Netzpolitik
18.12.2014

Initiative für Netzfreiheit kritisiert Mjam

In einer Aussendung hat die Initiative für Netzfreiheit die Informationspolitik des Essens-Bestelldienstes kritisiert und eine gesetzliche Regelung bei Datenlücken gefordert.

Vor kurzem wurde bekannt, dass Kundendaten des Essens-Bestelldienstes Mjam in die Hände von Telefonkeilern geraten sind (die futurezone hat berichtet). Im Zuge der Recherchen ist unter anderem ans Tageslicht gekommen, dass auf der Plattform Github interne Daten von Mjam öffentlich zugänglich waren. Dabei handelte es sich um „Quellcode, Dokumente, Userdaten und verwandte Werke, die vertraulich sind und Mjam GmbH“ gehören. Laut einem Blogeintrag von Mjam stammen diese Daten aus dem Jahr 2010 und sind von pizzaportal.at. Mit den aktuellen Anrufen haben sie laut Mjam jedoch nichts zu tun.

Entdeckt wurde das bereits vor einigen Tagen im Zuge der Recherchen der Initiative für Netzfreiheit (IFNF). Die Verantwortlichen von Mjam wurden von der IFNF darüber informiert, worauf die Daten von Mjam.at aus dem Internet entfernt wurden. Mjam hielt es dabei jedoch nicht für notwendig, die betroffenen Nutzer zu informieren, was die Initiative für Netzfreiheit nun kritisiert. „Die betroffenen Kund*innen, deren personenbezogene Daten vermutlich aus Fahrlässigkeit über ein Jahr hinweg öffentlich im Internet einsehbar waren, wurden bis dato noch nicht über dieses Datenleck informiert. Die IFNF empfiehlt Mjam deshalb dringend, sich der Aufklärung dieses Sachverhaltes zu widmen und die betroffenen Kund*innen zu informieren“, so die IFNF in einer Aussendung.

Rechtslücke in Österreich

Der Fall zeige laut der IFNF auch eine Rechtslücke in Österreich auf, da es keine allgemeine Verpflichtung für Unternehmen gebe, Betroffene bei vergleichbaren Fällen zu informieren. Die Unternehmen sind gesetzlich nur dann verpflichtet, Auskunft zu geben, wenn Daten "systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht.“ (§ 24 Abs 2a DSG) Diese Voraussetzungen seien laut der IFNF viel zu hoch angesetzt.

„Die Missbrauchsoption und der Verlust von Privatsphäre bei den Betroffenen bestehen allerdings auch ohne einen derartigen Nachweis sobald die Daten öffentlich zugänglich sind. Ohne Informationspflicht bei bekannt gewordenen Datenlecks haben Betroffene derzeit überhaupt keine Möglichkeit adäquat auf den Verlust ihrer Privatsphäre zu reagieren und die Sicherheit eines Dienstes einzuschätzen“, so die Initiative.

Der aktuelle Fall zeige die dringende Notwendigkeit einer rechtlichen Verpflichtung auf, sowohl öffentliche Stellen als auch Betroffene über Datenlecks zu informieren.