Messaging-Dienste sind zu einem gewaltigen Markt geworden. Über 60 Milliarden Kurznachrichten pro Tag sollen laut einer Prognose bis zum Ende des Jahres weltweit versandt werden. Und da dies auf dem klassischen Weg der SMS mehr als ein kleines Vermögen kosten würde, wird erwartet, dass in Zukunft Dienste wie der Marktführer WhatsApp zwei Drittel des gesamten Datenaufkommens stemmen. Kein Wunder, dass zahlreiche neue Anbieter in diesen boomenden Markt drängen. Einer dieser Anbieter möchte Heml.is werden. In einer Zeit, in der die staatlichen Abhörprogramme Prism und Tempora die täglichen News bestimmen, will das schwedische Unternehmen einen sicheren Kurznachrichtendienst anbieten, bei dem Geheimes geheim und Privates privat bleibt.
Was allerdings erstaunt: Hinter Heml.is steckt niemand anderes als das Führungsteam des Micropayment-Dienstleisters Flattr, der nach mehrfachen Änderungen seiner Angebots- und Preisstrukturen seit seiner Gründung im Jahr 2010 noch immer primär im deutschsprachigen Nerdbereich sein Nischendasein fristet. Und genau dieses Unternehmen hat sich bislang nicht gerade als Musterschüler empfohlen, was den Datenschutz betrifft. Das System des schwedischen Online-Finanzdienstleisters erlaubt es nämlich, dass Mitglieder auch diejenigen Personen mit geldwerten Klicks zu bedenken, die sich selbst bei Flattr nie angemeldet haben. Die Listen dieser Nicht-Kunden stellt man bei Flattr dann offen ins Netz – einschließlich Usernamen, Bild und dem usergeneriertem Content, für den der zahlende Klick von einem Flattr-Kunden vergeben wurde.
Freilich werden die Personen, deren Daten hier im Netz publiziert werden, nicht gefragt. Aber die Sache dient ja Höherem: Der Gewinnung neuer Kunden nämlich, die in Erwartung der Einlösung ihnen zugedachter Geldbeträge neue Mitglieder bei Flattr werden. Widerspricht man aktiv der Nutzung seiner eigenen, persönlichen Daten auf dieser Webseite, so erhält man zunächst einmal eine verständnislose Antwort des Supports, der bei Flattr praktischerweise direkt von CEO und CTO des Unternehmens geleistet wird. Ob man den überhaupt verstehe, dass man durch die Nicht-Mitgliedschaft bei Flattr bares Geld verschenke, wird man gefragt. Man bestätigt dies, doch es benötigt immer noch mehrere, schriftliche Anmahnungen und etwa fünf Wochen geduldigen Wartens, bis die eigenen Daten schließlich von der Flattr-Webseite gelöscht sind. Aber die Freude währt nicht lange, teilt einem doch der technische Vorstand des Zahlungsdienstleisters schließlich mit:
Anytime we add a new service this will also mean that you will be flattrable through that service, if you are a user of the said service. There is nothing we can do about that, other than block your identity when you ask us to do so.
Das bedeutet: Sobald es der Flattr-Führung gefällt, das eigene Zahlungssystem in neue, weitere Internet-Dienstleistungen zu integrieren, wird man selbst wieder gegen seinen Willen auf der Webseite des Unternehmens auftauchen. Denn an die klare, einmalig erklärte Sperrung der eigenen Daten, die überdies ohne Einverständnis publiziert und für die eigene Werbung verwendet wurden, mag sich Flattr dauerhaft nicht halten. Man müsse dann eben immer wieder aufs Neue aktiv auf das Unternehmen zugehen und einmal mehr um Datensperrung betteln, so wird einem mitgeteilt. Offenbar ist die technische Struktur dieses Finanzdienstleisters nicht in der Lage, selbst ein Minimum an Datenschutz zu gewährleisten. Und dies ganz einfach deshalb, weil den Verantwortlichen des Unternehmens ihre Werbung wichtiger und der Datenschutz ohnehin völlig gleichgültig ist.
Nun gründet also genau dieses Team von Verantwortlichen ein neues Unternehmen, das den Datenschutz im Messaging-Bereich revolutionieren soll. Man darf gespannt sein. Aber die potentiellen Nutzer scheinen sich an derlei Kleinigkeiten ohnehin nicht zu stören: Nachdem die Ertragslage von Flattr ein eigenes, finanzielles Investment der Gründer offenbar nicht zuließ, versuchte man, auf der nagelneuen Heml.is-Webseite das Startkapital von 100.000 Euro zu crowdfunden. Äußerst erfolgreich, denn schon innerhalb von 36 Stunden wurden mehr als hundert Prozent des angestrebten Betrags in die Kasse der Heml.is-Initiatoren gespült. Denn wer schon forsch genug war, auf der Grundlage eines Offenbarungseids ein Finanzinstitut zu gründen, der hat auch das Vertrauen der Crowd, wenn es darum geht, als Datenschutzverächter einen Hochsicherheits-Datendienst aus der Taufe zu heben.
Ein interessanter Artikel über bisher bekannt gewordene, technische Sicherheitsaspekte von Heml.is findet sich bei xdadevelopers.
SirTomate
Nur weil dir die Datenschutzsachen bei flattr nicht gefallen, heißt es ja noch nicht, dass es ein cryptofail wird. Da kann man ganz andere Sachen kritisieren, wie die Nicht-Freigabe des Quellcodes, oder dass man nur deren Server nutzen kann.
Zur flattr-sache… Ich verstehe dein Problem nicht. Wenn ich ein Video auf Youtube, oder ein Bild auf Instagram hochlade, dann ist es doch öffentlich. Wieso darf flattr davon keine Liste auf ihre Seite stelllen. Ist doch nur ein Index, der auf deinen öffentlichen Inhalt verweißt.
egghat
Die Flattr-Kritik finde ich auch etwas komisch. Flattr kann per Definition nur an Sachen rankommen, die für alle sichtbar sind.
Klar. Flattr sollte eigentlich sowas wie no-index einbauen und dann wie Google das Indizieren sein lassen. Nur: Wie soll das auf YouTube gehen? Da stellst du dein Video ein und dann indiziert Google das. Ende aus. Da hast du auch keinen EInfluss darauf, wer das indiziert.
Jens Arne Männig
Es ist ein Grundprinzip des Datenschutzes, dass Daten, nur weil sie sichtbar sind, noch lange nicht abgeschnorchelt und im eigenen Einflussbereich erneut gespeichert werden dürfen. In Deutschland beschreibt das beispielsweise § 4 BDSG, der überdies noch verdeutlicht, dass Daten beim Betroffenen selbst, nicht bei irgendwelchen Dritten erhoben werden müssen.
Flattr geht hier allerdings sogar noch ein Stück weiter und verwendet die bei Dritten abgegriffenen Daten im Rahmen seiner Werbung. Damit verhält sich das Unternehmen wie eine Bank, die in ihrer Reklame unter der Überschrift Diesen Personen wollten unsere Kunden Geld überweisen Namenslisten veröffentlicht.
Dein YouTube-Beispiel hinkt meines Erachtens etwas, da YouTube ja Google ist.