Daten ohne Genehmigung ausgewertet: Apple muss Strafe zahlen
Apple wirbt damit, dass die Privatsphäre der Nutzer eine besondere Beachtung erfährt. Allerdings hält dies das Unternehmen nicht immer davor zurück, fahrlässig mit Daten umzugehen. Das führte nun dazu, dass der Konzern zu einer Strafzahlung verdonnert wurde.
Werbung verspricht anderes
Zusammenfassung Apple wurde in Frankreich wegen Datenschutzverstößen verurteilt.
Die französische Datenschutzbehörde verhängte ein Bußgeld von 8 Millionen Euro.
Apple hatte ohne Nutzerzustimmung Daten für gezielte Werbung gesammelt.
Apple wirbt mit Datenschutz als Verkaufsargument. Slogan: "Privacy. That's iPhone."
Apple geht in Berufung und argumentiert, dass es Nutzern eine Wahlmöglichkeit bei personalisierter Werbung bietet.
Verhängt wurde das Bußgeld von der französischen Datenschutzbehörde CNIL . Diese sah es nach Ermittlungen als erwiesen an, dass Apple Daten von iPhone-Besitzern für gezielte Werbung gesammelt hat, ohne die entsprechende Zustimmung einzuholen. Der Umfang der Strafe bleibt mit einem Betrag von 8 Millionen Euro allerdings in einem vergleichsweise kleinen Rahmen.Apple musste bisher deutlich weniger Sanktionen aufgrund von Verstößen gegen Datenschutzgesetze hinnehmen, als die Konkurrenz. Das liegt durchaus daran, dass das Geschäftsmodell weniger auf der Auswertung von Informationen über die Nutzer beruht. Beim Android-Betreiber Google etwa besteht die zentrale Einnahme-Säule in der Verwertung von Nutzerdaten zur Optimierung von Werbeschaltungen.Das wird von Apple auch offensiv genutzt. Der Konzern macht den Datenschutz zu einem Verkaufsargument für seine Geräte und wirbt mit dem Slogan "Privacy. That's iPhone." auf mehrere Meter hohen Plakatwänden in der ganzen Welt. Die in Frankreich verhängte Geldstrafe ist jedoch der jüngste Beleg dafür, dass Apple letztlich auch nicht immer der große Hüter der Privatsphäre ist, als das sich das Unternehmen gern präsentiert.In dem konkreten Fall hatte es der Konzern versäumt, "die Zustimmung der französischen iPhone-Nutzer (Version iOS 14.6 ) einzuholen, bevor er Identifikatoren für Werbezwecke auf ihren Endgeräten auswertete", so die CNIL. Apple hingegen will die Strafe nicht akzeptieren. "Wir sind enttäuscht über diese Entscheidung, da die CNIL zuvor anerkannt hat, dass die Art und Weise, wie wir Suchanzeigen im App Store schalten, die Privatsphäre der Nutzer in den Vordergrund stellt, und wir werden in Berufung gehen", sagte ein Sprecher. "Apple Search Ads geht weiter als jede andere uns bekannte digitale Werbeplattform, indem es den Nutzern eine klare Wahlmöglichkeit bietet, ob sie personalisierte Werbung wünschen oder nicht."
Internetrecht: "Richter bei Strafen für Internetkriminalität oft unsicher"
Bei der Internetkriminalität fehlen nach Angaben des Strafrechtsprofessors Eric Hilgendorf klare Richtlinien für die Bestrafung etwa pornografischer oder rechtsradikaler Inhalte. Richter seien häufig überfordert.
Bei der Internetkriminalität fehlen nach Angaben des Strafrechtsprofessors Eric Hilgendorf klare Richtlinien für die Bestrafung etwa pornografischer oder rechtsradikaler Inhalte. "Im Strafrecht für die neuen Medien fehlt die Feinsteuerung. Es gibt eine solche Fülle an Interpretationen, dass viele Richter gar nicht den Überblick haben können", sagte der Wissenschaftler der Universität Würzburg in einem Gespräch mit der Deutschen Presse-Agentur (dpa) in Trier. Entsprechend seien deutsche Richter bei der Bestrafung oft sehr unsicher.
Entwicklung zu schnell für den Gesetzgeber
Hilgendorf warnte allerdings vor einem "voreiligen Ruf nach dem Gesetzgeber". "Die Entwicklung bei den neuen Medien ist so rasant, dass neue Gesetze möglicherweise schon nach ein paar Jahren überholt sind." Der Strafrechtler meinte, dass es erst nach etwa zehn Jahren Rechtspraxis Sinn mache, aus Bewährtem Gesetze zu formen. Solange müsse der Bundesgerichtshof Fälle exemplarisch abhandeln.
Sonderfall Nazi-Propaganda
Problematisch, aber möglich sei eine Verurteilung in Deutschland, wenn jemand aus dem Ausland rechtsradikale Propaganda im Internet verbreitete. "Sobald sich der Inhalt eindeutig - also auch in deutscher Sprache - an ein deutsches Publikum richtet, kann der Verfasser nach der vollen Härte deutscher Gesetze verurteilt werden." Vollstreckt werden könne die Strafe jedoch erst, wenn der Verurteilte deutschen Boden betritt.
Haftbarkeit für Provider ausweiten
Hilgendorf sprach sich außerdem dafür aus, die Haftbarkeit für so genannte Provider auszuweiten. "Die Anbieter sollten bestraft werden, wenn sie wissentlich Platz im Internet an private Nutzer verkaufen, obwohl diese illegales Material verbreiten." In diesen Fällen gebe es bislang keine klare Gesetzeslage. Unstrittig sei nur die Strafbarkeit für Provider, die eigenes illegales Material über das Internet verbreiten.
Cyber-Ermittler: Schwere Hackerangriffe höher bestrafen
33177
Leitender Ermittler nach dem Datenhack : "Schwere Hackerangriffe härter bestrafen" von Hasso Suliak 11.01.2019
Oberstaatsanwalt Andreas May leitet die Ermittlungen zum Hackerangriff auf Politiker. Statt neuer Institutionen wünscht er sich im LTO-Interview mehr Überwachungsmöglichkeiten und einen besonders schweren Fall.
Anzeige
LTO: Herr May, die Zentralstelle zur Bekämpfung von Internetkriminalität (ZIT), die Sie leiten, hat in diese Woche gemeinsam mit dem BKA den Verantwortlichen des aufsehenerregenden Daten-Diebstahls ermittelt. Ist es ein großer Ermittlungserfolg, wie manche Medien es melden, oder für Sie eher Routine?
Andreas May: In unserer Zentralstelle ist die Verfolgung von Hacking-Kriminalität, also der Ausspähung von Daten im Netz, eine von vielen Aufgaben. Aber natürlich war bei diesem Vorfall, der ja eine Vielzahl von Politikern und Prominente betrifft, das öffentliche Aufklärungsinteresse sehr hoch. Es musste sehr schnell gehandelt werden, zumal die Daten ja bereits längere Zeit öffentlich waren.
Ein schneller Zugriff ist gelungen, sind die Ermittlungen jetzt abgeschlossen?
Keineswegs; auch wenn wir bislang nur von einem Einzeltäter ausgehen, müssen wir den Sachverhalt umfassend aufklären, um auszuschließen, dass nicht auch andere Personen an den Straftaten beteiligt waren. Ob das so ist, lässt sich auch nicht von heute auf morgen feststellen: Wir müssen bei jedem gestohlenen bzw. ausgespähten Datensatz prüfen, woher er stammt, wie der Tatverdächtige an ihn gelangt ist.
Die Bild-Zeitung hat berichtet, der Täter habe die Daten im Darknet gekauft. In dem kennen Sie sich ja als Ermittler auch gut aus, können Sie die Information bestätigen?
Nein, darauf haben wir nach derzeitigem Stand keinerlei Hinweise. Aber in den nächsten Tagen und Wochen stehen sehr umfangreiche Auswertungsmaßnahmen an: Wir haben schließlich eine enorme Anzahl von Datenträgern sichergestellt, die es jetzt auszuwerten gilt.
Und auch wenn der Tatverdächtige bereits umfangreiche Angaben gemacht hat, müssen seine Angaben und die Aussagen der Zeugen eingehend überprüft werden. Mehr kann ich zu den noch andauenden Ermittlungen derzeit nicht sagen.
"TÜ-Maßnahmen auch bei Hackereingriffen möglich machen"
Sie ermitteln wegen des Ausspähens von Daten nach dem sog. Hackerparagraphen § 202a Strafgesetzbuch (StGB), der Datenhehlerei nach § 202d StGB und – soweit es um die Veröffentlichung persönlicher Daten geht – wegen Verstoßes gegen das Bundesdatenschutzgesetz. Sind die Straftatbestände so ausgestaltet, dass damit derart gravierende Hackerangriffe angemessen verfolgen und geahndet werden zu können?
Leider nur bedingt. Bei der Vorschrift des § 202a StGB, also beim Ausspähen von Daten, ist der Strafrahmen vergleichsweise niedrig: Möglich ist eine Geldstrafe oder Freiheitsstrafe bis zu drei Jahren.
Gerade nach den Erfahrungen mit einem massiven Hackerangriff wie dem aktuellen, bei dem einem der Wert von Daten und auch das Gefährdungspotenzial deutlich werden, sollte darüber nachgedacht werden, ob nicht für besonders schwere Fälle eine Strafschärfung in Form von Qualifikationstatbeständen sachgerecht wäre. Im Hinblick auf das Gefährdungspotential kann es durchaus einen Unterschied machen, ob die private Telefonnummer eines Politikers bzw. Prominenten oder eines in der Öffentlichkeit gänzlich unbekannten Bürgers veröffentlicht wird. Das bedeutet allerdings nicht, dass wir den Schutz der Daten der Bürgerinnen und Bürger als weniger schutzwürdig erachten.
Außerdem sollten gerade in diesem Kriminalitätsbereich Maßnahmen der Telefonüberwachung bzw. der Internetüberwachung nach § 100a Strafprozessordnung möglich sein. Dazu müsste ein besonders schwerer Fall nach § 202a StGB in den Katalog der "schweren Straftaten" des § 100a Abs. 2 StPO aufgenommen werden.
Nicht der russische Geheimdienst oder ein rechtes Netzwerk sind für den Diebstahl hunderter persönlicher Daten von Politikern oder Prominenten verantwortlich, sondern ein gelangweilter, IT-affiner Heranwachsender. Waren Sie überrascht?
Nein, nicht wirklich. Wir beobachten seit Jahren die sogenannte "Underground-Economy", eine Schattenwirtschaft im Internet, die sich durch das Phänomen "Crime as a service" auszeichnet. Menschen mit einer bestimmten technischen Affinität und viel Zeit können im Internet auch mit vergleichsweise wenig Vorkenntnissen relativ gravierende Straftaten begehen. Und nicht nur das: Viele Aktivitäten finden auch unter dem strafrechtlichen Radar statt.
Könne Sie ein Beispiel nennen?
Zum Beispiel, wenn jemand im Internet einen Dienst anbietet, der es ermöglicht, dass eine Plattform – auf der etwa Waffen oder Drogen verkauft werden – immer wieder nach wenigen Tagen von Server zu Server umzieht und so nicht lokalisiert werden kann. Oder aber eine Person ist in der Lage ist – ohne dabei eigene monetäre Interessen zu haben -, die Infrastruktur für eine Website zu programmieren, auf der sich ohne Probleme später Waffen verkaufen lassen.
All diese Angebote sind inzwischen im Netz vorhanden. Und das Besorgniserregende: In diesem Metier gibt es viele hilfreiche Szeneangehörige, die sich untereinander – ohne dabei finanzielle Motive zu haben - unterstützen. Gerade jüngere Leute schließen sich in Communities zusammen und handeln dann sehr "solidarisch".
Bundesinnenminister Seehofer hat als Reaktion auf den aktuellen Angriff angekündigt, ein Cyber-Abwehrzentrum Plus aufzubauen. Bedarf es aus Ihrer Sicht neuer Institutionen, um der Internetkriminalität besser Herr zu werden? Ist Ihre Zentralstelle gut ausgerüstet?
Für unsere Zentralstelle in Hessen hat sich die Personalsituation seit 2018 sehr gut entwickelt. Wir werden demnächst in einer Besetzung mit 11 Staatsanwältinnen und Staatsanwälten sowie zwei Cyberanalysten arbeiten können. Mitte des Jahres werden wir außerdem vom derzeitigen Standort Gießen in größere Räumlichkeiten nach Frankfurt umziehen.
Welche Schlüsse auf Bundesebene aus dem Vorfall gezogen werden, möchte ich nicht kommentieren; das ist auch nicht meine Aufgabe. Positiv hervorheben möchte ich die Zusammenarbeit unserer Zentralstelle mit dem BKA, die – wie auch der aktuelle Vorfall gezeigt hat – hervorragend funktioniert. Übrigens ist man bei dem BKA im Bereich der Cyberkriminalität sowohl fachlich als personell sehr gut aufgestellt.
Herzlichen Dank für das Gespräch.