Medienanstalten outen Beschwerdeführer

29 Nov 08
29. November 2008

Auf der Seite programmbeschwerde.de der Landesmedienanstalten, die Zuschauer dazu einlädt, „Programmverstöße“ zu melden, schreibt die zuständige Landesmedienanstalt Saarland:

Die Sicherheit Ihrer Daten im Internet ist uns ein großes Anliegen. Selbstverständlich befolgen wir streng die Bestimmungen der Datenschutzgesetze (BDSG, SDSG) und verwenden Ihre Daten nur für solche Zwecke, zu denen Sie uns berechtigt haben. Der Schutz der von Ihnen zur Verfügung gestellten Informationen wird durch die Verwendung moderner Sicherheitssysteme bestmöglich gewährleistet. Alle Daten werden streng vertraulich behandelt. Das heißt: Es ist für Dritte nicht ersichtlich, welche Beschwerden, von wem abgegeben werden.

Schön wär’s.

Bereits im vergangenen Jahr staunte ein Zuschauer, der sich bei der Bayerischen Landesmedienanstalt über eine Call-TV-Sendung beschwert hatte, dass die Behörde offenbar seine persönlichen Daten an den damaligen Geschäftsführer der Produktionsfirma weitergeleitet hatte.

In dieser Woche entdeckte ein Mitglied des Forums call-in-tv.net, dass die Beschwerden von vermutlich Hunderten Beschwerdeführern im Wortlaut, zusammen mit sämtlichen Angaben wie E-Mail-Adressen oder Telefonnummern auf www.programmbeschwerde.de offen unter dem Logo der Landesmedienanstalten zu lesen waren. Dies ist nur ein winziger Ausschnitt der Übersichtsseite:


(Unkenntlichmachung von mir)

Das ganze bunte Bild der Beschwerden ließ sich nachlesen: Klagen über verschobene Werbeblöcke in der RTL-Seifenoper „Gute Zeiten, schlechte Zeiten“ und das Niveau der „sogenannten Telenovellas“; Empörung über die „widerwärtige“ „übermäßige Verwendung englischer Sprachfetzen“ in der Werbung und den Nachrichten; Beschwerden über die Schleichwerbung in „Wetten dass“, und detaillierte Beschreibungen der systematischen Irreführung der Hörer in der Call-In-Show „Lars Vegas“ des Radiosenders RPR1.

Erst nach dem Hinweis eines Users von call-in-tv.net hat jemand die Daten am Mittwoch von der Seite entfernt.

Die saarländische Landesmedienanstalt hatte das Projekt programmbeschwerde.de vor vier Jahren gestartet und anfangs ununterbrochen Erfolgsmeldungen dazu herausgegeben. Inzwischen würde ich annehmen, dass bis zum Datenschutz-Skandal dieser Woche die Medienwächter vergessen hatten, dass es die Seite überhaupt noch gibt.

So, wie die Seite im Moment vor sich hinrottet, ist es erstaunlich, dass sich dort überhaupt jemand über das Programm beschwert. Aber das sollte man vielleicht eh niemandem empfehlen.

[via Twipsy]

59 Gedanken
  1. 1
    Twipsy says:

    Danke für den Beitrag! Ich weiß momentan nicht, wieviele Daten immernoch über die Cache abzurufen sind, aber nun dürfte sich einiges tun. (Bzw. Montag, wenn die Herren wieder im Büro erscheinen…)

  2. 2
    Marc Doehler says:

    Die auf diesen Seiten zu lesenden Beschwerden reichten von letzter Woche bis zurück ins Jahr 2004. Beim Aufruf der einzelnen Beiträge waren schön säuberlich die kompletten Daten des Beschwerdeführers zu sehen. Da man bei einer Beschwerde sowohl die eigene Adresse, als auch Telefon-, Fax- und Handynummer angeben konnte, waren auch diese Daten vollständig zu lesen.

  3. 3
    René says:

    Wozu gibt es in Deutschland eigentlich Datenschutz-Gesetze, wenn sich niemand daran hält?

  4. 4
    G says:

    Konsequenzen für die Landesmedienanstalt?

  5. 5
    Fritz Meier says:

    Es wird hart durch gegriffen, wie immer:
    Die Landesmedienanstalt belässt es bei einer Ermahnung der Landesmedienanstalt.

  6. 6
    Torsten says:

    Die Unkenntlichmachung solltest Du nochmal überarbeiten. Mit ein paar Filtern kann man da wieder Klartext draus machen.

  7. 7
    Zynik says:

    Angst vor der eigenen Courage.. noch jemand eine passende Abendweisheit auf Lager?

    Selbstverwaltung funktioniert bei Behörden leider noch nicht.. der layouter/ Onlieredakteur setzt seinen text um, der nette Mann mit den schütteren Haaren, der Nickelbrille und den Riesenplakaten unterm 5,95-Businesshemd kann sich allerdings nicht dazu durchringen, Vertraulichkeit zuzusichern – das kann doch sonst nur die SteuFa und die Staatsanwaltschaft, deswegen ist das gerade bei den Landesmedienanstalten bestimmt ein ANGST-Thema.

  8. 8
    dot tilde dot says:

    @3 (rené):

    die antwort versteckt sich in deinem zweiten halbsatz.

    .~.

  9. 9
    Twipsy says:

    @5 Mal sehen, was die Landes-/Bundesdatenschutzbeauftragten dazu sagen.
    Hier die Erklärung der LMA:
    „Bei der von Ihnen angesprochenen Seite handelt es sich um eine Auswertungsseite aus dem Backend der Homepage, die nicht genutzt wurde und auf die es auch keine Verlinkung gab. Diese Seite wurde auf Ihren Hinweis hin entfernt. Unklar blieb für uns, wie man über die normale Benutzeroberfläche der Seite zu dieser Unterseite gelangen konnte.“
    So ist der call-in-tv.net-User dahingelangt:
    „Über Google. Ich wollte eigentlich nur mal wissen, inwieweit eine alte E-Mail-Adresse von mir noch im Internet zu finden ist. Und Google hat genau einen Eintrag gefunden. Über die Cache-Funktion konnte ich dann nicht nur meine alte Beschwerde noch einmal lesen sondern wie gesehen auch direkt auf die Beschwerdeliste der letzten vier Jahre zurückgreifen.“
    Die Daten befanden sich also auf einer nicht gesicherten Webdomain! Sie wurde zwar nicht verlinkt, aber die Google-Bots konnten lustig drauf zugreifen. Jetzt lesen wir den obigen Satz noch einmal:
    „Der Schutz der von Ihnen zur Verfügung gestellten Informationen wird durch die Verwendung moderner Sicherheitssystemebestmöglich gewährleistet.“
    Noch Fragen?

  10. 10
    Stefan says:

    @Torsten: Jetzt besser?

  11. 11
    nona says:

    @Twipsy:
    Wenn Google es crawlen konnte, war es mindestens zum Zeitpunkt der Indezierung auch verlinkt oder zumindest in einem offenen Directory abgelegt und auch nicht z.B. durch robots.txt ausgeschlossen. Was natürlich nicht passieren darf. Der zitierte Nutzer kann ja mal testen, ob andere Searchbots/Indizes ebenfalls zugreifen konnten und die Daten noch vorhalten (MSN/Live.com und Yahoo wären da die relevanten).

  12. 12
    Twipsy says:

    @11 Yahoo findet in der Cache noch sehr viele Datensätze. 1070 Hits ca., wobei nicht alle auch noch zu den Daten führen.

  13. 13
    nona says:

    Hahaha:

    Datenschutzerklärung

    Ich willige ein, dass meine persönlichen Daten von der Landesmedienanstalt Saarland gespeichert und an die zuständigen Stellen (andere Landesmedienanstalten, Kommission für Zulassung und Aufsicht (ZAK), Kommission für Jugendmedienschutz (KJM), Rundfunkräte) zur Bearbeitung meiner Programmbeschwerde weitergegeben werden dürfen.

    Meine Daten werden nur dann an einen Rundfunkveranstalter weitergeleitet, wenn ich dies bei Abgabe der Beschwerde ausdrücklich wünsche.

    Die Regelungen zum Datenschutz sind mir bekannt.“

    Spässle g’macht, gell?

  14. 14
    malefue says:

    bisschen off-topic: grade hat bei diesem tvtotal-rennen der kommentator 9live einen „abzocksender“ genannt. ^^

  15. 15
    nona says:

    Um das mal nahtlos off-topic fortzuführen, auch schön wie Olli Welke gleichzeitig bei Raab moderiert und nebenan bei Balder im Panel sitzt…

  16. 16
    Michael says:

    Ich sag’s ja: Bei der Medienanstalt ist der Name noch Programm. Datenschutz ist, wenn man Benutzerdaten im Back-End nicht direkt verlinkt, sondern unverschlüsselt von Google indizieren lässt….

  17. 17
    Der Postillon says:

    Man sollte sich bei der Landesmedienanstalt beschweren. Halt, nein – lieber nicht!

  18. 18
    nihil b. says:

    Was gibt es denn bitte an „Lassie – Held auf vier Pfoten“ auszusetzen?

  19. 19
    Felix says:

    Klitzekleiner formaler Fehler: Wahrscheinlich aus Gewohnheit wurde im Text die Domain call-in-tv.de statt .net genannt, die seit der feindlichen Übernahme ins Nichts führt. Korrektur wäre naiß.

  20. 20
    nils says:

    Witzig … die ALM hat wohl die alten Datensätze gelöscht, neu übermittelte Beschwerden erscheinen aber wieder unter der „geheimen“ Adresse.

  21. 21
    abgelehnt says:

    Eine Beschwerdeseite über das TV-Programm?!
    Wäre eine Lobseite nicht zeitsparender? ;-)

  22. 22
    Torsten says:

    Stefan: ja, so ist es besser.

    Um etwas wirklich zu verschleiern sollte man aber Namen ganz abdecken oder einen Zufallsfilter nutzen.

  23. 23
    dfIas says:

    Es muss ja schon irgendwo einen Link gegeben haben, sonst wären die Suchmaschinen dort nicht vorbeigekommen.

    Und ist es nicht so, dass man üblicherweise jetzt ins Logfile des Servers schaut, um zu sehen, von welcher Vorgänger-URL/IP die Zugriffe kamen? Robot-Zugriffe sind erkennbar, so müsste doch der „böse Link“ gefunden werden. Oder?

    Natürlich abgesehen davon, dass kein Zugriffsschutz bestand. Es sind also mindestens zwei Fehler gemacht worden. „Unklar“ ist dafür eine sehr kindliche Ausrede. Oder man hat schon jetzt die Absicht, keine Ermittlungen anzustrengen. Wie man es ja kennt.

  24. 24
    Torsten says:

    dfIas Wenn man in Google gezielt nach E-Mail-Adressen sucht, findet man viele solcher Schlampereien:

    http://www.zeit.de/online/2008/41/Daten_Schlamperei

  25. 25
    dfIas says:

    @Torsten:

    In dem Artikel steht: „Dass eine Seite nicht verlinkt ist, bedeutet nicht, dass Google sie nicht findet.“

    Eine Glaskugel hat Google ja nicht. Ich sehe selbst in unseren Server-Logfiles, was die Robots so machen und versuchen. Dort sind neben der eigentlichen baumstrukturierten Link-Durchwanderung (die übrigens zeitlich völlig gestückelt erscheint) auch so etliche Versuche mit standardisierten, oder wenigstens weitläufig üblichen, Pfad- und Dateinamen zu erkennen.

    Neben (versteckten) Links kann man sich natürlich auch ganz dicke Löcher einbauen, wie irgendwo gelegene Gesamt-Directories oder gar einen Ftp-Zugriff zum Root.

    Ein Passwort-Schutz zum entsprechenden Directory oder Dateien wäre ja mal das Mindeste, was gemacht werden musste. Nichtmal eine einfach einzurichtende Robot-Sperre lag vor. Natürlich besser, wie in dem Artikel auch steht, solche Daten überhaupt nicht auf derselben Maschine zu lagern.

    Außerdem ist es möglich, eine umgehende Löschung bei den Suchmaschinen zu erwirken. Ich bin mir nicht sicher, ob das auch fürs Wochenende gilt, aber wir hatten auch einmal so einen Fall, dass uns ein „confidential doc“ in den freien Pfad gerutscht war (durch Server-Wechsel) und wir umgehend handeln mussten. Ich meine, das war damals sehr schnell (innerhalb von einem Tag?) erledigt. Beantragen muss man die Löschung aber schon …

  26. 26
    dfIas says:

    In dem Zusammenhang: Eine Glas-Google? Ha, ha.

  27. 27
    Twipsy says:

    @28 Diese Erklärung erscheint mir sehr glaubhaft. Dass halt mindestens ein Mitarbeiter der BLM die Standardkonfiguration seines Browsers inklusive Google-Toolbar benutzt hat. Ich werds gleich mal weitergeben.

  28. 28
    dfIas says:

    Da hülfe auch keine Firewall, um den Datenabgleich mit Google zu unterbinden?

  29. 29
    dfIas says:

    Frage an die Internetexperten (liege da selbst nur höchstens im Mittelfeld, wenn überhaupt):

    Reichte es nicht auch aus, wenn ein Mitarbeiter über das „Intranet“ auf besagte Seite zugreift (oder wer auch immer den Pfad kennt) und im Anschluss auf eine Suchmaschine wechselt? Gilt die Vorgänger-URL allgemein oder braucht es einen „Link“?

  30. 30
    Elias says:

    @33: Der Referer (also die vorhergehende Adresse) geht natürlich auch im HTTP-Header mit raus. Viele Stat-Tools (unter anderem Google Analytics) werten diese Angabe auch aus, so dass auch so die Information nach außen gelangt sein könnte — so könnte es also ebenfalls „passiert“ sein. An diese einfache Möglichkeit habe ich mal wieder gar nicht gedacht… aber ich bin ja auch nicht Admin bei diesem Stümperladen.

  31. 31
    AgentOrange says:

    @31, 32

    Wenn das Intranet über „Squid“ läuft, lässt sich das recht einfach unterbinden -> header_access Referer deny all
    „privoxy“ kann das auch.
    Ein paar Infos für die Herren, denen Datenschutz so wichtig ist: http://www.bsi.bund.de/literat/studien/squid/squid-phase1.pdf

  32. 32
    Torsten says:

    dfIas: „Im Intranet“ haben Seiten eine andere URL als im Internet, also ist dieser Weg nicht möglich.

    Google bestreitet es IIRC, dass die Surfhistorie der Toolbar-Nutzer zum Indexing genutzt wird. Dass der Google-Bot Standard-Pfade einfach so ausprobiert, habe ich ebenfalls noch nirgends belegt gesehen.

  33. 33
    Thomas says:

    Schade, dass die Sachen weg sind. Ich wollte die Leute anrufen, und mit ihnen über das Fernsehprogramm diskutieren.

  34. 34
    GlowingHeart says:

    Und genau aus diesem Grund brauchen wir ab 2009 wieder mal eine 95 centige Rundfunkgebührenerhöhung, von der 2% an 14 Landesmedienanstalten gehen, damit sie qualifizierte Internetauftritte basteln und die Datenschutzerklärung „… durch die Verwendung moderner Sicherheitssysteme …“ realisieren können.

    Was ist eigentlich, neben der Cache von Suchmaschinen Google, Yahoo, Alltheweb & Co, mit der WayBackMaschine? Sind da jetzt auch tausende private Daten gespeichert und abrufbar?

  35. 35
    Nashwin says:

    Also ich weiß nicht, wie das in Deutschland ist, aber in Österreich wäre das ein Verwaltungsstraftatbestand. Kann mit bis zu 9.445 Euro geahndet werden – pro Fall.

  36. 36
    dot tilde dot says:

    @dfias:

    eine weitere hübsche methode, seiten auch ohne verlinkung in den google-index zu bekommen ist eine email mit dem url an eine beliebige googlemail-adresse. bequeme, schnelle möglichkeit, urls einzutragen.

    .~.

  37. 37
    dfIas says:

    Wie auch immer. Es gibt also genug Möglichkeiten, wie eine geheime URL verraten werden kann – und man kennt diese Möglichkeiten. Ergo könnte man Ermittlungen anstellen, um das Leck zu identifizieren. Wenn man nur wollte.

  38. 38
    Twipsy says:

    Mir liegt jetzt eine PM der LMA vor, in der sie in einer Hackerattacke den Grund für die sichtbaren Daten sieht. Aha, so ist das also. Man macht jetzt also Hacker verantwortlich; man selbst ist natürlich vollkommen unschuldig.

  39. 39
    rockthestar says:

    Wo kann man die denn nachlesen? Find die über Google oder Yahho nich. Auf der LMS Seite ist auch noch keine aktuelle….. :(

  40. 40
    nona says:

    Diese bösen Hacker, benutzen die doch einfach Google um irgendwas zu suchen. Viel schlimmer, die sind sogar so gemein und finden auch noch was!

  41. 41
    dfIas says:

    http://www.focus.de:

    Die Landesmedienanstalt Saarland hat die Seite inzwischen bis zum Jahresende komplett vom Netz genommen und per Eilantrag um Löschung der Cache-Einträge bei den großen Suchmaschinenbetreibern gebeten. In einer Pressemitteilung macht sie für die Datenpanne „nach bisherigem Erkenntnisstand“ eine Hackerattacke verantwortlich.

    (Link zum Focus-Artikel unter meinem Akronym)

  42. 42
    Elias says:

    Unfassbar! Einfach nur noch unfassbar! Google ist ja ganz offenbar ein „Hackertool“, das sollte sofort verboten werden.

  43. 43
    GlowingHeart says:

    Das eigene Unvermögen der ALM mit einer „Hackerattacke“ begründen zu wollen anstatt die eigenen gemachten Fehler einzugestehen, ist einfach nur widerlich und typisch für solche Anstalten. Denn genau so sind die Beschwerdeantwort-Mails gestrickt, falls man mal eins nach 6 Monaten Bearbeitungszeit zurück bekommen hat.

    Focus gibt in seinem Artikel über diesen Missstand der ALM ebenfalls persönliche Daten in einem unkenntlich gemachten Screenshot der ALM-Seite preis, da über die Eintragnummer „1327“ der Beschwerdeführer ermittelt werden kann und ebenfalls noch in der Cache von Google vorhanden und abrufbar ist.

  44. 44
    Twipsy says:

    @46 Machst Du aber auch, mit Deinem Link. Schreib am besten dem Focus, die werden dann schon reagieren.
    Ich lese gerade die HP der LMASaar, speziell die Pressemeldungen und das Medienkompetenzzentrum habens mir angetan.
    http://www.lmsaar.de/front_content.php

  45. 45
    GlowingHeart says:

    @47, Twipsy: Wenn man schon etwas unkenntlich macht, dann sollte man es richtig machen oder seinlassen.

  46. 46
    Twipsy says:

    @48 Bin genau Deiner Meinung. Außerdem: Wer die Daten haben möchte, hat sie schon längst.

  47. 47
    AgentOrange says:

    Am Anfang war es ja noch ein Disaster. Aber nun wird es immer lächerlicher. Google…das böse, böse Hackertool. Indiziert das Ding einfach Content, der für andere Zwecke bestimmt war. Dabei standen doch in der „robots.txt“ vom 20.04.2004 klare Anweisungen:

    User-agent: *
    Disallow:

    Noch Fragen Kienzle?!

  48. 48
    GlowingHeart says:

    User-agent: * Alle Spider
    Disallow: abgelehnt (außer Google, Yahoo, Alltheweb & Co)

  49. 49
    nona says:

    @GlowingHeart:
    Alltheweb gehört (zu) Yahoo.

  50. 50
    Nico says:

    @51: was willst du damit sagen? Abgelehnt ist mit so einem robots.txt-Eintrag noch nix, da müsste schon ein Pfad angegeben sein, der verboten ist (z.B. Disallow: /)

  51. 51
    gnaddrig says:

    @Twipsy/47: Habe mich grad bei der LMS umgeschaut. Unter Über die LMS –> Kontakt steht der schöne Hinweis
    „Bezüglich der Risiken beim E-Mail-Versand verweisen
    wir Sie auf unsere Datenschutzinfos.“ Der Link unter Datenschutzinfos führt leider ins Nichts. Man kriegt einen Fehler 404 – Seite nicht gefunden.

  52. 52
    Twipsy says:

    Ich habe bei call-in-tv.net die PM reingestellt und einige lustige LMS-Aussagen, kann man alles hier nachlesen. Ein Zitat möchte ich aber auch hier posten: „Wer mit den Medien der modernen Informationsgesellschaft sachgerecht, selbstbestimmt und sozial verantwortlich umgehen will, braucht Medienkompetenz. Die LMS fördert die Medienkompetenz.“ Also sprach die LMASaar.

  53. 53
    Alexander Scheid says:

    Offenbar haben die Macher von programmbeschwerde.de reagiert und gleich den ganzen Auftritt vom Netz genommen:

    Diese Webseite steht bis auf weiteres nicht zur Verfügung.
    Richten Sie Ihre Programmbeschwerde bitte an info@lmsaar.de.

  54. 54
    AgentOrange says:

    „gleich“ ist relativ. Aber wenn man die Bearbeitungszeit einer Beschwerde sieht, dann haben sie „blitzartig“ reagiert.

Trackbacks & Pingbacks

  1. […] solange man bei Programmbeschwerde.de nix vom Datenschutz hält ist es evtl. auch nicht sonderlich sinnvoll sich dort zu beschweren… Tags: dsf, fussball, […]

  2. […] solange man bei Programmbeschwerde.de nix vom Datenschutz hält ist es evtl. auch nicht sonderlich sinnvoll sich dort zu […]

  3. […] hat es von Stefan Niggemeier, also verlinke ich mal zu dem ursprünglichen Beitrag: “Medienanstalten outen Beschwerdeführer” […]

  4. […] Dass es eine solche Seite gibt, ist ja zunächst einmal löblich. Jeder kann dort seine Stellungnahmen zum aktuellen Dumpfsinn von Rundfunk und Fernsehen in einem einfachen Formular ablassen, damit seine Stellungnahmen nicht weiter beachtet werden. Zwar soll man bei einer solchen Beschwerde zwingend eine komplette Anschrift, eine Telefonnummer und eine Mailadresse hinterlegen, aber zum Glück gibt es da ja so eine Datenschutzerklärung, die zusichert, dass diese Daten niemals an Dritte weiter gegeben werden. Das erweckt ja doch ein gewisses Vertrauen. In der Tat, die Daten gingen nicht an Dritte, sie gingen an Millionen, die sie frei und ohne die Spur einer Zugangsbeschränkung über das…. […]

  5. […] des Monats: Die Landesmedienanstalten in der BRD. Wer auf deren Beschwerdeseite im Internet etwas hinterlässt, wird bekannt! […]

Einen Kommentar hinterlassen

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *