Die Fitnesskette Holmes Place sende- schlampt, sondern auch beim Webformular. angemeldet hatten, unterschieden sich te SMS mit Link zu einem vorausge- Um Zugang zu dem vorausgefüllten Formu- nur durch die letzte Ziffer in der Mitglieds- füllten Webformular. Dadurch konn- lar zu erhalten, reichte ein Link, der die Mit- nummer. Allem Anschein nach waren alle ten Unbefugte Vor- und Nachname, gliedsnummer von Benjamin S. enthielt. Mitglieder in Deutschland von diesem Handynummer und Studio anderer Diese besteht aus drei Teilen: einer Nummer Datenleck betroffen. Sportler abrufen. für den jeweiligen Standort der Kette, dem Nach unserem Hinweis auf das Si- Buchstaben „P“ und einer ID – beispiels- cherheitsproblem schaltete Holmes Place c’t-Leser Benjamin S. erhielt während der weise 12p12345. Hatte man die Nummer das Formular ab, reagierte aber nicht auf Corona-Einschränkungen eine SMS seines eines Standorts ermittelt – zum Beispiel unsere Fragen. Einige Wochen später Fitnessstudios Holmes Place, die ihn dazu durch Ausprobieren oder indem man sich haben wir bei der zuständigen Daten- aufforderte, persönliche Daten in seinem die Online-Registrierung anschaute – konn- schutzbehörde in Berlin nachgefragt, ob Kundenprofil zu ergänzen und dazu ein te man durch einfaches Hochzählen der ID diese Datenschutzverletzung gemeldet Webformular aufzurufen. die Mitgliedsnummern anderer ermitteln wurde. Da dies nicht der Fall war, be- Im Formular waren die Felder bereits und deren Daten abfischen. schäftigt sich jetzt die Landesdatenschutz mit Namen und Telefonnummer voraus- Mitglieder mit demselben Nachna- beauftragte mit dem Datenleck. gefüllt. Doch sie zeigten Benjamin S. nicht men, die sich möglicherweise gemeinsam (ako@ct.de) seine eigenen Daten, sondern die einer fremden Sportlerin. Offenbar war er nicht der einzige Kunde, der einen falschen Link zugeschickt bekommen hatte, denn vier Stunden später bekam er eine weitere SMS: „Liebe Mitglieder, leider haben wir heute früh bei der Versendung der ersten SMS einen Fehler gemacht und Ihnen einen fal- schen Link gesendet. Bitte löschen Sie die SMS von heute früh.“ Mit diesem offen- Das ungeschützte sichtlichen Datenleck wandte sich S. des- Webformular zeigte halb an c’t. die Kontaktdaten c’t fand heraus: Holmes Place hatte einer Sportlerin nicht nur beim Versenden der SMS ge- Kristina.
2,4-Milliarden-Strafe für Google bestätigt
Das Gericht der Europäischen Union mit einer kleineren Summe an der Stra- gegen Google stehen noch EuG-Entschei- (EuG) hat am 10. November entschie- fe beteiligt. Grund sei Googles „Stellung dungen an: 2018 verhängte Vestager die den, dass Google eine Geldstrafe in als Suchmaschine durch unzulässige Rekordstrafe von 4,34 Milliarden Euro, Höhe von 2,4 Milliarden Euro zahlen Vorzugsbehandlung des eigenen Preis- weil Google seine Marktdominanz bei muss. Der Mutterkonzern Alphabet ist vergleichsdienstes“. Android missbraucht habe. 1,49 Millio- Das Urteil geht auf ein Kartellrechts- nen Euro soll der Konzern außerdem zah- verfahren zurück, das die auch heute noch len, weil er im AdSense-Werbeprogramm für Wettbewerbsrecht zuständige EU- Anbieter systematisch benachteiligt Kommissarin Margrethe Vestager 2017 habe. eingeleitet hatte. Der Konzern habe „seine Am Gericht der EU werden Klagen marktbeherrschende Stellung als Suchma- gegen Entscheidungen von EU-Organen schinenbetreiber missbraucht, indem er wie der Kommission eingereicht und ver- seinen eigenen Preisvergleichsdienst in handelt. Man sollte es nicht verwechseln Bild: EU-Kommission
seinen Suchergebnissen ganz oben plat- mit dem Europäischen Gerichtshof
ziert und Vergleichsdienste der Konkur- (EuGH), der über die Auslegung von EU- renz herabgestuft hat“, hatte Vestager er- Gesetzgebung entscheidet. Gegen EuG- klärt. Urteile können Rechtsmittel am EuGH Bereits seit 2015 liegt die EU-Kommis Google hielt dies für „rechtlich, fak- eingelegt werden, der dann die korrekte sarin Margrethe Vestager mit Google tisch und wirtschaftlich“ falsch und zog Anwendung von EU-Gesetzen prüft. Al- wegen dessen Geschäftsgebaren vor Gericht. Zu zwei anderen Kartell- phabet hat vorerst offengelassen, ob man im Clinch. rechtsverfahren der EU-Kommission diesen Schritt gehen will. (hob@ct.de)