Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.

Unzureichender Datenschutz im Starbucks Gratis WLAN in der Schweiz

Veröffentlicht am 09.01.2019

Der Rückgriff auf öffentliches Gratis-WLAN hat unterschiedliche Gründe. Zum Beispiel kann das eigene WLAN nicht verfügbar sein, der Mobilfunk-Vertrag ein bestimmtes Datenvolumen vorsehen, was „geschont“ werden soll oder man ist im Ausland und dort gilt der eigene Mobilfunk-Vertrag nicht.

 All dies kann Anlass dafür sein, auf ein Gratis WLAN zurückzugreifen, wie es z.B. von Starbucks zur Verfügung gestellt wird. Bei Starbucks in der Schweiz registriert man sich einmal in einem Gratis WLAN einer Filiale und wird dann in anderen Starbucks-Filialen mit Gratis WLAN genauso zugelassen. Für die Registrierung sind Daten wie z.B. Name, E-Mail oder Handy-Nummer erforderlich.

Ein ethical Hacker verschaffte sich über eine Schwachstelle des Gratis-WLAN Zugang zu den persönlichen Daten der Nutzer. Mit einer App (Anwendung), die frei zugänglich ist, konnte nämlich der ethical Hacker feststellen, wer gerade im Gratis-WLAN von Starbucks surft.

Als Reaktion auf die schweizerischen Verbrauchersendung hat Starbucks mitgeteilt, eine geänderte WLAN-Lösung den Kunden zur Verfügung zu stellen, wonach der kritisierte Zugang zu den Personendaten nicht mehr möglich wäre.

Prof. Dr. Peter der Hochschule FHNW kritisierte, dass die Personendaten der registrierten Benutzer des Gratis WLAN bei Starbucks nicht ausreichend geschützt gewesen wären entsprechend dem schweizerischen Datenschutzgesetz.

 

Quelle: Bericht von Magnuss Rengglie/Nadine Woodtil in der Verbrauchersendung des SRF vom 4.12.18.

 

Es ist hervorzuheben, dass der obige Bericht nur den Datenschutz beim Gratis-WLAN in der Schweiz untersuchte.

In Übertragung auf das europäische Datenschutzrecht müsste eine Verletzung von Art. 5 DSGVO und Art. 32 DSGVO geprüft werden. Es sind entsprechende Vorkehrungen nach der DSGVO für den Personendatenschutz zu treffen.

 

 

Dr. Tim Oehler, Rechtsanwalt, zertifizierter Datenschutzbeauftragter

 

Interessante Vorschriften der DSGVO

Zur DSGVO ist auf Art. 5 Abs. 1 f) DSGVO und Art. 32 DSGVO hinzuweisen.

 

Art. 5 DSGVO. Grundsätze für die Verarbeitung personenbezogener Daten

f) …in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

 

Artikel 32 DSGVO. Sicherheit der Verarbeitung

 

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

 

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

 

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

 

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

 

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

 

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

 

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.