StudiVZ: Hacken verboten [Update]

Nach über drei Monaten Diskussion hat die Studentenplattform StudiVZ einen Verhaltenskodex für seine Mitglieder vorgestellt und neue Allgemeine Geschäftsbedingungen (AGB) veröffentlicht. Diese sehen Vertragsstrafen für Nutzer vor, die sich nicht an die Regeln halten. Elektronische Angriffe sollen gar mindestens 6000 Euro kosten.

Das Studentenportal hatte den Verhaltenskodex bereits Ende November angekündigt, nachdem das Portal wegen fragwürdiger Praktiken einiger Nutzer in die Schlagzeilen gekommen war. So soll eine Gruppe männlicher Mitglieder Frauen systematisch belästigt haben. In der Folge zeigte sich StudiVZ besserungswillig und versuchte, mit Hilfe der Community einen Verhaltenskodex für Mitglieder aufzustellen, der solche Auswüchse in Zukunft vermeiden sollte. Nach Angaben des Unternehmens haben sich mehrere tausend Mitglieder an dem Prozess zur Erstellung der Benutzerregeln beteiligt. Das Regelwerk verbietet zum Beispiel das "Massengruscheln", bei der viele Mitglieder einem bestimmten Mitglied parallel eine Nachricht über das Portal zukommen lassen; untersagt sind zudem pornographische, extremistische oder strafbare Inhalte. Auch will der Anbieter gegen Fake-Profile vorgehen. So dürfen die Mitglieder keine falschen Angaben zu ihrer Person machen, auf ihren Profilbildern sollen sie erkennbar sein.

Während der Verhaltenskodex nur Konsequenzen bis zum Ausschluss eines Mitglieds ankündigt, gehen die neuen AGB wesentlich weiter. Sie sehen nämlich für Mitglieder Vertragsstrafen in unbestimmter Höhe vor, wenn sie sich nicht an die Spielregeln der Portalbetreiber halten. Besonders verpönt sind "elektronische Angriffe". Wer versucht, Viren über die Plattform zu verbreiten oder gezielt Mitgliedsdaten auszulesen, soll nicht nur straf- und zivilrechtlich verfolgt werden, sondern dazu auch eine Vertragsstrafe von mindestens 6000 Euro zahlen. Doch nicht nur eindeutig strafbare Handlungen zählen für StudiVZ zu den elektronischen Angriffen: Auch wer nur die Sicherheitsbarrieren von StudiVZ umgeht, ohne weiteren Schaden anzurichten, ist nach den neuen Geschäftsbedingungen zur Zahlung der Vertragsstrafe verpflichtet. Darüber hinaus werden die mit einer Strafe belegte Mitglieder zum Stillschweigen über die Sanktionen verpflichtet, "insbesondere auf Internetforen, in Blogs oder gegenüber der Presse."

Damit vollzieht das Unternehmen eine Kehrtwende. Im November hatte StudiVZ seine Mitglieder noch ausdrücklich ermutigt, Sicherheitslücken zu suchen und dafür sogar Geldprämien ausgesetzt. Nach den neuen Geschäftsbedingungen ist schon eine Suche nach möglichen Sicherheitslücken nicht mehr erlaubt. Das Unternehmen selbst schließt aber eine Haftung für Hacker-Angriffe ausdrücklich aus. So heißt es unter Punkt 6.5: „Der Betreiber haftet nicht für die unbefugte Kenntniserlangung von persönlichen Nutzerdaten durch Dritte (z. B. durch einen unbefugten Zugriff von "Hackern" auf die Datenbank)". Genau dies war Ende Februar passiert. Damals war es einem unbekannten Angreifer gelungen, über eine SQL-Injection eine unbekannte Anzahl von Profilen samt persönlicher Daten wie E-Mail-Adressen auszulesen. Zwar hatte StudiVZ daraufhin sämtliche Passwörter von Mitgliedern ausgewechselt, hielt es aber bis heute nicht für nötig, die Mitglieder über die Folgen des Angriffs zu informieren.

Unklar ist, welche Vertragsstrafen das Unternehmen für kleinere Verstöße gegen die AGB und den Verhaltenskodex erheben will. Nach dem Wortlaut reicht schon ein falsch geschriebener Name aus, um zahlungspflichtig zu werden. [Update: Ein Unternehmenssprecher erklärt auf Anfrage von heise online: „Wir haben selbstverständlich kein Interesse daran, unsere Nutzer zu verklagen. Diese Klausel dient nur einer Absicherung gegenüber denjenigen, die versuchen, Nutzerdaten oder ähnlich sensibles Material auszulesen.“] Die neuen Geschäftsbedingungen werden derzeit per Mail an die Mitglieder von StudiVZ verschickt. Sie sollen 14 Tage nach Erhalt gültig werden. Wer den AGB widerspricht, muss damit rechnen, von der Plattform ausgeschlossen zu werden.

Ob die neuen AGB vor Gericht gültig sind, muss sich aber erst herausstellen. So bezweifelt Rechtsanwalt Udo Vetter in seinem Weblog die Wirksamkeit der Klauseln, da Vertragsstrafen gegen Verbraucher schwer durchzusetzen seien, den Nutzer unangemessen benachteiligten und die AGB-Klauseln in dieser Form für den Kunden überraschend seien. [Update: Der StudiVZ-Sprecher entgegnet: „Die Klauseln sind im Übrigen nicht überraschend, weil ausdrücklich in Fettdruck und gesondert auf sie hingewiesen wird und weil das Wort Vertragsstrafenregelung selbst auch gleich am Anfang der gesonderten Klausel hierzu durch Fettdruck deutlich hervorgehoben wird.“]

StudiVZ ist Deutschlands größtes Studentenportal. Nach eigenen Angaben hat das Unternehmen in Europa inzwischen 1,8 Millionen Nutzer gewinnen können. Im Januar war das Berliner Startup-Unternehmen für einen Betrag von über 50 Millionen Euro von der Verlagsgruppe Holtzbrinck übernommen worden. (Torsten Kleinz) / (vbr)