Es werden in der Presse derzeit einige Halbwahrheiten verbreitet, die ein falsches Bild davon vermitteln, wie geschützt persönliche Daten in sozialen Netzwerken sind. Angeblich habe ein "Datendiebstahl" stattgefunden, bei dem "illegale Crawler" "persönliche Daten" automatisiert abgegriffen haben, was den Nutzungsbedingungen widersprochen habe.

Das ist Bullshit.

Es ist bei automatisierten Crawlern (wie zum Beispiel den Robots der großen Suchmaschinen, die Tag und Nacht dafür sorgen, dass öffentliche Inhalte möglichst gut gefunden werden) absolut unüblich, auf einer Website nach irgendwelchen "AGBs" oder "Nutzungsbedingungen" zu suchen. Für diese Datensammelroboter zählt neben den Metadaten der gerade verarbeiteten Webseite einzig und allein der Inhalt einer standardisierten Textdatei namens "robots.txt", die sich im Wurzelverzeichnis eines Webauftritts zu befinden hat.

Was steht denn nun in http://www.studivz.net/robots.txt oder http://www.schuelervz.net/robots.txt?

User-Agent: *
Allow: /

Das heißt: Alle Datensammelroboter ("*") sind herzlich eingeladen ("Allow") alles unterhalb des Wurzelverzeichnisses ("/") abzugrasen und automatisch zu speichern und auszuwerten.

Das sind die Fakten. Die Besonderheit des Crawlers des SchuelerVZ-Nutzers, der verhaftet wurde, weil er angeblich ins Büro von StudiVZ marschiert ist und mehrere zehntausend Euro verlangt hat, was wohl als versuchte Erpressung gewertet werden könnte, besteht darin, dass er nebenbei auch immer die richtige Lösung für die Captcha-Grafiken geliefert hat, die bei intensiver Nutzung der VZ-Seiten eingestreut werden. Da die Aufgabe eines Captchas die Unterscheidung zwischen Mensch und Maschine ist, eine Maschine jedoch die richtigen Antworten lieferte, kann ich keine Umgehung wirksamer Schutzmechanismen erkennen, sondern nur die automatisierte Verarbeitung offenkundig unwirksamer Schutzmechanismen. Ich würde mich daher wundern, wenn strafrechtlich etwas anderes als der Erpressungsversuch relevant werden wird.

Zivilrechtlich könnte der AGB-Verstoß von Bedeutung werden, da der Robot ja die Anmeldedaten eines mutmaßlich menschlichen Communityteilnehmers verwendet hat, die dieser nicht hätte weitergeben dürfen. Das hat aber entgegen diverser Meldungen nichts mit der Verhaftung zu tun.

Wer nicht will, dass seine öffentlichen Profildaten irgendwann einmal in automatisierten Datenbanken landen, soll sie bitteschön auch nicht ins Netz stellen. Und schon gar nicht auf den Webseiten von Firmen, die zum "Datenklau" auch noch ganz offensichtlich einladen und denen, wenn sie dabei ertappt werden, nichts besseres einfällt, als in breit gestreuten Pressemitteilungen scheinheilig Krokodilstränen zu vergießen anstatt sich um ihre untauglichen Datenschutzmechanismen zu kümmern.

How not to be seen

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python