Nicht erst seit PRISM bekannt wurde stehe ich Yahoo kritisch gegenüber. Schon vor dem Bekanntwerden, hatte ich Probleme mit Yahoo, weil die unnötig Sicherheitsabfragen wollen. Da der Dialog mit Yahoo selber nichts brachte, hatte ich es dann über den Bundesdatenschutzbeauftragten versucht, was allerdings auch nicht ganz einfach war.
Ich wollte nun ganz konkret bei einem Account wissen wodran die zusätzliche Abfrage der Sicherheitsfrage lag. Hier die Antwort von Yahoo über den Datenschutzbeauftragten
…
in Ihrer E-Mail vom 6. Juni 2013 baten Sie mich darum, bei der Yahoo! Deutschland GmbH konkret nachzufragen, warum im Anmeldevorgang zum E-Mail-Account „….@yahoo.de“ die Sicherheitsabfragen überprüft werden. Weiterhin baten Sie um eine Auskunft, ob Daten an Dritte (z.B. an die NSA, „PRISM“) weitergegeben wurden. Zur Klärung dieser Fragen habe ich die Yahoo! Deutschland GmbH um eine ergänzende Stellungnahme gebeten, die mir nunmehr vorliegt.Zunächst führt Yahoo! aus, dass eine bloße Angabe des E-Mail-Accounts „….@yahoo.de“ keinen ausreichenden Schluss auf den tatsächlichen Inhaber zulässt. Konkrete Auskünfte können deshalb nach dem Schreiben ausschließlich dann erteilt werden, wenn sich der Inhaber des Account eindeutig verifiziert. Dadurch wird ausgeschlossen, dass sich unbefugte Dritte Informationen oder auch Zugang zu diesem Account beschaffen. Zur Sicherheitsfrage wird weiterhin allgemein ausgeführt, dass es sich um eine zweite Anmeldeprüfung handelt, die den Account vor unbefugten Zugriff schützt. In Ihrem Fall vermutet Yahoo!, dass die Anmeldung vermutlich von einem unbekannten Gerät erfolgte. Wird vom System ein unberechtigter Zugriff vermutet, so wird der Nutzer um die Beantwortung der hinterlegten Sicherheitsabfragen gebeten. Yahoo! führt weiterhin aus, dass für den Fall, in denen der Nutzer nicht die Sicherheitsfragen beantworten kann, sich dieser mit dem Kundendienst unter der Rufnummer 0800/…. in Verbindung setzen kann, um eine entsprechende Lösung zu finden.
Zur generellen Thematik der Datenweitergabe z.B. an US-amerikanische Behörden wird ausgeführt, dass es der Yahoo!- Deutschland GmbH im Zusammenhang mit dem Programm „PRISM“ nicht bekannt ist, dass wissentlich personenbezogenen Daten von deutschen Nutzern an US-amerikanische Behörden weitergegeben wurde. Nach Veröffentlichung der Berichterstattung zu diesem Thema hat die Yahoo! Deutschland GmbH unverzüglich weitere Informationen von der Yahoo!Inc. angefordert. Die Yahoo!Inc. hat der Yahoo!Deutschland GmbH versichert, dass sie an keinem Programm teilgenommen hat, in dessen Rahmen freiwillig Nutzerdaten an die US Regierung übermittelt wurden. Die Yahoo! Inc. hat außerdem versichert, dass freiwillig keine Nutzerdaten weitergegeben wurden. Stattdessen hat die Yahoo! Inc. der Yahoo! Deutschland GmbH versichert, dass nur spezifische und nach USamerikanischem Recht legitimierte Auskunftsersuchens seitens der Yahoo!Inc. beantwortet wurden. Abschließend wird hier auch auf folgende Veröffentlichung verwiesen:
Aufgrund der mir vorliegenden Informationen werte ich die Sachlage wie folgt: In der zusätzlichen Abfrage der Sicherheitsfragen beim Anmeldeprozess sehe ich keinen Datenschutzverstoß seitens der Yahoo! Deutschland GmbH. Laut der Darstellung in der Stellungnahme führt die Yahoo! Deutschland GmbH aus, dass in den Fällen, in denen ein Fremdzugriff auf ein E-Mail-Account vermutet werden kann, die Sicherheitsfragen zusätzlich vom Nutzer beantwortet werden müssen. Da dies während des Anmeldeprozesses einen zusätzlichen Schutz gegen unbefugten Zugriff durch Dritte darstellt, kann dies datenschutzrechtlich nicht beanstandet werden. Laut Ihren Aussagen ist der Mail-Account „…..@yahoo.de“ nicht mit Ihrem Namen und Ihrer Anschrift hinterlegt, so dass hier die Authentisierung nicht sicher durchzuführen ist. Aus diesem Grund kann hier von Seiten der Yahoo! auch keine detaillierte Aussage getroffen werden, was nun konkrete zur Abfrage der Sicherheitsfragen führt.
In Bezug auf eine mögliche Datenweitergabe an Dritte sehe ich aufgrund der mir zur Verfügung stehenden Informationen derzeit keinen Datenschutzverstoß. Zur Beurteilung der Gesamtlage fehlen hier jedoch noch weitere Informationen, um zu einer verlässlichen Aussage zu kommen. Ich werde dieses Thema jedoch weiterhin aus Datenschutzsicht aktiv recherchieren.
Ich hoffe, ich konnte Ihnen mit diesen Aussagen weiterhelfen. Falls Sie noch weitere Fragen haben sollten, können Sie mich auch gerne anrufen.
…
(Persönliche Informationen wurden zur Wahrung der informationellen Selbstbestimmung unkenntlich gemacht)
Guten Tag,
die Aussage von Yahoo ist eine Ausrede, die ich überaus kritisch sehe. Durch eine Auskunft warum mir in meinem Fall der Zugang verweigert wurde werden keinesfalls Informationen verraten die zum Ausspähen meiner Daten führen. Mit der Aussage wird aus meiner Sicht lediglich verheimlicht, dass die Nutzer zur Angabe weiterer Daten gebracht werden sollen. Mir sind weitere Fälle bekannt die auch keinen Zugriff mehr haben.
Wurde benannt wodurch ich mich eindeutig identifizieren kann, wenn mir mangels damaliger Notwendigkeit heutzutage die Sicherheitsfragen nicht mehr geläufig sind? Die schon mal von Yahoo angeführte Angabe eines anderen Mailaccounts oder einer Handynummer erfüllen diesen Zweck definitiv nicht, denn diese Angaben könnte jeder machen.
Die Behauptung, dass es sich um ein unbekanntes Gerät handelt stimmt nicht, da ich das Login von verschiedenen Computern probiert habe, darunter mindestens einer von dem aus es früher geklappt hat. Wobei mir hier unklar ist, auf welche Art überhaupt festgestellt wird, dass es sich um ein unbekanntes Gerät handeln soll.
Ich gehe davon aus, dass Mangels „Authentifizierung“ auch kein Löschen des Accounts möglich ist.
Was die Angabe der Nummer angeht so nützt mir ein Anruf nichts, weil ich mich dort genauso wenig authentifizieren kann. Ich weiß bei dem angebenden Account nun mal nicht mehr, welche Daten ich damals genau hinterlegte.
Bezüglich der Datenabrufe sehe ich meine Frage als nicht beantwortet an, da Yahoo hier nur das bereits bekannte Blabla von sich gibt aber nicht konkret antwortet. Mir ist egal, ob die Daten nun per Gerichtsbeschluss oder freiwillig oder welcher anderen Grundlage weitergegeben wurden. Ich möchte weiterhin beantwortet wissen, ob Daten weitergegeben wurden für den konkreten Fall. Wenn ein Gerichtsbeschluss vorlag sollte die Frage auf Grundlage der Akten auch eindeutig mit ja oder nein beantwortet werden können. Wenn hier nicht einmal eine Übersicht seitens Yahoo vorliegt, welche Daten weitergegeben wurden finde ich dies höchst zwielichtig.
ulrics, nachdenkliche Stimme aus Duisburg 