Ein aktuelles Urteil aus Österreich ist ein weiterer Schritt im Streit um sogenannte „Pay or Okay“-Modelle. Demnach habe die Zeitung „Der Standard“ mit der Gestaltung ihrer Cookie-Banner gegen die Datenschutzgrundverordnung (DSGVO) verstoßen und keine gültige Einwilligung zur Verabeitung von Daten eingeholt.

Beim Modell „Pay or Okay“ werden Leser:innen vor die Wahl gestellt, ob sie ein kostenpflichtiges Abonnement abschließen wollen („pay“) oder Tracking auf der Website zustimmen („okay“). Abonnieren oder akzeptieren: Aus Perspektive von Datenschutz und Privatsphäre ist das keine faire Wahl.

In Fall des Standard wurden Leser:innen beim Klicken des „Okay“-Button direkt zu den Inhalten der Seite geleitet, ohne dass sie zuvor auswählen konnten, für welchen Verarbeitungszweck ihre Daten erhoben werden sollen. Dagegen hat sich die NGO noyb gewehrt. Das ist eine gemeinnützige Organisation aus Wien, die sich für Datenschutz in der EU einsetzt.

Keine freiwillige Einwilligung

Möchten Online-Medien ihre Nutzer:innen tracken, benötigen sie dafür laut DSGVO eine wirksame Rechtsgrundlage. Websites und Apps berufen sich dafür in der Regel auf die informierte und freiwillige Einwilligung und servieren Besucher:innen Cookie-Banner. Allerdings kommt es auf die Gestaltung des Banners an.

Der Europäische Datenschutzausschuss (EDSA) vertritt in seinen Leitlinien zur Einwilligung die Ansicht, dass zu verschiedenen Verarbeitungsvorgängen auch gesonderte Einwilligungen eingeholt werden müssen: „Wenn der Verantwortliche verschiedene Zwecke für die Verarbeitung zusammengefasst hat und nicht versucht, gesonderte Einwilligungen für jeden Zweck einzuholen, fehlt die Freiheit.“

EU-Datenschützer*innen watschen Abo-Modelle ab

Darauf hatte sich auch die österreichische Datenschutzkonferenz (DSB) bezogen, die den Fall aufgrund der noyb-Klage bewertet hatte. Grundsätzlich seien „Pay or Okay“-Modelle demnach zwar kein Problem. Im Fall des Standard hätte Nutzer:innen aber keine ausreichend granulare Auswahl treffen können. Diese Entscheidung hat nun auch das Bundesverwaltungsgericht (BVwg) in Österreich bestätigt.

„Sowohl die DSB als auch das Gericht haben entschieden, dass Nutzer:innen die Möglichkeit haben müssen, die Einwilligung zu jedem Verarbeitungszweck einzeln abzugeben oder zu verweigern“, fasst noyb die Lage zusammen.

Die NGO geht jedoch davon aus, das Der Standard die Entscheidung noch vor dem Verwaltungsgerichtshof (VwGH) in Österreich anfechten werde, bis sie wahrscheinlich vor dem dem Europäischen Gerichtshof (EuGH) landet. Der Standard hat in Reaktion auf das Urteil bereits angekündigt, die Granularität der Einwilligung anzupassen.

Mehr Tracking durch „Pay or Okay“

„Pay or Okay“-Modelle sind besonders in der EU verbreitet. Populäre Nachrichtenseiten wie T-Online oder der Spiegel setzen sie ein. Auch Meta nutzt das Modell seit 2023 für Facebook und Instagram.

Fachleute bezweifeln nicht nur die Rechtmäßigkeit, sondern auch die finanzielle Notwendigkeit dieser Modelle. Laut einem Bericht von noyb stammen nur etwa 10 Prozent der Einnahmen von Medienhäusern aus digitaler Werbung und höchstens 5 Prozent aus der Verarbeitung von personenbezogener Daten.

Vor die Wahl zwischen Abonnement und Tracking gestellt, würden sich mehr als 99 Prozent für Tracking entscheiden. „Laut Studien wollen aber nur 0,16 Prozent bis 7 Prozent der Menschen getrackt werden oder ihre Daten für personalisierte Werbung verwenden“, mahnt noyb.

Wer einen Tesla fährt, kann umfangreich Daten des Fahrzeugs sammeln und auswerten. Das gelingt etwa mit dem Open-Source-Projekt TeslaMate. Ein IT-Forscher hat nun hunderte offenstehende Instanzen im Netz gefunden, die diese Daten aller Öffentlichkeit preisgeben.

Aufgefallen ist der fehlende Zugriffsschutz Seyfullah Kılıç, der in einem Blog-Beitrag darüber berichtet. Das quelloffene Tool TeslaMate steht auf Github zum Herunterladen bereit. Es erlaubt, die Daten des eigenen Fahrzeugs zu sammeln und speichert diese in einer Postgres-Datenbank. Die Daten können mit Grafana visualisiert und analysiert sowie an lokale MQTT-Broker verteilt werden. Das ermöglicht die Aufbereitung, etwa mit Home Assistant.

Zu den Daten, die TeslaMate verwaltet, gehören unter anderem Fahrtendaten mit automatischen Adressnachschlagen, Ladestand und Zustand des Akkus. Das Projekt listet auf Github noch diverse Standard-Dashboards zu weiteren Daten auf, die damit einsehbar sind.

Selbsthosting ohne Zugriffsschutz

Das Problem, auf das Kılıç gestoßen ist, liegt im Selbsthosting von TeslaMate. Die Software enthält standardmäßig keinen Zugriffsschutz und erlaubt allen Zugriff auf die Daten. Dadurch können Unbefugte etwa den Standort einsehen – daraus lässt sich gegebenenfalls ableiten, ob ein Tesla zuhause oder im Büro ist. Etwa für Angreifer wie Einbrecher jedoch sehr nützlich.

TeslaMate stellt standardmäßig auf Port 4000 ein Web-Interface bereit und auf Port 3000 ein Grafana-Dashboard. Das verlockt Nutzerinnen und Nutzer offenbar dazu, Instanzen auf Cloud-Servern zu hosten oder heimische Installationen ins Internet durchzureichen. Mit einer Suche nach offenen TCP-Ports 4000 und der Abfrage des Standard-HTTP-Titel von TeslaMate über das Internet stieß der IT-Sicherheitsforscher auf hunderte offene Instanzen, die diese eher persönlichen Informationen aller Welt preisgeben.

Darauf basierend hat er einen Crawler programmiert, der die genauen GPS-Daten der überwachten Teslas, ihre Modell-Namen, Software-Version und Updateverlauf sowie Zeitstempel von Reisen und Ladesitzungen auswertet. Durch das Auswerten der täglichen Gewohnheiten auf einer Karte konnte er etwa Heimatadressen und oft besuchte Orte erkennen. Unter der URL teslamap.io veröffentlicht Kılıç seine Auswertungen auf einer Karte. Auch in Deutschland, Österreich und Schweiz sind demnach mehrere Fahrzeuge unter TeslaMate-Beobachtung.

Das Problem ist der fehlende Zugriffsschutz. Der Dienst sollte nicht öffentlich im Netz erreichbar sein, sondern wenigstens in LAN stehen, auf das nur Zugriff über VPN gelingt. Der IT-Forscher schlägt zudem vor, einen Reverse Proxy mit nginx aufzusetzen, der zumindest Basic Auth – also eine Log-in-Abfrage von Nutzername und Passwort – nachrüstet.

(dmk)

Bei Infoniqa, einem Software- und Dienstanbieter für den HR-Bereich, kam es Anfang des Monats zu einem IT-Vorfall. Jetzt meldet sich die Cybergang „Warlock“ im Darknet und reklamiert den Einbruch für sich. Sie will große Mengen teils sensibler Daten entwendet haben.

Ein Countdown auf der Untergrund-Webseite der kriminellen Vereinigung zeigt eine Laufzeit von etwas mehr als zwei Tagen an. Eine Schaltfläche „View Data“ ist derzeit (noch) funktionslos.

Der Info-Kachel zufolge haben die Mitglieder der Bande bei Infoniqa 165 GByte an Daten kopiert. Darunter sollen sich interne Dokumente, Finanzdokumente, Mitarbeiter-Informationen, die CRM-Datenbank, die HR-Datenbank sowie eine SaaS-Datenbank befinden.

Umfangreiche Daten abgeflossen?

Letzteres wäre vermutlich die Datenbank mit den Daten, die die Kunden bei Infoniqa verwalten. Belege liefert die Cyberbande nicht. Es finden sich keine Samples oder Auszüge oder Verzeichnisstrukturen, die eine Evaluierung erlauben würden.

Eine Antwort auf unsere Anfrage hierzu bei Infoniqa steht derzeit noch aus, ob etwa eine Lösegeldforderung vorliegt oder ob das Unternehmen den behaupteten Datenabfluss bestätigen kann. Wir reichen eine Antwort bei Verfügbarkeit an dieser Stelle nach.

Bisher hat Infoniqa lediglich bestätigt, dass in der Nacht zum Montag, dem 4. August 2025, ein Cyberangriff auf die IT des Unternehmens stattfand. Danach habe das Unternehmen umgehend Schutzmaßnahmen ergriffen und betroffene Systeme getrennt und heruntergefahren. Dennoch hätten die meisten Produkte den Kunden zur Verfügung gestanden, lediglich für „ONE Start Cloud“ ist eine Alternative zu nutzen. Vergangene Woche, am 12. August, sollen alle technischen Einschränkungen bereits gelöst worden sein, gab Infoniqa gegenüber heise online an.

Die Untersuchungen liefen vergangene Woche noch. Das Unternehmen wollte deshalb keine Angaben dazu machen, ob und welche Daten abgeflossen seien. Jedoch seien „Externe Cyber Security Experten und Forensiker“ mit der Analyse des Vorfalls betraut. Infoniqa setzt dabei den Angaben zufolge auf „Gründlichkeit vor Geschwindigkeit“.

(dmk)