Flickr / Zappa

Sicherheit im Netz

Wenn Amerika weiß, wie dein Nachbar heißt

von Julia Herrnböck / 19.01.2016

Ist Ihnen geheuer, wenn eine Suchmaschine nicht nur Ihre Geodaten und Telefonnummer ausspuckt, sondern gleich eine Liste Ihrer Nachbarn mitliefert? Immer öfter krallen sich fremde Anbieter Daten von Herold, aktuell vermutlich eine US-amerikanische Firma namens Nuwber, die selber alle digitalen Spuren verwischt. Herold prüft nun rechtliche Schritte und führt bereits Prozesse in solchen Fällen. 

Angefangen hat es mit einer harmlosen Wette. Eine ältere Bekannte ist selbst nie im Internet; daher sei natürlich keinerlei Information über sie im Netz verfügbar, war sie überzeugt. Doch die Suchanfrage auf Google belehrte sie eines Besseren – und den Datenanbieter Herold ebenso.

Ihr Name führt umgehend zu einer US-amerikanischen Plattform namens Nuwber. Dort scheint nicht nur der Ehemann auf, die Adresse, Telefonnummer und Geodaten inklusive interaktiver Karte, sondern auch eine Liste der unmittelbaren Nachbarn und deren Daten.

Ein Teil dieser Infos ist auf Herold zu finden, dem elektronischen Telefonbuchverzeichnis in Österreich. Nuwber grast die im Netz verfügbaren Daten ab und stellt sie miteinander in Verbindung. Nur: Nuwber und auch andere Dienste dürfen das gar nicht.

Wie kommt Nuwber an die Daten?

„Das ist ein Wahnsinn, das geht überhaupt nicht“, sagt Margit Kaluza-Baumruker. Sie ist Marketing-Direktorin bei Herold und betont, es gebe keinerlei Geschäftsbeziehung zu dem Unternehmen. Sie sei dankbar für den Hinweis und „höchst irritiert“ über das Vorgehen des amerikanischen Unternehmens.

Eben weil es in Österreich eine gesetzliche Pflicht zur Veröffentlichung gibt, sei der Datenschutz so wichtig. Herold investiere viel Geld in die Redaktion. Private Abfragen seien jederzeit erlaubt und kostenlos, nicht aber die kommerzielle Verwertung. „Unsere Daten sind kein Selbstbedienungsladen“, sagt Kaluza-Baumruker.

In Österreich schreibt die Universaldienstverordnung vor, dass der größte Anbieter – in dem Fall die Telekom Austria Erklärung zum Prozedere aus der Pressestelle: „Wir sind durch die Universaldienstverordnung zu Herausgabe des betreiberübergreifenden Telefonbuchs (TB) verpflichtet. Wobei die Daten des TB einem speziellen Schutz unterliegen, der im TKG geregelt ist. Dazu muss A1 die Daten aller Betreiber, auf deren Wunsch, zukaufen – diese werden zu den TB Daten zusammengefaßt. Herold bekommt von uns die Daten zur Verfügung gestellt und druckt und verteilt das TB für A1. Wobei Herold die Daten der weißen Seiten nicht ändern darf, die Gelben Seiten sind Daten von Herold (Marketing Daten) und haben mit den Daten der weißen Seiten keinerlei Verbindung. Bezüglich des Zugriffes auf die Onlineplattform von Herold www.Herold.at hat Herold die Verpflichtung, die Daten der Weißen Seiten vor einem Kommerziellen Zugriff bzw. maschinellen Massenabfragen zu schützen und tut das auch. Wie kann eine Privatperson die Daten aus dem Netz nehmen? Nach dem oben beschriebenen Prinzip kann jede Privatperson die Daten nur über ihren Betreiber steuern. Wobei die Telefonbuch Daten im üblichen Sprachgebrauch als Telefonbucheintrag bezeichnet werden. Bei einem TB Eintrag unterscheidet man: im TB veröffentlicht und beauskunftet, nur beauskunftet und geheim, weder veröffentlicht noch beauskunftet (beauskunftet bezieht sich auf die telefonische Auskunft.) Kann Herold Änderungen der Daten vornehmen oder muss das die TA machen? Herold darf keine Daten in den Telefonbuchseiten ändern,A1 kann nur seine eigenen Daten im TB ändern.“ – Telefonbuchdaten öffentlich zugänglich macht. Die Telekom hat diese Pflicht ausgelagert an die Herold Business Data GmbH, die wiederum die Daten von diversen Anbietern zusammenträgt und auf ihrer Seite verknüpft.

Nuwber ist kein Einzelfall. Immer öfter registriere Herold, dass fremde Firmen ungefragt für ihre eigenen Zwecke zugreifen, sagt Kaluza-Baumruker. Kann Herold das beweisenHerold benutzt einen bestimmten Mechanismus in der Datenbank, der Datendiebstahl sehr schnell nachweist. Damit das so bleibt, darf er allerdings nicht beschrieben werden. , gibt es zuerst eine Abmahnung und im nächsten Schritt eine Klage.

Erst kürzlich hat Herold einen Prozess gegen ein europäisches Portal gewonnen, die Strafe beträgt 40.000 Euro. „Wir werden uns jetzt die Nuwber-Site genauer ansehen und rechtliche Schritte setzen, so wir Hinweise auf die rechtswidrige Verwendung unserer Daten finden“, schreibt Kaluza-Baumruker in einem Mail.

Wer ist Nuwber eigentlich?

Das US-amerikanische Unternehmen ist erst 2015 online gegangen und hat seinen Sitz laut Website in New York City. Das gesamte Team wird nur mit Vornamen auf der Seite genannt, auch die Adresse bleibt geheim.

Auf die erste Anfrage über das Kontaktformular reagiert niemand. Auf eine weitere Anfrage per Mail folgt eine automatisch generierte Antwort mit einem Screenshot, wie persönliche Daten entfernt werden können. Allerdings muss man sich vor dem Löschen der eigenen Daten auf Nuwber als Miglied registrieren – und zwar mit seinem Social Media Account. Damit werden natürlich noch mehr Daten zugänglich.

Gleich mitgeliefert wird folgender „Dialog“, der einer Diskussion zum Thema Datenschutz vorgreift und vermutlich vor Klagen abschrecken soll:

Q: Hey, what’s the big idea building a website without my permission?
A: We did not need your permission to build a website.

Q: What gives you the right to put MY name and address on the site?
A: In a free country, a person can freely communicate true facts lawfully obtained from a public record. Read on for your removal request option.

Q: What about my right to privacy?
A: By definition, public information is not private.

Q: I sent in a request, but the information still appears in search engine results.
A: We don’t operate the search engines. They crawl the website and update their indices at whatever schedule they choose. Take it up with them.

Auch IP-Adressen werden gesammelt

Diese rechtliche Basis mag in den USA gelten, nicht aber in Österreich. Schön abgeputzt jedenfalls: Ein privater Dienst bezieht persönliche Daten über Suchmaschinen, die wiederum nationale Telekommunikationsplattformen abgrasen. Der Geschädigte muss mit Betreibern von Suchmaschinen selbst rumstreiten, wenn er seine Daten dort nicht stehen lassen will. Und dabei geht es nicht nur um Adresse und Telefonnummer, sondern auch um die IP-Adresse des Computers oder um demografische Daten, wie Nuwber in den Geschäftsbedingungen mitteilt.

Adresse, Geburtsdatum, Vorlieben, Nachbarn, IP-Adresse – der US-amerikanische Dienst Nuwber nimmt, was er kriegen kann.
Credits: Screenshot der AGB auf www.nuwber.com

In Österreich schreibt das Telekommunikationsgesetz vor, dass jeder das Recht hat, sich in allgemein zugängliche Teilnehmerverzeichnisse eintragen zu lassen. „Wer seine Daten ‚im Herold‘ löschen lassen möchte, muss sich grundsätzlich an seinen Betreiber wenden, der den Wunsch an A1 Telekom bzw. an Herold weitergibt“, erklärt Daniela Andreasch von der Telekommunikationsbehörde RTR.

Etwas später kommt noch ein zweites Mail von Nuwber. Seit gestern hätten fünf Leute die Löschung ihrer Daten beauftragt. Das sei nicht viel, schreibt der anonyme Mitarbeiter im Servicecenter. Verdächtig ist eine russische Formulierung im Mail. „Our head office is placed in Minsk, Belarus“, schreibt er freundlich zurück.

Sieht so aus, als sei dem Unternehmen, das sein Geld mit den erbeuteten Daten Fremder macht, selbst nicht sehr wohl mit dem großzügigen Bereitstellen von Informationen. Sonst wäre der Firmensitz nicht lapidar mit „New York City“ angegeben, und die Eigentümer hätten Nachnamen.

Nachtrag: Einige Tage nach Erscheinen des Artikels schrieb uns die Pressestelle von Herold, dass eine erste Überprüfung bislang keinen „Beweis“ erbrachte, ob eine missbräuchliche Verwendung unserer Daten vorliegt. „Wir werden den Sachverhalt allerdings noch weiterhin prüfen und im Fall eines Missbrauchs rechtliche Schritte ergreifen.“