Operation Payback: Skype gab Nutzerdaten ohne Gerichtsbeschluss weiter
Der Voice-over-IP-Anbieter Skype hat in den Niederlanden die persönlichen Daten eine 16-jährigen Nutzers an das Sicherheitsunternehmen iSight Partners(öffnet im neuen Fenster) weitergeleitet – ohne behördliche Aufforderung. Das wiederum leitete die Daten an die niederländischen Behörden weiter. Der 16-Jährige sei an den DDoS-Angriffen beteiligt gewesen, die unter dem Namen Operation Payback liefen.
Kurz nach der Protestaktion gegen die Kontensperrung von Wikileaks durch Bezahldienste und Kreditkartenfirmen wurde das Sicherheitsunternehmen iSight Partners aus Dallas damit beauftragt, die DDoS-Angriffe zu untersuchen. Nur wenige Tage nach Operation Payback wurde der 16-jährige Wikileaks-Sympathisant von den niederländischen Behörden festgenommen .
Behörden erhielten Klarname und Adresse
Laut Polizeiakten, die der niederländischen Webseite nu.nl(öffnet im neuen Fenster) vorliegen, konzentrierten sich die Ermittlungen der niederländischen Polizei auf zwei Personen, darunter auf den 16-Jährigen. Das Sicherheitsunternehmen hatte die von Skype erhaltenen Daten an die Behörden weitergeleitet, darunter die E-Mail-Adresse, Benutzername, seinen echten Namen und seine Adresse.
Der iSight-Chef Joep Gommers sagte, er sei auf das Pseudonym des Wikileaks-Sympathisanten über Instant-Messaging aufmerksam geworden. Er habe zunächst die Behörden kontaktiert und ihnen die Zugangsdaten versprochen. Daraufhin sei er an Skype herangetreten. Der Voice-over-IP-Anbieter ist ein Klient der Sicherheitsfirma und gehörte damals noch nicht zu Microsoft. Skype habe ihm bereitwillig die Daten überlassen, sagte Gommers zu nu.nl.
Weitergabe ohne Gerichtsbeschluss problematisch
Normalerweise kooperiere seine Firma nicht ohne weiteres mit Behörden, sagte Gommers. In diesem Fall habe iSight Partners jedoch eine Ausnahme gemacht – im Interesse der Öffentlichkeit. Das sei, als ob iSight Partners einen Einbruch in der Nachbarschaft beobachtet und den Einbruch den Behörden gemeldet hätte.
Der Professor für Recht an der Universität Leiden, Gerrit-Jan Zwenne, sei überrascht von der Reihenfolge der Ereignisse, sagte er zu nu.nl. Er gehe davon aus, dass die Freigabe der persönlichen Daten erst durch einen Gerichtsbeschluss erfolgen dürfe. Er wisse nicht, ob die Weitergabe der Informationen im Rahmen der niederländischen Kommunikationsgesetze überhaupt erlaubt sei und ob die Behörden so erworbene Daten nutzen dürften.
Auf Anfrage von nu.nl sagte ein Skype-Sprecher, sein Unternehmen nehme den Datenschutz sehr ernst. Ohne Gerichtsbeschluss dürfen keine Daten weitergegeben werden. Es werde geprüft, unter welchen Umständen die Daten an das Sicherheitsunternehmen weitergegeben wurden.