Stayfriends oder Stayaway…
Was ist Stayfriends?
Stayfriends ist ein deutsches soziales Netzwerk von t-online bzw. der Ströer Connections GmbH. Es dient hauptsächlich dazu alte Klassenkameraden wiederzufinden.
Warum ausgerechnet Stayfriends?
In letzter Zeit sind mir zwei Dinge aufgefallen: Zum einen immer wieder Werbung in Kleinanzeigen mit alten Klassenfotos und zum anderen bei Recherchen auf Wikipedia, dass ein Betroffener einer Verleumdung auf Wikipedia versucht hat, einen Täter ausfindig zu machen und dafür Stayfriends benutzt und die dort gefundenen Daten veröffentlicht hat. Letzteres werde ich nicht verlinken. Diese Dinge haben mich stutzig gemacht. Wie kann jemand in einem angeblich geschlossenen Netzwerk, das nur für Mitschülerinnen und Mitschüler gedacht ist, so sensible Daten einsehen? Und was ist mit den Klassenfotos in den Kleinanzeigen? Sind das echte Klassenfotos? Liegt eine Einverständniserklärung aller abgebildeten Personen vor, dass dieses Bild auf Stayfriends geteilt und für Werbung genutzt werden darf, um Besuche auf Stayfriends zu generieren? Zudem häuften sich im privaten Umfeld die Aussagen, das ursprünglich private Profile plötzlich öffentlich waren, obwohl man sich seit Jahren nicht eingeloggt hatte. Grund genug, genauer hinzuschauen.
Vorgeschichte
Bei der ersten Recherche fällt auf, dass Stayfriends bereits in der Vergangenheit datenschutzrechtliche Probleme hatte (LG Nürnberg-Fürth, Urteil vom 17.4.2018, Az. 7 O 6829/17). Dabei ging es darum, dass StayFriends private Daten wie Name und Foto ohne vorherige Widerspruchsmöglichkeit oder ausreichende Information standardmäßig für Suchmaschinen zugänglich machte.
Im Zusammenhang mit dem Rechtsstreit schrieb die Rheinische Post:
Eine solche Weitergabe personenbezogener Daten sei nur mit Einwilligung der Betroffenen erlaubt, sagte VZBV-Rechtsreferent Heiko Dünkel. Eine im Nutzerprofil versteckte Voreinstellung reiche hierfür nicht aus.
~ Rheinische Post
und ebenfalls schrieb die Rheinische Post:
Bei Zuwiderhandlung droht StayFriends die Zahlung eines Ordnungsgeldes bis zu 250.000 Euro.
~ Rheinische Post
Die Kanzlei LHR hat im Jahr 2018 ebenfalls zwei interessante Artikel über den Rechtsstreit verfasst:
Der Grund [für den Rechtsstreit]: Meldete sich ein Nutzer bei „StayFriends“ an, wurde bereits in den Voreinstellungen festgelegt, dass dieser der Weiterverwendung persönlicher Daten zustimmt. Insbesondere konnten auf die Plattform geladene Profilbilder auf Drittseiten und Suchmaschinen gefunden werden. Auf diese Weise konnten auch Personen die Profilbilder einsehen, die nicht Teil der „StayFriends“-Community waren. Wollte der ahnungslose Nutzer dies verhindern, musste er erst in den Profileinstellungen die vermeintliche Einwilligung per Entfernen eines Häckchens an entsprechender Stelle zurücknehmen.
und
Die Nutzung der Daten lasse sich dabei auch nicht dadurch rechtfertigen, dass der Nutzer im Zuge der Anmeldung bei „StayFriends“ den Datenschutzbestimmungen des Portals per Mausklick zustimmen muss. Diese Bestimmungen seien nämlich widersprüchlich und unklar: In den ersten Absätzen versichere „StayFriends“, dass die Möglichkeit der Einsichtnahme der Daten durch Dritte „nie voreingestellt“ sei. Einige Textzeilen später ließen die Bestimmungen den Nutzer wissen, dass die Informationen auf Partnerseiten wie beispielsweise Google auffindbar seien.
Das »nie voreingestellt« wird bei der späteren Recherche noch eine entscheidende Rolle spielen.
Datenschutzerklärung
Sehen wir uns erst einmal die Datenschutzerklärung an:
Neben den bekannten Floskeln wie:
Der Schutz der privaten Daten unserer Nutzer ist uns ein ernstes Anliegen und Sie dürfen sich bei der Nutzung des Angebots von StayFriends inklusive sämtlicher Anwendungen sicher fühlen.
und:
Ihre Privatsphäre ist bei der Verarbeitung persönlicher Daten für uns ein vorrangiges Ziel, das wir stets berücksichtigen. Personenbezogene Daten, die bei der Nutzung unserer Dienste erhoben werden, werden bei uns gemäß den gesetzlichen Bestimmungen verarbeitet.
gibt es den interessanten Teil:
Für wen sind meine an StayFriends übermittelten Daten sichtbar?
Ihr Name, Vorname und Profilfoto (sofern vorhanden) werden in Verbindung mit der oder den Schulen, die Sie besucht haben, sowohl innerhalb als auch außerhalb des Dienstes stets öffentlich sichtbar gemacht, sofern Sie diesem bzgl. der Darstellung außerhalb des Dienstes nicht widersprechen. Es ist innerhalb des Dienstes auch öffentlich sichtbar, wann Sie diese Schule besucht haben. Alle anderen Daten, die Sie angeben, können Sie über von Ihnen steuerbare Optionsfunktionen ein- oder ausblenden und sind grundsätzlich, falls sie eingeblendet sind, nur anderen bei dem Dienst registrierten Personen zugänglich. Vereinzelt haben Sie aber auch die Möglichkeit, diese von Ihnen zusätzlich eingetragenen Daten und Inhalte so einzustellen, dass sie auch für Dritte einsehbar sind, die selbst nicht bei dem Dienst registriert sind (z.B. über Suchmaschinen oder Ehemaligenportale). Haben Sie eine solche Freigabe eingestellt, kann diese von Ihnen jederzeit für die Zukunft deaktiviert werden.
Anzeige auf Partnerseiten
Um die Chance des Wiederfindens alter Schulfreunde zu steigern, kann Ihr Eintrag bei StayFriends innerhalb des Angebots von Partnerseiten wie www.t-online.de oder www.yasni.de angezeigt werden. Bei den Partnerseiten handelt es sich um eigene, von StayFriends betriebene Seiten, die lediglich beim jeweiligen Partner angezeigt werden. Eine Datenübermittlung findet nicht statt. Angezeigt werden lediglich Ihr Name, Vorname, Geburtsname, Abgangsjahr sowie Art und Name der besuchten Schule. Der Anzeige Ihrer Daten auf Partnerseiten können Sie jederzeit durch Änderungen Ihrer Einstellungen in der Rubrik “Gefunden und erinnert werden“ widersprechen. Ihr Eintrag bei StayFriends bleibt davon unberührt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) und f) DS-GVO.
und
Auffindbarkeit über Suchmaschinen
Wir unterstützen die Veröffentlichung Ihres Profils in einem Bereich, der auch für Nicht-Mitglieder einsehbar ist, und damit in besonderer Weise durch Suchmaschinen wie beispielsweise Google indizierbar ist. Veröffentlicht werden Ihr Name, Vorname, Geburtsname, Profilfoto, Eintrittsjahr, Abgangsjahr sowie Art und Name der besuchten Schule. Dadurch soll das Auffinden alter Klassenkameraden und die eigene Auffindbarkeit erleichtert werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) und f) DS-GVO. Der Auffindbarkeit Ihrer Daten über Suchmaschinen können Sie jederzeit durch Änderungen Ihrer Einstellungen in der Rubrik “Gefunden und erinnert werden“ widersprechen. Technisch bedingt können Suchmaschinen über die Löschung Ihres Eintrags nicht proaktiv informiert werden. Die Aktualisierung des Suchmaschinenindex erfolgt vielmehr in Intervallen, die durch den Betreiber der Suchmaschine festgelegt werden. Dadurch kann es sein, dass die Entfernung aus dem Index einer Suchmaschine oder auch die Korrektur einer dort aufgenommenen Information deutlich verzögert erfolgt. Soweit vorhanden, unterstützt StayFriends jedoch die technischen Protokolle, um in Einzelfällen eine Eillöschung bei Google oder anderen Suchmaschinen zu erwirken.
und
Übermittlung an Schulen
Wir übermitteln Ihren Namen, Vornamen, Geburtsnamen und Ihr Abgangsjahr an Ihre ehemalige(n) Schule(n) soweit diese die „Ehemaligenlisten” über unsere Dienste verwalten lassen. Die Kontaktaufnahme der Schule zu Ihnen wird nur über unseren Dienst abgewickelt, ohne Weiterreichung weiterer Daten von Ihnen. Dadurch soll das Auffinden alter Klassenkameraden und die eigene Auffindbarkeit erleichtert werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) und f) DS-GVO. Der Weitergabe Ihrer Daten an Ihre ehemalige Schule können Sie jederzeit durch Änderungen Ihrer Einstellungen in der Rubrik “Gefunden und erinnert werden“ widersprechen.
Die zahlreichen Übermittlungen in die USA und an diverse Werbepartner gehen bei diesen Dingen fast unter.
The Aftermath - ein Datenschutzdesaster
Vertrauen ist gut, Kontrolle ist besser und viele Kuketz Blog Leser wissen wahrscheinlich, dass es diesen Artikel wahrscheinlich nicht gäbe, wenn nicht einige Dinge aufgetaucht wären.
Aus den obigen Informationen wissen wir, dass Stayfriends in der Vergangenheit Probleme hatte, weil die Datenschutzerklärung in den Klauseln unklar formuliert war und man kann den Suchmaschineneintrag bzw. der Veröffentlichung des Profils nicht im Vorfeld widersprechen konnte. Der einzige Hinweis dazu befindet sich auch in der Datenschutzerklärung, die wahrscheinlich alle User sehr detailliert vorher gelesen haben
Das heißt, man kann erst NACH Veröffentlichung widersprechen, was auch nicht im Sinne der DSGVO ist. Gestützt wird sich auf Art. 6 Abs 1 DSGVO, wobei hier der Schutz der personenbezogenen Daten des Individums das berechtigte Interesse eines Unternehmens mit seinen personenbezogenen Daten zu werben übersteigen sollte.
Das heißt auch, hier wurde seit der Klage nicht wesentlich nachgebessert. Es steht klarer in der Datenschutzerklärung, aber eine Möglichkeit zum vorherigen Widerspruch ist nicht gegeben.
Wie viel haben sie gelernt?
Geht man nach der Registrierung in die Einstellungen: Kaum etwas, lediglich das Profilbild wird nicht standardmäßig für Suchmaschinen freigegeben.
Nach meinen Recherchen dürfte dies allerdings nur für die Personen gelten, die sich neu anmelden. Es gibt zahlreiche Profile online mit verschwommenen Profilbildern.
Berechtigungsmanagement quasi nicht vorhanden
Mit Stayfriends ist es möglich nach und nach jeden Jahrgang von jede Schule in Deutschland anzusehen. Darunter:
- Namen
- Geburtstage
- Abschlussjahrgang
- voherige Schulen
- ungefähres Aussehen
- Charatereingenschaften der Personen
- u. v. m.
Nur einsehbar für den Jahrgang? Fehlanzeige. Es gibt keinerlei Kontrolle oder Bestätigung, das die Person wirklich im Jahrgang war. Man kann unbestätigt beitreten. Basis Mitglieder können ebenfalls keine Nachrichten schicken und nachfragen. Es ist ein Paradies für Stalking. Das ist auch der Grund, warum Monate vor dem Artikel die zuständige Datenschutzbehörde als auch der Verbraucherservice, der damals Klage einreichte informiert wurden.
Doch das war immer noch nicht alles:
Heißt gelöscht, gelöscht?
Nein, es finden sich noch Kommentare von gelöschten Personen auf der Plattform. Diese enthalten oftmals auch personenbezogene Informationen. Einen Hinweis bei Löschung des Accounts, dass die Kommentare nicht gelöscht werden, gibt es nicht. Anbei ein relativ neutrales Beispiel:
Lehrer haben doch keine Persönlichkeitsrechte, oder?
Zudem ist es möglich als normaler User (Schüler) Lehrerprofile anzulegen. Also Daten von unbeteiligten Dritten namentlich im Netzwerk anzulegen. Dazu wird man auch von Stayfriends motivert. So kann man von ehemaligen Lehrern Name, Schule, Foto, Unterrichtsfächer und persönliche Eigenschaften angeben. Wohlgemerkt ohne irgendeine Erlaubnis.
Das dies eine Verletzung des Persönlichkeitsrechts der Lehrkraft darstellt, sollte jedem klar sein, der länger den Kuketz Blog verfolgt. Das Stayfriends diese Funktion anbietet ist m. E. unverantwortlich.
Passwörter von jeder Klassenseite Deutschlands
Es gibt keinerlei Überprüfung, ob ein User überhaupt einem Jahrgang angehört oder nicht oder überhaupt auf dieser Schule war. Es gibt kaum ein Berechtigungsmanagement. Schulen kann man im Nachhinein beliebig ändern. Auch Zeitangaben in der man nicht in der Schule gewesen sein kann, sind möglich. Somit lassen sich nach und nach auch alle Klassenseiten in Deutschland einsehen inkl. Passwort und Kommentare.
Man sieht wann die Schultreffen einer Klasse sind, wo, wer der Initiator ist und man sieht die Kommentare und Fotos. Wer teilnahm und deren Geburtsdaten sind ebenfalls bekannt. Zudem wird eine Seite für nicht-Mitglieder erstellt, wobei Stayfriends sehr einfache Passwörter vergibt.
Es ist sogar möglich mit einem neu erstellten User, der eben erst beitrat, vergangene Treffen einzusehen:
Agressive E-Mails, die immer wieder dazu auffordern Klassenfotos hochzuladen
Auch gibt es standardmäßig regelmäßig E-Mails, die immer wieder dazu auffordern Klassenfotos hochzuladen. In der E-Mail sind ebenfalls Klassenfotos von Schulklassen zu finden mit denen geworben wird. Hier geschwärzt.
Ein Hinweis darauf, dass man für das Hochladen dieser Fotos die Zustimmung aller abgebildeten Personen benötigt, ist nirgends zu finden. Außerdem muss man leider davon ausgehen, oder zumindest aufgrund der Werbung vermuten, dass diese Fotos auch zu Werbezwecken verwendet werden.
Diese Frage, ob man das darf, stellten sich auch schon andere Internetnutzer mit teilweise fatalen Antworten:
Wenn man das nicht darf, dann würden die das doch nicht tun! Oder? Nun ja, es wird zumindest stark beworben.
Let me spy on you
Nach der Anmeldung habe ich einmal wahllos nach verschiedenen originellen Vornamen gesucht. Fünf, um genau zu sein. Einfach, um irgendwelche Benutzer zu finden. Alle fünf verschiedene Schulen, Alter etc. Eine Freundschaftsanfrage wurde nicht verschickt. 10 Tage später eine Mail: “Was macht eigentlich komischerVorname1, komischerVorname2, komischerVorname3?”. Also die Namen, die ich einfach gesucht habe. Nicht die drei Profile in der E-Mail wurden mir angezeigt, sondern auch alle anderen, die mit vollem Namen so hießen wie die fünf Personen, die ich angeklickt hatte. Vielleicht ist jetzt jemand dabei, den ich meine. In regelmäßigen Abständen erhalte ich nun auch zu diesen Namen „Neuigkeiten“, sollten sich diese Menschen angemeldet haben oder ihr Profil geändert haben. Das alles ohne eine Freundschaftsanfrage verschickt zu haben oder aktiv einen Reminder eingestellt zu haben. Es war nur das Suchen nach einem Namen.
Passwörter im Klartext per E-Mail
Vergleichsweise harmlos erscheint hier, dass die Passwörter auch im Klartext verschickt werden. Zudem wird empfohlen, das Passwort in ein »besser geläufigeres« zu ändern, was auch allen guten Passwort-Tipps widerspricht.
Darüber die E-Mail Adresse, die als Login dient. Eine datenschutzfreundlichere Methode, nach aktuellem Stand der Technik gem. DSGVO, wäre es hier einen Link zu verschicken, der nach einer gewissen Zeit abläuft, um das Passwort selbst zu ändern…
Unerlaubtes Fotografieren der Schulen
Auch wenn dies leider im Jahre 2024 in Zeiten von Google Streetview & Co. keinen allzu großen Aufschrei mehr bekommt, gab es auch im Jahre 2010 einen weiteren Skandal, als Stayfriends Fotografen losschickte, um ungefragt Schulen für die Profile zu fotografieren, die dem Stern zufolge äußerst agressiv agierten.
Kurzum: Ein Datenschutz-GAU.
Fazit des Autors
Zugegeben Stayfriends ist ein in die Jahre gekommenes Netzwerk, das auch fast nur nutzbar ist, wenn man sich ein Gold Abo holt, um Nachrichten verschicken zu können, aber es hat einen sehr großen Anteil kostenloser und veralteter Profile, die wahrscheinlich schon Jahre in Vergessenheit geraten sind. Ob Profile überhaupt bei Inaktivität automatisch gelöscht werden ist unklar.
Klar ist jedoch, dass es, nach wie vor, einige Datenschutzprobleme gibt und das Stayfriends hier nicht aus den Fehlern gelernt zu haben scheint. Fremde können sehr leicht an Klarnamen, Wohnort, Geburtsdaten, Schulen, Bilder, den Freundeskreis oder den ehemaligen Freundeskreis kommen. Gerade für ein deutsches Netzwerk, das unter der DSGVO steht, ein Armutszeugnis. Die Nutzer unterliegen oft dem Irrglauben, dass wenn ein Netzwerk in Deutschland sitzt, es automatisch einen besseren Datenschutz genießt oder wie man oben bei den Nutzerfragen gesehen hat, dass ein Netzwerk mit Sitz in Deutschland sicher nicht zulassen würde, dass man einfach so Klassenfotos teilt, auch wenn dies nicht ohne Weiteres erlaubt ist.
Des Weiteren sollte nicht außer Acht gelassen werden, dass es sich bei den betreffenden Daten auch um die Daten Minderjähriger handeln kann, welche ohne vorherige Widerspruchsmöglichkeit einfach veröffentlicht werden. Stayfriends richtet sich auch an »noch« Schülerinnen und Schüler. Auch wenn viele Schülerinnen und Schüler inzwischen andere Möglichkeiten haben sich zu vernetzen, besteht hier natürlich auch ein Risiko und zwar eines bei dem es sogar die Möglichkeit gibt, dass die Schule selbst hierbei kooperiert oder dieses Netzwerk bewirbt.
Zudem wird in der Datenschutzerklärung von Stayfriends sehr häufig, u.a. bei der Verwendung für Suchmaschinen, mit lit. b und lit. f argumentiert. Diese Rechtsgrundlagen scheinen jedoch nicht einschlägig zu sein, denn eine Datenübermittlung ist weder zur Vertragserfüllung (lit. b., hier die Auffindbarkeit von Klassenkameraden) noch als überwiegendes, berechtigtes Interesse (lit. f, hier Wirtschaftswerbung) erforderlich.
Wie und ob der Verbraucherschutz dagegen erneut vorgehen möchte, ist noch nicht bekannt.