Skandal!
Vor knapp zwei Wochen sind bei einem Datenleck über 500 Millionen Handynummern ins Internet gestellt worden – mit zugehörigem Facebook-Profil. Der Datenkonzern will die Betroffenen nicht informieren. Deshalb haben wir betroffene Mitglieder des Europaparlaments angerufen und ihnen Bescheid gesagt – die meisten sind empört und genervt von Facebook.
„Ich hab jetzt auch einfach ein bisschen Schiss“ – so und anders reagieren Abgeordnete des Europaparlamentes darauf, dass ihre Handynummer offen im Netz steht. Vor fast zwei Wochen wurde ein Datensatz mit 533 Millionen Einträgen von Facebook-Profilen öffentlich.
Schon vor einer Woche haben wir bei den betroffenen Bundestagsabgeordneten angerufen. Erst jetzt beginnt der Bundestag die Abgeordneten seinerseits zu warnen. Im Europaparlament wurde bisher nur allgemein gewarnt, dass es ein Datenleck bei Facebook gegeben habe.
netzpolitik.org wurde auf einen öffentlich zugänglichen Datensatz mit 495 Millionen Facebook-Profilen aufmerksam gemacht, eine Kopie liegt der Redaktion vor. Wir werden auch in diesem Artikel aus Sicherheits- und Datenschutzgründen nicht darauf verlinken, selbst wenn er öffentlich einsehbar ist. Aus Deutschland sind 15 Mitglieder des Europäischen Parlaments aus allen Fraktionen betroffen, aus Österreich sechs.
Wir haben den Großteil von ihnen über ihre jetzt öffentlichen Handynummern angerufen und informiert, dass ihre Nummer offen im Netz steht. Ihre Reaktionen haben wir anonym protokolliert: „Ja, von dem Datenleck habe ich gehört, daher haben sie jetzt meine Nummer? – Na klasse.“
„Meine Handynummer hatte ich eigentlich nicht öffentlich angegeben“
Neben dem vollen Namen, Beziehungsstatus, Wohnort, eventuell dem Geburtsdatum und E-Mail-Adressen enthält der geleakte Datensatz auch die Telefonnummern der Betroffenen. Sie werden für die Zwei-Faktor-Authentifizierung verwendet, um das eigene Konto zu schützen. Facebook versicherte immer wieder, dass sie nicht – wie jetzt geschehen – öffentlich werden.
2018 und 2019 wurden bereits Handynummern und Profildaten von Facebook-Nutzenden erbeutet. Das neue Datenleck ist das größte bisher. Allein in Deutschland sind sechs Millionen Menschen betroffen. Am meisten Daten wurden von Nutzer*innen, die Ägypten als Heimatort angaben, abgegriffen: Dort sind es fast 45 Millionen Datensätze.
„Oh, das war mir unbekannt“
Die Reaktionen der EU-Abgeordneten reichten von „Ach, du Scheiße“ bis zum Dank für die Information. Einige wenige hatten bereits über die Website haveibeenpwned.com selbst überprüft, ob ihre Daten betroffen sind, oder waren von Kollegen informiert worden. Die, die ihre Daten selbst überprüft haben, hatten vorher vermehrt Spam-SMS mit Paket-Meldungen erhalten.
Alle anderen haben erst von uns davon erfahren, keine offizielle Behörde hat ihnen bisher Bescheid gesagt. Viele reagierten entsprechend schockiert: „Da muss ich jetzt erstmal gucken, wie ich damit umgehe“, andere wollten die Sache erst einmal „überprüfen lassen“ oder sich dazu nicht äußern. Die Reaktionen sind heftig, doch Facebook bleibt bisher dabei, die Betroffenen nicht benachrichtigen zu wollen.
Die Situation ist für einige auch beängstigend: „Das ist keine ungefährliche Sache“, sagte eine Person. „Als öffentliche Repräsentant*innen stellen sich da jetzt weitere Sicherheitsfragen“, große Konzerne hätten da auch eine zusätzliche Verantwortung, findet eine andere.
„Ein absoluter Skandal“
Die meisten Abgeordneten waren verärgert und entsetzt: „In Ordnung ist das ja wohl nicht“, war dabei noch eine eher moderate Reaktion. Andere finden es „richtig, richtig Scheiße“ und halten das Leck für „ein Unding“. Auch der richtige Umgang mit dem Leck ist für die Betroffenen bislang unklar: „Für mich ist die Situation jetzt überfordernd“, sagt eine Person, eine andere erwidert: „Ich weiß nicht, was ich tun soll“.
Als 2019 bereits Handynummern von Facebook öffentlich wurden, sagte die Hamburger Datenschutzbehörde, dass Handynummern für Betroffene einen ähnlichen Stellenwert wie Adressen hätten. Sie seien ähnlich lange gültig und könnten nicht ohne erheblichen Aufwand geändert werden. Das zeigt sich auch dieses Mal: „Ich hab die Nummer seit ich klein bin, ich will sie ungern wechseln“. Eine andere Person sagt: „Ich würde eigentlich gerne wechseln, aber das ist im Betrieb schwierig, eine Einschränkung meiner Tätigkeit.“
Klar ist für alle Europaabgeordneten, dass Facebook die Konsequenzen spüren sollte. Einige halten den Umgang von Facebook mit dem Leck für einen Skandal, alle hoffen, dass die Sache Konsequenzen für Facebook hat. „Wir müssen auf EU-Ebene die Daumenschrauben anziehen. Wir werden prüfen, was auf EU-Ebene passieren kann“, sagt eine Person. Eine andere will mit dem Datenschutzbeauftragten sprechen und „gucken, was getan werden kann“.
Eine Person zeigt sich eher resigniert, die irische Datenschutzbehörde habe zwar bereits Untersuchungen angekündigt, aber „Sie kennen ja die Datenschutzbehörde, da gibt es ein Problem mit der Durchsetzung.“
„Und was soll ich jetzt machen?“
„Was würden Sie mir jetzt empfehlen?“ – Die EU-Datenschutzgrundverordnung (DSGVO) regelt eigentlich, dass Unternehmen wie Facebook in so einem Fall die Betroffenen informieren müssen. Die Daten hätten außerdem ausreichend geschützt sein müssen. Digital Rights Ireland (DRI) hat jetzt eine Kampagne gegen das Datenleck gestartet. Die Behörde ruft alle betroffenen EU-Bürger*innen dazu auf, sich auf einer Seite zu melden, um sich einer Sammelklage anzuschließen.
Die Organisation hat eine Beschwerde bei der irischen Datenschutzbehörde eingereicht und bereite sich jetzt darauf vor, die Interessen der Betroffenen vor Gericht zu verteidigen. Sie hoffen auf eine Geldstrafe für Facebook. Laut Antoin O Lachtnain, dem Vorsitzenden des DRI, sei Schadensersatz der effektivste Weg, um das Verhalten solcher Unternehmen zu verändern. O Lachtnain teilte in einer Pressemitteilung mit, die Betroffenen hätten es verdient, dass gehandelt werde. Es werde die erste Massenklage dieser Art sein, aber nicht die letzte. Der Schutz persönlicher Daten müsse auch von Tech-Giganten ernst genommen werden. In Irland, wo die Klage eingereicht werden soll, sind ebenfalls vier Europaparlaments-Abgeordnete betroffen. Der eine, den wir erreicht haben, war bisher noch nicht informiert: „Thank you very much, I’m gonna check that.“
Netzpolitik.org; Josefine Kulbatzki; 19.04.2021
http://creativecommons.org/licenses/by-nc-sa/4.0/
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.
Swiss Infosec AG; 23.04.2021
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch