Twply ist ein Service für die User von Twitter. Mit Twitter kann man kurze Nachrichten (tweets) zwischendurch veröffentlichen und mit Twply kann man sich die Antworten auf diese tweets per Email zuschicken lassen. Alles was der Dienst braucht ist der Username und das Passwort bei Twitter.
Und nun wurde der Dienst für 1.800 Euro verkauft. Samt dieser Logindaten. Die Befürchtung die Daten könnten benutzt werden, z.B. um Spam zu verschicken, ist berechtigt und so sind alle twply-User aufgefordert (nein, natürlich nicht von twply, sondern von Nico Lumma, Frank Helmschrott oder Upload) sicherheitshalber ihre Twitterpasswörter zu ändern.
Von den Sicherheitsaspekten abgesehen ist der Fall ein schönes Beispiel dafür, welche Bedeutung das Datenschutzrecht beim Verkauf von Unternehmen- oder Onlinediensten spielt. Denn wäre twply ein deutscher Dienst (bzw. in einem Gebiet wo es ein ordentliches Datenschutzrecht gibt, wie Europa, Kanada, Australien), wäre der Verkauf aus Datenschutzgründen nicht so einfach.
Übertragung von Mitgliedsdaten nach deutschem Datenschutzrecht
Nach deutschem Recht dürfen personenbezogene Daten grundsätzlich nur dann an Dritte herausgegeben werden, wenn die Person auf die sich die Daten beziehen damit einverstanden ist oder das Gesetz es zulässt.
Logindaten sind personenbezogene Daten, weil man damit in der Regel eine Person bestimmen kann. Zwar sind es bei twply nur ein Username und ein Passwort, aber damit kann man sich ohne nennenswerten Aufwand die Emailadresse aus dem Twitteraccount holen. Gefahren des Identitätsmissbrauchs kommen auch noch dazu.
Weil das Gesetz keine Ausnahmen für den Verkauf eines Unternehmens/Onlinedienstes vorsieht, ist also eine Einwilligung, d.h. eine vorhergehende Zustimmung, eines jeden Nutzers notwendig. Und wie sieht eine solche Einwilligung aus?
Ein Hinweis in den AGB über möglichen Verkauf reicht dazu nicht aus. Auch eine Benachrichtigung mit dem Inhalt „Schweigen werten wir als Einverständnis“ reicht nicht. Es ist eine bewusste Zustimmung notwendig, z.B. die klassische Checkbox (mit einem nicht vordefinierten Häkchen) nebst Hinweisen zu dem neuen Inhaber.
Ja, das ist mühsam und sicherlich fallen so viele Mitgliedsdaten raus, aber die Konsequenzen können drastisch sein.
Konsequenzen beim Verkauf von Mitgliedsdaten
Die Bandbreite geht über Bußgelder von unter Umständen bis zu 250.000 Euro über Klagen von Einzelpersonen auf Löschung Ihrer Daten oder Schadensersatz, möglichen Wettbewerbesrechtsverletzungen bis zur kompletten Nichtigkeit des Kaufvertrages.
Das letztere weil die Richter die hier maßgeblichen Datenschutzgesetze (§§ 4 Abs.1, 28 Bundesdatenschutzgesetz) als Verbotsgesetze einstufen. D.h. weil der Schutz personenbezogener Daten so wichtig ist, führt ein Verstoß zur Nichtigkeit des Kaufvertrages! Entschieden wurde das bereits für den Verkauf von Ärzte- und Anwaltskanzleien und gilt meines Erachtens auch für persönliche Mitgliedsdaten.
Aber twply ist nicht in Deutschland verkauft worden, sondern in den USA. Und weil es dort kein übergreifendes (und einfach zu überblickendes) Datenschutzrecht gibt, sondern nur Regelungen für spezifische Branchen, die zudem noch von Bundesstaat zu Bundesstaat verschieden sein können, ist der Datenschutz dort keine so große Hürde wie bei uns. Interessanterweise hat twply nicht einmal einen Datenschutzhinweis oder ein Impressum, was einem bei der Dateneingabe doch zu denken geben sollte.
Danke für Deinen Beitrag. Ich wünsche Dir ein frohes neues Jahr 2009 mit viel Erfolg und Gesundheit.
Glaubst du, dass Twitter der einzige Anbieter ist, der seine Daten verkauft? Ich glaube nicht. Ich glaube, dass sehr viele Anbieter ihre Daten verkaufen. Und es ist ihnen ganz egal ob man das darf oder nicht. Das geht so unter der Hand und keiner bekommt es mit. Bis dann wieder der große Skandal aufgedeckt wird. Ansonsten wären die Postfächer nicht so voll mit Spam. Das ist meine Meinung. Und als Einzelner dagegen anzugehen ist schon sehr schwer. Da hat man kaum eine Chance.
@Thomas: Ganz im Gegenteil. ich glaube daran, dass es genauso aussieht wie Du es beschreibst und wir was den Datenschutz angeht, noch in den Kinderschuhen stecken. Und das gilt nicht nur für die Durchsetzung der Gesetze, Technik und Unternehmen, sondern für jeden einzelnen von uns.