entwendeten über 77 Millionen personenbezogener Daten von Playstation-Kunden. Da der Konzern nicht mit Sicherheit sagen konnte, ob neben Namen, Adressen, E-Mail-Adressen und Geburtsdaten beim Einbruch Kreditkarteninformationen gestohlen wurden, riet er seinen Kunden ihre Kontoaktivität aufmerksam zu kontrollieren. Rund 130 Millionen Euro investierte Sony in den erneuten Aufbau seines Computernetzwerks und in die Kreditkarten-Schutzprogramme für seine Kundschaft.
COPPA-Fehler bei Disney
Das COPPA-Gesetz (Children's Online Privacy Protection Act) schreibt US-Webseiten den Umgang mit der Privatsphäre von Kindern unter 13 Jahren vor. Die Betreiber, deren Angebote sich an Kinder richten, benötigen somit das Einverständnis der Eltern. Im Mai 2011 zahlte Disneys Online-Spiele-Website Playdom Inc. die bislang höchste COPPA-Strafe. Das Unternehmen verzichtete auf die Erlaubnis und sammelte Alter und E-Mail-Adressen der Kinder. Außerdem konnten diese ihren vollständigen Namen und Wohnort in ihrem Profil hinterlegen. Das Bußgeld für dieses Verhalten betrug rund 2,5 Millionen Euro. Die Blogging-Community Xanga.com und der App-Entwickler Broken Thumbs verletzten ebenfalls das COPPA-Gesetz.
Der Carrier-IQ-Software-Skandal
Ein Smartphone-Anwender entdeckte auf seinem HTC-Gerät eine Software von Carrier IQ, einem Anbieter von Analyse-Werkzeugen für Mobilgeräte. Das Programm soll sich auf etwa 142 Millionen Smartphones weltweit befinden. Der User untersuchte die Software und stellte fest, dass das Programm den Akkustand, E-Mails, Textnachrichten, Verbindungen und andere Informationen sammelte. Dem Unternehmen und dessen Kunden wurde vorgeworfen Keylogging, Spionage und Überwachung zu betreiben. Professionelle Analysten untersuchten die Software und stellten fest, dass es sich bei dem Programm um Reste eines Debug-Programms handelte und es lediglich Leistungs-Daten sammelte. Mit diesen Informationen wollte das Unternehmen die gemachten Erfahrungen der Endverbraucher optimieren. Der Vorfall führte dazu, dass HTC seine Smartphones nicht mehr mit der Carrier-IQ-Software austattet.
Telematische KFZ-Systeme und General Motors
Foto: GM
Telematische KFZ-Systeme haben unterschiedliche Einsatzzwecke und sind wegen ihrer Sammelwut umstritten. Via GPS-Ortung lässt sich das Fahrzeug nach einem Diebstahl lokalisieren, die gesammelten Informationen helfen dabei, einen Unfall mit dem PKW zu erkennen, oder bei der Navigation. Das OnStar-System von General System geriet in Misskredit als bekannt wurde, dass das System nach seiner Abmeldung das Fahrzeug immer noch lokalisieren kann. Daraufhin änderte das Unternehmen im Dezember 2011 seine Datenschutz-Richtlinien für OnStar. General Motors legt darin fest gesammelte Daten wie Angaben über die Fahrgeschwindigkeit, durchfahrene Orte und Stand des Kilometerzählers an andere Firmen weitergeben zu dürfen. Zudem sei es dem Konzert gestattet Auskünfte über die Verwendung des Anschnallgurtes und des Airbags anonym zu verkaufen. Dies betreffe auch Kunden, die den Dienst bereits abbestellt haben, außer sie widersprächen ausdrücklich der Weitergabe.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation PC-Welt. (sjf)