Inhalt:

• WhatsApp-Konten für Angreifer offen - kaum Reaktionen von Meta
• Schwer einschätzbare Folgen: Wenn KI-Geräte Besprechungen protokollieren
• "Abmahnwelle" stark gebremst: Wichtige Verfahren wegen "Unbehangen" durch Verwendung von Google-Fonts auf Webseiten laufen noch immer
• Wenn KI falsch berät ...

 

 

WhatsApp-Konten für Angreifer offen - kaum Reaktionen von Meta

Wiener Forscher haben vor mehr als einem Jahr Meta darüber informiert, dass es ihnen möglich war, weltweit 3,5 Milliarden Konten von WhatsApp einzusehen und die Nutzerdaten abzusaugen. Zwar wurden die Inhalte der Nachrichten nicht geöffnet, die Metadaten, also wer ein Konto hat, sein Profilbild, etc. reichen aber völlig aus, um weltweit Personen sogar in Lebensgefahr zu bringen. Zahlreiche Regime weltweit stellen den Gebrauch von WhatsApp unter Strafe.

Für den Rest der Welt sind die Veröffentlichungen auch nicht unproblematisch, da sie zumindest dem Betrug Tür und Tor öffnen. Wirklich schwer verständlich ist, dass Meta auf die Nachricht aus Wien ein Jahr lang überhaupt nicht reagiert hat - von einer Empfangsbestätigung abgesehen. Erst als die Forscher mit einer Veröffentlichung des Berichtes drohten, wurden technische Massnahmen ergriffen. Die sind aber ziemlich schwach, u.a. weil jede wirkungsvolle Abhilfe auch gewollte Features von WhatsApp einschränken würde.

Meta behauptete zuletzt gegenüber der Wiener Forschungsgruppe, dass man keine Anzeichen für eine Abfluss der Daten an Kriminelle habe. Nachdem Meta aber gemäß eigener Bekundung auch nicht feststellen konnte, dass die Daten in Wien abgesaugt wurden, ist die Erklärung wertlos.

Wer also ein WhatsApp-Konto besitzt muss davon ausgehen, dass wichtige Identifikationsmerkmale zu seiner Person im Besitz von Kriminellen oder Regimen problematischer Staaten sind. Welche Merkmale das sind, darüber schreibt Heise online sehr ausführlich in seinem Bericht (siehe Quellen).

Was also kann man tun, wenn man davon ausgehen muss, dass die Preisgabe persönlicher Informationen gefährlich würde? Heise rät dazu, nicht nur das eigene WhatsApp-Konto zu löschen, sondern auch alle Endgeräte, die mit dem Konto verbunden waren endgültig außer Betrieb zu nehmen, da ansonsten die Informationen zur Person weiterhin aktiv bleiben könnten. Mit dem Risiko, dass sich die Angaben, die bis dahin im Netz verfügbar waren, schon im Besitz zweifelhafter Personen und Organisationen befinden und von ihnen verwendet werden können, wird jeder Nutzer von WhatsApp leider leben müssen.

Vielleicht ist das ein Anlass, sich generell von WhatsApp abzuwenden und zu deutlich sichereren Messengern zu wechseln. Im Vergleich hat sich etwa Signal im Hinblick auf die Sicherheit bisher bewährt.

Quellen:

https://www.heise.de/news/3-5-Milliarden-Konten-Komplettes-Whatsapp-Verzeichnis-abgerufen-und-ausgewertet-11082660.html
(23.11.2025)

https://www.blick.ch/digital/whatsapp-erlebt-groesstes-leck-der-geschichte-whatsapp-luecke-erlaubt-zugriff-auf-milliarden-nutzerprofile-id21436070.html
(23.11.2025)

https://www.netzwoche.ch/news/2025-11-20/forschende-decken-massive-sicherheitsluecke-in-whatsapp-auf
(23.11.2025)

 

 

Schwer einschätzbare Folgen: Wenn KI-Geräte Besprechungen protokollieren

Der Einsatz von Tonaufzeichnungen bei Besprechungen, die nahezu zeitgleich mittels KI transkribiert werden, ist ziemlich verlockend, weil die Protokollführung dadurch stark vereinfacht werden kann. Das gilt zwar mit zahlreichen technischen Wenns und Abers, trifft aber wenigstens auf einige Anwendungsfelder zu.

Mittlerweile sind sogar Mobiltelefone mit speziellen Tonaufzeichnungsfunktionen am Markt, von denen die Marketing-Texte versprechen, dass sie die Transkriptionen noch während der laufenden Besprechung anfertigen. Ein derartiges Produkt wäre z.B. PLAUD.

Für die juristische Beurteilung ist es wichtig, den technischen Prozess zu kennen, der zwischen dem gesprochenen Wort in der Besprechung und der Übermittlung des Transkriptes an den Protokollführer abläuft. KI-Anwendungen laufen derzeit selten am kleinen lokalen Endgerät. Das könnte sich mit Weiterentwicklung der Prozessoren aber ändern. Wird aktuell etwa PLAUD verwendet, wird alles, was im Raum gesprochen wird, in einen Audio-Stream umgewandelt. Der wird dann zeitgleich an den Server eines US-Unternehmens zur weiteren Bearbeitung und zur Rückmeldung des Ergebnisses, also zur Erstellung der Transkription, übermittelt.

Datenschutzrechtlich hat der Sachverhalt daher zwei Komponenten:

1. Die Tonaufnahme, also das gesprochene Wort. Es werden biometrische Daten der Besprechungsteilnehmer verarbeitet, die nach Art. 9 DSGVO ("Sensible Daten") zu behandeln sind.
2. Der Inhalt der Besprechung, bei dem es sich auch um personenbezogene Daten, möglicherweise sogar um sensible Daten handeln kann (z.B. Diagnosen, Therapien, religiöse Überzeugungen, politische Orientierung, sexuelle Vorlieben etc.)

Alle großen Anbieter von KI befinden sich in den USA, ihre Server sind auf der ganzen Welt verteilt. Nach welchem Rechtsregime die Verarbeitungen erfolgen, ist nicht abschließend feststellbar. Ohne Zweifel aber ist die DSGVO und der damit verbundene Schutz für die Betroffenen - das beginnt bei den Besprechungsteilnehmern und endet bei Personen, über die gesprochen wird - derzeit nicht weltweit durchsetzbar.

Diese Bestandsaufnahme hat erhebliche praktische Auswirkungen: Die meisten "Urlaubsparadiese" und insbesondere die USA können in mancher Hinsicht nicht als Rechtsstaaten im europäischen Sinn eingestuft werden. Touristen, Schüler oder Studenten, Personen im beruflichen Auslandseinsatz, über die den jeweiligen lokalen Behörden Informationen zur Kenntnis gelangt sind, könnten bei der Einreise oder bei polizeilichen Kontrollen Probleme bekommen. Dazu werden "Vergehen" sonder Zahl bemüht: Ablehnung des Islams, exzessives Bekenntnis zum Islam, Hang zur christlichen Missionstätigkeit, geäußerte Kritik am Präsidenten usw. Soferne kein anderes Delikt zur Verfügung steht, werden üblicherweise "Korruption", "Terrorismus" oder "Illegale Einreise" als Grund für abartiges behördliches Vorgehen behauptet.

Mit der aktuellen Rechtslage in der EU ist die Verwendung von KI-Diktiergeräten, die Transkriptionen von Besprechungen anfertigen, nur unter sehr eingeschränkten Bedingungen vereinbar. Zusätzlich empfiehlt es sich, intensiv darüber nachzudenken, ob man dadurch nicht Personen unnötig Verfolgungshandlungen in fremden Staaten aussetzt, gegen die es kaum Schutz gibt. Das gilt auch und insbesondere für Siri, Alexa und gleichartige Systeme.

Quellen:

https://www.derstandard.at/story/3000000293839/chatgpt-ueberwachung-openai-gibt-daten-an-us-behoerden-weiter
(19.11.2025)

 

 

"Abmahnwelle" stark gebremst: Wichtige Verfahren wegen "Unbehangen" durch Verwendung von Google-Fonts auf Webseiten laufen noch immer

Am 14.4.2025 wies das Landesgericht für Zivilrechtssachen in Wien eine Klage von Eva Zajaczkowska, die durch Rechtsanwalt Marcus Hohenecker verreten wird, ab. Der Beklagte, ein Tischler aus Kärnten, verwendete auf seiner Homepage Google-Fonts. Beim Aufruf der Seite fühlte Zajaczkowska deshalb "Unbehagen" und verlangte dafür EUR 100 Schadenersatz - für das Anwaltsschreiben an die Tischlerei wurden EUR 90 in Rechnung gestellt. Der Beklagte hatte sich geweigert zu zahlen, weshalb Hohenecker die Klage einbrachte.

Das Urteil ist lediglich eines in einer Reihe von Verfahren. Insgesamt hatten Zajaczkowska bzw. Marcus Hohenecker 2022 mehr als 30.000 Mahnbriefe mit gleichlautenden Forderungen verschickt. Bisher haben die beiden - soweit bekannt - kein einziges Verfahren zur Eintreibung der Forderung gewonnen.

Im Gegenteil: Es hat sich sogar die Wirtschafts- und Korruptionsstaatsanwaltschaft eingeschaltet, verdächtigt Hohenecker und seine Mandantin des Betrugs und geht von einem Schaden in der Höhe von ca. 6 Millionen Euro aus. Hier droht ein Strafverfahren.

Im Zivilverfahren, das mit dem o.a. Urteil (vorbehaltlich weiterer Rechtsmittel) endete, argumentierte der beklagte Tischler, er habe die Google-Fonts auf seiner Website lokal eingebunden. Beim Aufruf der Seite am 16.4.2023 wäre daher keineswegs eine Verbindung zu Google in den USA aufgebaut und keine IP-Adresse in die USA übermittelt worden.

Die technische Frage, ob nun tatsächlich beim Aufruf der Seite des Beklagten die IP-Adresse der Klägerin in die USA übertragen worden war, wurde vom Gericht nicht näher untersucht (am 10. Juli 2023, also rund drei Monate nach dem klagsgegenständlichen Vorfall, hat die EU-Kommission wieder einen Angemessenheitsbeschluss bezüglich der USA gefasst, seit damals ist fraglich, ob der Tatbestand der Verwendung von live nachgeladenen Google-Fonts als illegal einzustufen ist - aber das ist eine andere Geschichte). Grundlage für das Urteil bzw. die Abweisung der Klage war der vom Gericht festgestellte Rechtsmissbrauch durch die Klägerin, der auch schon von anderen Gerichten gewürdigt worden war.

Juristisch sind zwei Fragen relevant:

• Hat Eva Zajaczkowska ihre Klage rechtsmissbräuchlich eingebracht, d.h.: Hat sie ihr grundsätzlich vorhandenes Recht in unberechtigter Weise ausgeübt? Der Einsatz eines eigenen Programms zum massenweisen Aufspüren von Websites mit Google-Fonts wurde bereits von einigen Gerichten als Missbrauch eingestuft. Zajaczkowska hat nämlich die vom Programm ausgewählten Seiten - sofern sie überhaupt persönlich am PC saß - nicht auf der Suche nach Information aufgerufen, sondern ausschließlich, um damit einen (wenigstens seinerzeit) rechtswidrigen Zustand zu schaffen, den sie dann zum Grund für ein Abmahnschreiben machte.
• Kann ein automatisiert ablaufendes Programm, das über eine IP-Adresse verfügt, unter den gleichen Sachverhalt subsumiert werden, der den Urteilen des EuGH vom 19.10.2016 – C-582/14 und des BGH vom 16.05.2017 – VI ZR 135/13 zu Grunde gelegt wurde? Beide Gerichtshöfe beurteilten eine Situation, bei der ein Endgerät mit IP-Adresse unter Zuhilfenahme weiterer Informationen (technische Dokumentationen der Provider) einer Person zugeordnet werden konnte und haben daher ausgesprochen, dass die IP-Adresse ein personenbezogenes Datum ist. Die Situation im Anlassfall der "Abmahnung" ist jedoch eine gänzlich andere, und es bestehen begründete Zweifel, ob das von der Klägerin eingesetzte Computerprogramm ihrer Person in der Weise zugeordnet werden kann, wie das in den Erwägungsgründen 26 und 30 zur DSGVO beschrieben ist. Wenn nicht, dann muss der Klage von Zajaczkowska ohnehin der Erfolg mangels Grundlage versagt bleiben.

Was Eva Zajaczkowska und Marcus Hohenecker heute von ihrer seinerzeitigen Idee halten, die Verwendung von Google-Fonts massenweise "abzumahnen"? Wir wissen es nicht. Zur Nachahmung oder gar als Geschäftsmodell ist die Vorgangsweise aber keinesfalls zu empfehlen.

Quellen:

https://www.sn.at/panorama/oesterreich/millionenschwere-mahnwelle-oesterreich-google-schriften-jetzt-auswertung-wksta-186664078
(27.10.2025)

https://share.google/fKRF2HhvETpBorh6S
(15.4.2025)

https://www.ideato.at/templates/masterbootstrap/news/20231016_ideato-news.html#Pkt2
(16.10.2023)

https://dr-dsgvo.de/ip-adressen/
(17.11.2025)

 

 

Wenn KI falsch berät ...

OpenAI sieht sich derzeit in den USA mit enormen Schadenersatzforderungen konfrontiert, weil - wenig verwunderlich - verschiedene medizinische und juristische Ratschläge der "Intelligenz" falsch oder wenigstens missverständlich waren.

Daraufhin hat das Unternehmen seine Nutzungsrichtlinien mit Stichtag 29.10.2025 geändert und hofft, künftige Forderungen damit abwehren zu können. Nunmehr heißt es im Punkt "Persönliche Sicherheit" u.a.:

"Alle Menschen haben ein Recht auf Schutz und Sicherheit. Das bedeutet, dass unsere Dienste nicht verwendet werden dürfen für: [...] personalisierte Beratungsleistungen, z. B. rechtlicher oder medizinischer Natur, für die eine Befugnis oder Lizenz erforderlich ist, ohne Beisein einer einschlägig qualifizierten Person [...]"

Juristen in Österreich bezweifeln, ob die Änderung der Nutzungsbedingungen ausreichen, um Schadenersatzforderungen abzuwehren. Je nach Anlassfall könnten sehr hohe Summen eingeklagt werden.

Durchaus könnten aber für Österreich auch die Tatbestände des § 184 StGB ("Kurpfuscherei") und der "Winkelschreiberei" (RGBl. Nr. 114/1857) bzw. des Verstoßes gegen die Rechtsanwaltsordnung in Betracht kommen, wenn medizinische oder juristische Beratung erteilt wird. Medizinische Beratung ist gem. § 2 (2) Pkt.2 Ärztegesetz ausdrücklich den Ärzten vorbehalten. Weil bei der Rechtsberatung die Grundlagen nicht ganz eindeutig sind, könnte in diesem Bereich eher der drohende Schadenersatz präventive Wirkung entwickeln.

Insgesamt gilt aber generell für den Einsatz von KI, dass ihre Beratungsergebnisse jedenfalls von Fachleuten überprüft werden müssen. Die Wahrscheinlichkeit, dass sie falsch sind - das geht bis zu frei erfundenen Studien und Referenzen in der Literatur - ist sehr hoch. Pikantes Detail: Nahezu alle großen Entwickler und Anbieter von KI haben in den letzten 3 Jahren vor KI und ihren Ergebnissen mit drastischen Worten gewarnt. Würde ein Hersteller von Heizgeräten vor seinen eigenen Produkten warnen, wäre das vermutlich sein wirtschaftliches Ende. Bei KI verhält sich die Welt unerklärlicher Weise komplett anders, der Glaube an die glänzende Zukunft durch KI hat fast religiöse Formen angenommen. Eine logische Erklärung dafür fällt schwer. "Herr, lass es Hirn regnen", rief vor einigen Jahren der vormalige Erzbischof von Wien, Kardinal Christoph Schönborn, im Zusammenhang mit Corona-Leugnern und Impfgegnern vor laufender TV-Kamera. Genau das wünscht man sich auch bei KI.

Quellen:

https://openai.com/de-DE/policies/usage-policies/
(19.11.2025)

https://steigerlegal.ch/2025/11/03/openai-chatgpt-rechtsberatung-kein-verbot/
(3.11.2025)

https://www.derstandard.at/story/3000000296676/openai-verbietet-offiziell-rechtliche-und-medizinische-beratung-durch-chatgpt
(17.11.2025)

https://law.ch/lawinfo/unerlaubte-handlung/weitere-haftungstatbestaende-spezialgesetze/haftung-falsche-auskunft/
(19.11.2025)

https://www.tectrain.at/blog/kuenstliche-intelligenz/ai-act-risikoklassen-einfach-erklaert?gad_source=5&gad_campaignid=21104424922&gclid=EAIaIQobChMI2uaH9uX-kAMVb62DBx2e8AMbEAAYBCAAEgJ7G_D_BwE
(19.11.2025)