Im Webmail-System Roundcube klafften mehrere, teils kritische Sicherheitslücken. Das Entwicklerteam hat sie behoben und nun den fünften und „hoffentlich letzten“ Kandidaten für die Version 1.7 veröffentlicht. Auch ältere Versionen erhalten Flicken für die Lücken.

Die vermutlich gefährlichste Sicherheitslücke klafft in der Sessionverwaltung mittels Redis/memcache – sie erlaubt Angreifern ohne vorherige Anmeldung, beliebige Dateien auf den Webserver zu schreiben. Ebenfalls unangenehm: Eine weitere Sicherheitslücke erlaubte in manchen Fällen, das Passwort eines Roundcube-Nutzers zu ändern, ohne dessen altes Passwort zu kennen. CVE-Kennungen gibt es bis jetzt für keine der Sicherheitslücken.

Des Weiteren behoben die Roundcube-Entwickler verschiedene Wege, die Inhaltsfilter, speziell die Blockierung von Bildern in der E-Mail-Anzeige, zu umgehen. Auch eine IMAP-Injection, Cross-Site Scripting und SSRF fanden und meldeten unabhängige Sicherheitsforscher.

Updates sind erschienen

Fehlerbereinigte Ausgaben für die drei aktuell gepflegten Roundcube-Versionen sind erschienen:

• Roundcube 1.7rc5,
• Roundcube 1.6.14 und
• Roundcube 1.5.14

Downloadlinks und einige knappe Informationen zu den einzelnen Sicherheitslücken finden sich auf der Versionsankündigung bei Github. Die Entwickler des Webmailers empfehlen dringend allen Admins, ihre Webmailer auf den neuesten Stand zu bringen. Exploits für Roundcube-Sicherheitslücken hatten erst Ende Februar für eine Warnung der US-Cybersicherheitsbehörde CISA gesorgt.

(cku)

Viele deutsche Bundesministerien und Behörden sind weiterhin auf dem umstrittenen Kurznachrichtendienst X aktiv. Meist begründen sie dies mit dem verfassungsrechtlichen Informationsauftrag, der sie angeblich dazu zwinge, auf der auf rechts gepolten Propagandaplattform des US-Unternehmers Elon Musk zu bleiben.

Sonderlich erfolgreich sind die Behörden damit jedoch nicht, wie nun eine Reichweitenanalyse des Zentrums für Digitalrechte und Demokratie zeigt. Ihre Beiträge werden in Summe kaum angesehen, kommentiert oder weiterverbreitet. Wenn es Interaktionen gibt, dann fallen diese selten konstruktiv aus. Stattdessen hetzen etwa unter Posts des Innenministeriums mal mutmaßliche, mal offen rechtsradikale Accounts gegen Geflüchtete oder verbreiten rassistische Kriminalitätserzählungen.

Es handle sich um eine kleine Stichprobe, die keine repräsentativen Aussagen erlaube, betont das Zentrum. Aber dabei enthüllte „deutliche Muster“, Tendenzen und beispielhafte Kommunikationsdynamiken deckten sich mit Forschungsergebnissen über Polarisierung, Plattformlogik und Benachteiligung sachlicher Kommunikation.

Zu einem ähnlichen Ergebnis ist im Februar netzpolitik.org gelangt, das die X-Accounts ausgewählter großer deutscher Medienhäuser analysiert hatte. Obwohl auch sie nur verhältnismäßig wenige Nutzer:innen erreichen, berufen sie sich unter anderem auf die Reichweite, die das vormals als Twitter bekannte soziale Netzwerk biete. Zudem sei der Online-Dienst genau der richtige Ort, um der auf X grassierenden Desinformation mit Fakten und Qualitätsjournalismus zu begegnen, so die befragten Medien.

Interaktionen im einstelligen Prozentbereich

Wie die Untersuchung des Zentrums nun offenlegt, ergeht es Behörden auf X kaum anders als journalistischen Inhalten. Die meisten untersuchten Accounts der Bundesministerien haben unter 200.000 Follower:innen und erzeugen kaum Resonanz. Selbst das Gesundheitsministerium (BMG), das immerhin knapp 330.000 folgende Accounts aufweist, geht auf der Spielwiese für Reaktionäre unter: Im Schnitt erreichte das BMG im Untersuchungszeitraum nicht einmal 1,3 Prozent seiner Follower:innen, wie das Zentrum vorrechnet. Gelingt es Behörden zuweilen, reichweitenstarke Posts abzusetzen, dann besetzen oft rechtsradikale Nutzer:innen den Debattenraum darunter.

Diesen Schnappschuss untermauern zahlreiche wissenschaftliche Studien, die das Zentrum heranzieht. So ist etwa belegbar, dass der Empfehlungsalgorithmus von X dafür anfällige Menschen nach rechts zieht. Faktenbasierte Kommunikation reicht in stark polarisierten Umfeldern nicht aus, um Desinformation wirksam zurückzudrängen, zeigt eine andere Studie – erst recht nicht in stark ideologisch aufgeladenen Kontexten. Und konstruktiver Dialog ist nur dann möglich, wenn Menschen wirklich miteinander reden und auf Argumente eingehen, was sich auf X nur selten beobachten lässt.

Damit verschiebe sich auch die Bedeutung des Informationsauftrags, schreibt das Zentrum: „Behörden sind auf X nicht einfach nur präsent. Sie kommunizieren in einer Umgebung, die aktiv gegen sie arbeitet – und der Algorithmus auf X ist ein mächtiger Gegner.“ Das zeige sich etwa daran, dass algorithmisch sortierte Kommentare immer wieder rechtsextremistische Accounts nach oben spülen, unter anderem die Identitäre Bewegung. Dass sich staatliche Behörden in einem derartigen Umfeld, selbst losgelöst von etwaigen Reichweitenargumenten, nicht mehr auf ihren verfassungsrechtlichen Informationsauftrag berufen können, hatte bereits im Vorjahr der Verfassungsblog ausgeführt.

Ein Abschied von X ist möglich

Indes sprechen deutsche Behörden nicht mit einer Stimme. Einige haben X dauerhaft verlassen, etwa die Berliner Staatsanwaltschaft oder die Antidiskriminierungsstelle des Bundes. X sei „für eine öffentliche Stelle kein tragbares Umfeld mehr“, erklärte Behörden-Chefin Ferda Ataman damals. Andere lassen ihren X-Account ruhen oder bespielen ihn nur mehr unregelmäßig, darunter das Verteidigungsministerium oder das Landwirtschaftsministerium. Ein sachlicher Austausch werde auf X „zunehmend erschwert“, begründete das Verteidigungsministerium den Schritt.

Auf die Kommunikation mit der Außenwelt verzichten sie deshalb jedoch nicht, schließlich existieren neben X zahlreiche weitere Online-Dienste mit grob vergleichbaren Funktionen. Dabei sei die „Förderung einer respektvollen und sachorientierten Diskussion“ maßgeblich, teilte ein Sprecher des Landwirtschaftsministeriums dem Zentrum mit. „Vor diesem Hintergrund setzen wir in unserer digitalen Kommunikation den Fokus auf Plattformen wie LinkedIn oder Instagram, auf denen erfahrungsgemäß häufiger ein fachlicher und konstruktiver Austausch stattfindet.“

Das Recht auf Auskunft über die eigenen personenbezogenen Daten gehört zu den schärfsten Schwertern der Datenschutz-Grundverordnung (DSGVO). Doch wer dieses Instrument zweckentfremdet, um daraus ein Geschäftsmodell zu machen, stößt nun an juristische Grenzen. Der Europäische Gerichtshof (EuGH) hat am Donnerstag in einem wegweisenden Urteil klargestellt, dass Auskunftsanträge eindeutig als rechtsmissbräuchlich eingestuft werden können. Voraussetzung ist, dass sie allein mit der Absicht gestellt werden, später Schadenersatzansprüche zu provozieren.

Mit der Entscheidung in der Rechtssache C-526/24 stärkt das höchste europäische Gericht die Verteidigungsmöglichkeiten von Unternehmen gegen sogenannte Datenschutz-Trolle. Der Fall nahm seinen Ausgang vor dem Amtsgericht Arnsberg. Dort entwickelte sich eine Art Lehrstück über eine moderne juristische Grauzone.

Eine in Österreich wohnhafte Person hatte sich für den Newsletter des Optikerunternehmens Brillen Rottler angemeldet und dabei freiwillig ihre Daten in die Maske eingegeben. Nur 13 Tage später forderte sie das Unternehmen nach Artikel 15 DSGVO auf, umfassend Auskunft über die verarbeiteten Daten zu erteilen. Als das Unternehmen den Antrag mit Verweis auf einen mutmaßlichen Missbrauch ablehnte, klagte die Person auf eine Entschädigung von mindestens 1000 Euro für den angeblich entstandenen immateriellen Schaden.

Kläger war kein Unbekannter

Das Optikerunternehmen konnte vor Gericht darauf verweisen, dass der Antragsteller kein Unbekannter war. Medienberichte und Informationen von Rechtsanwälten legten nahe, dass die Person systematisch Newsletter abonniert, unmittelbar danach Auskunft verlangt und bei der kleinsten Verzögerung oder Ablehnung Klagewellen wegen Datenschutzverstößen initiiert. Das Amtsgericht Arnsberg rief daraufhin den EuGH an. Es wollte klären lassen, ob bereits ein erster Auskunftsantrag als „exzessiv“ im Sinne der DSGVO gelten kann und unter welchen Bedingungen ein Schadenersatzanspruch in solchen Konstellationen besteht.

Die Luxemburger Richter stellten nun fest, dass der einschlägige Schutz der DSGVO nicht schrankenlos gilt. Zwar dient das Auskunftsrecht dazu, dass sich Bürger der Datenverarbeitung bewusst werden und deren Rechtmäßigkeit überprüfen können. Ziel ist es, gegebenenfalls Rechte auf Berichtigung oder Löschung wahrzunehmen. Wenn aber nachgewiesen werden kann, dass ein Antrag trotz formaler Korrektheit nur gestellt wurde, um künstlich die Voraussetzungen für eine Schadenersatzklage zu schaffen, liegt ein Rechtsmissbrauch vor.

Ein solcher Nachweis kann laut EuGH etwa durch das bisherige Verhalten der Person und öffentlich zugängliche Informationen über ähnliche Forderungen gegenüber anderen Unternehmen geführt werden.

Wann wird Schadenersatz fällig?

Relevant für die Praxis ist die Klarstellung des EuGH zu den Voraussetzungen für Schadenersatz. Ein bloßer Verstoß gegen die DSGVO reicht demnach nicht automatisch für eine Geldentschädigung aus. Der Kläger muss vielmehr nachweisen, dass ihm tatsächlich ein konkreter materieller oder immaterieller Schaden entstanden ist.

Zwar umfasst ein immaterieller Schaden grundsätzlich auch den Kontrollverlust über die eigenen Daten. Doch setzt der EuGH hier jetzt eine entscheidende Hürde: Wer durch sein eigenes Verhalten die entscheidende Ursache für den Schaden gesetzt hat – etwa indem er die Datenverarbeitung nur provoziert, um sie später zu „verklagen“ – kann keinen Ersatz verlangen.

Firmen verspricht dieses Urteil eine Erleichterung. Sie können bei exzessiven Anträgen unter Berufung auf Artikel 12 Absatz 5 DSGVO entweder die Auskunft verweigern oder ein angemessenes Entgelt für den Verwaltungsaufwand verlangen. Trotzdem bleibt die Beweislast beim Verantwortlichen.

Das Amtsgericht Arnsberg muss nun im konkreten Einzelfall prüfen, ob das Verhalten des Klägers die Schwelle zum Missbrauch überschritten hat, wobei Faktoren wie die kurze Zeitspanne zwischen Anmeldung und Antrag sowie die Freiwilligkeit der Datenpreisgabe eine zentrale Rolle spielen.

()