Automatisierte Scans: Microsoft sperrt Kunden unangekündigt für immer aus

Dass Anbieter wie Google oder Microsoft automatisiert nach strafbaren Inhalten suchen, weiß nicht jeder. Gerät man ins Visier, sind Konto und Inhalte verloren.

Lesezeit: 15 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1076 Beiträge
Ausgesperrt infolge automatisierter Scans.
Von
  • Greta Friedrich
Inhaltsverzeichnis

Zack. Auf einen Schlag ist die digitale Identität von Malik weg. Wobei "weg" es nicht trifft, Malik kann nicht mehr darauf zugreifen, sein Microsoft-Konto ist plötzlich gesperrt. Das bedeutet für ihn: Er ist abgeschnitten von seinen E-Mails, Kontakten und Kalendern bei Outlook.com. Er kommt nicht mehr an die OTP-Schlüssel, die er mit Microsoft Authenticator für andere Accounts generiert hat. Er muss seinen Laptop komplett zurücksetzen, da dieser mit BitLocker verschlüsselt ist und er den Wiederherstellungsschlüssel auf Anraten von Microsoft nicht lokal, sondern im Onlinekonto gespeichert hat. So kommt er nun nicht mehr an die Verschlüsselungscodes – lokale Dateien auf dem Laptop sind verloren.

c't kompakt

  • Große Plattformanbieter wie Google oder Microsoft sperren immer wieder ohne Vorwarnung Nutzerkonten.
  • Viele Menschen zentrieren ihre gesamte digitale Identität bei einem Onlinedienst – ist das Konto verloren, ist auch die Identität weg.
  • Grund für viele Sperrungen ist der Umgang der Plattformen mit dem Verdacht auf die Verbreitung von Kinderpornografie.

Die Daten auf OneDrive sind zwar noch da, aber Malik, den wir hier auf seinen Wunsch nicht bei seinem echten Namen nennen, kommt nicht mehr an sie heran. Somit sind Fotos aus 13 Jahren, alle Arbeiten und Recherchen für sein laufendes Informatikstudium, Unterlagen für seine Arbeit als studentische Aushilfe in der IT-Branche und sensible Dokumente, die in OneDrives "Sicherem Tresor" liegen, zumindest fürs Erste verloren. Auch in die Xbox-Bibliothek lässt Microsoft Malik nicht mehr hinein, seine Spiele für über 1000 Euro kann er vergessen. Ganz zu schweigen von der 400-Euro-Familienlizenz für Office 365, die jetzt nutzlos ist.

Mehr von c't Magazin Mehr von c't Magazin

Kurz vor der Sperrung hat Malik über den Microsoft-Account seine Fotosammlung in OneDrive sortiert, sonst ist nichts Besonderes passiert. Doch Microsoft begründet die Sperre so: "Wir haben Aktivitäten festgestellt, die gegen unseren Microsoft-Servicevertrag verstoßen." Dass hinter diesem nichtssagenden Satz ein Verdacht auf die Verbreitung von Kinderpornografie steckt, kann Malik nicht wissen. Er ist ratlos.

Die Fehlermeldung bei einem gesperrten Konto verweist auf eine Support-Seite von Microsoft.

Ähnlich geht es auch anderen Menschen: Foreneinträge und Hilfe-Artikel im Web weisen darauf hin, dass Konten bei Microsoft, Google, Amazon oder Apple nicht selten ohne Vorwarnung gesperrt werden. Dabei geben die Dienste oft keinen Grund an oder formulieren diesen für den Nutzer unverständlich. Die Support-Prozesse scheinen in solchen Fällen oft langsam und nicht zufriedenstellend zu verlaufen.

Jonas Kahl hat als Fachanwalt für Urheber- und Medienrecht häufig mit gesperrten Social-Media-Accounts zu tun. Einige Urteile aus diesem Bereich lassen sich seiner Einschätzung nach in Grundzügen aber auch auf andere Plattformen übertragen, etwa zwei Urteile des Bundesgerichtshofs (BGH) aus dem Jahr 2021 (Az. III ZR 179/20 und III ZR 192/20). Darin lege der BGH Bedingungen fest, unter denen ein soziales Netzwerk einen Account oder weitere Beiträge sperren darf. "Demnach muss das soziale Netzwerk vor einer Sperrung den Account-Inhaber über die beabsichtigte Sperrung informieren und ihm Gelegenheit zur Stellungnahme geben. Erst dann darf der Plattformbetreiber über die Sperrung entscheiden. Wird dieses Prozedere nicht eingehalten, ist die Sperrung bereits aufgrund eines Formfehlers rechtswidrig", erklärt Kahl.

In manchen Fällen jedoch brauche es keine vorherige Abmahnung des Nutzers, sagen Sebastian Laoutoumai und Oliver Löffel, die als Fachanwälte für gewerblichen Rechtsschutz regelmäßig Inhaber gesperrter Accounts vertreten. Nach deutschem Recht sei ein Nutzerkonto bei einem Onlinedienst wie etwa Google oder Microsoft ein "Dauerschuldverhältnis". Wird das Konto sofort gesperrt, sei das "rechtlich gesehen die Kündigung des Dauerschuldverhältnisses ohne Einhaltung einer Kündigungsfrist", so Laoutoumai und Löffel. Das sei nur aus einem wichtigen Grund rechtlich möglich, den das Bürgerliche Gesetzbuch in § 314 Absatz 1 Satz 2 definiere – die Bewertung hänge stets vom Einzelfall ab.

Ein solch wichtiger Grund, so die Anwälte, sei zum Beispiel die Verbreitung von Kinder- oder Jugendpornografie: Ein dafür genutztes Konto "darf sofort und dauerhaft deaktiviert werden. So etwas rechtfertigt unter Abwägung der beiderseitigen Interessen die sofortige Kündigung des Nutzungsvertrages", stellen Löffel und Laoutoumai klar. Besonders wichtig an dieser Stelle: Ein begründeter Verdacht des Onlinedienstes reiche bereits aus.

Post nach einem Jahr

Dass sein Konto im Sommer 2020 aufgrund eines solchen Verdachts gesperrt worden war, erfuhr Malik erst über ein Jahr später, als ihm eine polizeiliche Vorladung ins Haus flatterte. Die Polizei befragte ihn und konfrontierte ihn mit dem Verdacht, er habe kinderpornografisches Material zu OneDrive hochgeladen. Doch bei den fraglichen Bildern handelte es sich um eine harmlose Fotoserie von Maliks Neffen, der nackt am Strand spielt und badet.

Die Urlaubsbilder hatte Maliks Schwester mit seinem Handy gemacht, weil dessen Kamera besser war als die ihres eigenen Smartphones. Die Fotos waren dann automatisch zu OneDrive geladen worden, ohne dass Malik dies bewusst war. Dort hatte offensichtlich ein automatischer Inhaltescanner von Microsoft die Bilder entdeckt, als verdächtig eingestuft und sie an die Behörden weitergeleitet.

Nun tappte Malik über ein Jahr lang im Dunkeln und durchlief den Support-Prozess, den Microsoft in der Fehlermeldung auf der Anmeldeseite anstößt. Die verlinkte Support-Website empfängt Betroffene mit warmen Worten ("Wir wissen, dass das Sperren Ihres Kontos frustrierend sein kann, und wir entschuldigen uns für die Unannehmlichkeit") und verweist auf ein verlinktes Formular. Damit das gesperrte Konto und der Grund für die Sperrung geprüft werden könnten, müsse der Nutzer es ausfüllen.

Wenn Malik das Support-Formular ausfüllt, bekommt er daraufhin stets eine Mail von Microsoft: Grund für seine Sperrung sei ein "schwerwiegender Verstoß" gegen den Nutzungsvertrag.

Das hat Malik bis heute etliche Male getan. Als Antwort auf das Formular bekommt er stets eine Mail von Microsoft, die auf Deutsch oder Englisch so oder ähnlich lautet: "Microsoft hat den Zugriff auf das Konto aufgrund eines schwerwiegenden Verstoßes gegen die Microsoft Services Agreement [sic!] deaktiviert." Gegen welchen Teil des Servicevertrags Malik verstoßen hat, erklären die Mails nicht.

Unter "Verhaltensregeln" listet der umfangreiche Vertrag mehrere Handlungen auf, die Nutzer unterlassen müssen. Darunter findet sich neben Phishing-Attacken und dem Versand von Spam auch "jede Handlung, die Kinder ausnutzt, Kindern schadet oder zu schaden droht". Verboten ist es auch, "unangemessene Inhalte oder anderes Material (das z. B. Nacktdarstellungen, Brutalität, Pornografie […] oder kriminelle Handlungen zum Inhalt hat) zu veröffentlichen oder über die Dienste zu teilen".

Im Abschnitt "Durchsetzung" erklärt Microsoft, bei einem Verstoß gegen die Regeln sei der Dienst "berechtigt, Schritte gegen Sie [den Nutzer] einzuleiten; dazu gehört, dass wir die Bereitstellung der Dienste einstellen oder Ihr Microsoft-Konto aus wichtigem Grund fristlos schließen […] können." Außerdem behält sich Microsoft vor, Nutzerinhalte zu überprüfen, um vermutete Verstöße gegen die Bestimmungen zu untersuchen. Auch andere große Anbieter von Clouddiensten, etwa Google, Amazon, Apple und Dropbox, dürfen laut ihren Vertragsbedingungen im Zweifel Konten sperren.

Um sexuellem Missbrauch von Kindern vorzubeugen oder ihn aufzudecken, scannen viele Plattformen die Inhalte ihrer Nutzer, etwa Google, Microsoft und Meta. Sie nutzen Algorithmen und maschinelles Lernen, um bereits bekannte Bilder zu finden und auch neue zu erkennen. Die US-amerikanischen Dienste senden ihre Funde an das National Center for Missing and Exploited Children (NCMEC), wo sie mit einer Datenbank abgeglichen werden.

Das NCMEC leitet die Verdachtsfälle an Strafverfolgungsbehörden weiter, auch international. Immer wieder gibt es dann Fälle wie den von Malik: Im August 2022 wurde etwa bekannt, dass zwei Familienväter in den USA ihre Google-Accounts verloren hatten und gegen die Männer ermittelt wurde. Beide hatten zuvor jeweils Fotos des Genitalbereichs ihres Sohnes an Ärzte geschickt. Die Handys luden die Bilder automatisch in Google Drive, wo Google sie als kinderpornografisches Material einstufte. Auch die Cloud-Inhalte von Malik wurden offensichtlich gescannt, die Algorithmen erkannten auf einigen Fotos ein nacktes Kind und schlugen Alarm, Microsoft sperrte das Konto.

Wir haben die Plattformanbieter Microsoft, Amazon, Google und Apple gefragt, was Nutzer tun können, deren Konto plötzlich gesperrt wurde. Google und Apple reagierten auch auf Nachfrage nicht. Die Pressestelle von Microsoft verwies lediglich auf die Nutzungsbedingungen und erklärte, Microsofts "Online Safety Support Agents" würden solche Fälle prüfen und das Konto gegebenenfalls wiederherstellen. Für Amazon erklärte ein Sprecher, von einer Kontensperre betroffene Kunden sollten sich an Amazon wenden, damit das Konto geprüft werden könne.

Die Anwälte Sebastian Laoutoumai und Oliver Löffel empfehlen allen, die bei einem Online-Dienst ohne nachvollziehbaren Grund gesperrt wurden, den Dienst sofort abzumahnen, am besten auf Englisch. Reagiere der Dienst darauf "nicht oder nicht wie gefordert", könne man in Deutschland eine einstweilige Verfügung gegen die Sperrung des Kontos beantragen. Diese werde "regelmäßig auch erlassen", so die Anwälte. "Damit wird dem Online-Dienst unter Androhung einer Strafe bis zu 250.000 Euro verboten, das Konto – aus bestimmten Gründen beziehungsweise ohne Gründe zu nennen – zu sperren."

Malik wandte sich in seiner Verzweiflung an Martin Geuß, der auf seinem Blog "Dr. Windows" mehrfach über ähnliche Fälle berichtet hatte. Einigen Betroffenen hatte Geuß sogar helfen können, ihr Konto wieder zu öffnen – doch bei Malik bemühte er sich vergebens. Der Support erklärte, dass die Sperre unumkehrbar sei, da es sich um einen "besonders schweren Verstoß" handele, eine Reaktivierung des Kontos sei deshalb "endgültig ausgeschlossen".

Windows-Experte Geuß kritisiert im Zusammenhang mit gesperrten Microsoft-Konten die automatische Upload-Funktion von OneDrive: Direkt nach der Anmeldung in einem Microsoft-Konto dränge sich OneDrive auf und wolle private Daten "schützen". Das zustimmende "Weiter" sei vorausgewählt – wer "zu schnell auf 'Enter' drückt, beamt seine private Fotosammlung schneller zu OneDrive, als er gucken kann." Auch der Windows-Virenscanner schubst Nutzer in Richtung Microsoft-Konto und OneDrive: Er warnt so lange mit einem gelben "Achtung"-Symbol, bis der Nutzer sich OneDrive "für die Wiederherstellung von Dateien" einrichtet und sich bei Microsoft anmeldet – "für erweiterte Sicherheit und andere Vorteile".

Auch der Windows-Virenscanner möchte gern, dass Nutzer sich ein Microsoft-Konto anlegen und OneDrive nutzen.

Die Erfahrungen von Geuß bestätigt auch Günter Born auf "Borns IT- und Windows-Blog". Microsoft bringe seine "Online-Konten wie Sauerbier unter die Leute". Dass der Dienst sich dabei mit dem Servicevertrag absichere, sei völlig in Ordnung – nur müsse es dann auch eine funktionierende "Disput-Regelung" geben und gesperrte Nutzer müssten ihre Inhalte sichern dürfen, so Born. Er rät sogar, wer "noch alle Tassen im Schrank" habe, solle "einen hohen Bogen um Microsoft Konten und […] Windows 10" machen. Bei Malik ist es dafür zu spät.

Er hatte sich schon mit seinem Schicksal abgefunden, als die Situation unverhofft eskalierte: Im Oktober 2021, fast 15 Monate, nachdem sein Konto gesperrt worden war, bekam Malik Post von der Kriminalpolizei. Die Vorladung wegen des Verdachts von "Verbreitung, Erwerb, Besitz und Herstellung kinderpornografischer Schriften" liegt c’t vor. Darin heißt es, Malik stehe im Verdacht, zu einem genau benannten Zeitpunkt bei OneDrive "kinderpornografische Inhalte geladen/hochgeladen zu haben".

Gegen ihn lief nun also ein Ermittlungsverfahren, er sollte als Beschuldigter vernommen werden. Ein Foto in OneDrive hatte zu der Sperre geführt – als Malik damals seine Bilder umsortiert hatte, hatte er anscheinend eine automatische Prüfung ausgelöst. Die polizeiliche Vorladung war ein Schock und belastete Malik psychisch enorm.

Zwar waren in Maliks OneDrive-Cloud tatsächlich Bilder gespeichert, die Nacktheit zeigten, eben seinen nackten Neffen – das hatte der Algorithmus von Microsoft erkannt. Also hatte Malik gegen den Servicevertrag verstoßen und die Sperrung war gerechtfertigt, obwohl er die Bilder nicht bewusst hochgeladen hatte. Doch konnte Malik die Polizei in der Befragung von seiner Unschuld überzeugen, was den Kinderpornografie-Verdacht betrifft. Das Verfahren wurde eingestellt.

Trotzdem scheint es keine Möglichkeit zu geben, Maliks Microsoft-Account zu reaktivieren – bezahlte Software, teure Spiele und all die Daten in der Cloud sind außerhalb seiner Reichweite. Menschen, die zu Unrecht von einem Dienst gesperrt werden, hätten aber durchaus Aussichten, ihr Konto wiederzubekommen, so Anwalt Jonas Kahl. Dafür müssten sie juristisch gegen die Sperre vorgehen, viele Dienste würden auch schon nach einer anwaltlichen Abmahnung den Account wieder freigeben. Klappe das nicht, seien die Chancen in einem gerichtlichen Verfahren trotzdem gut.

Dem stimmen die Anwälte Sebastian Laoutoumai und Oliver Löffel zu: Wer grundlos gesperrt wurde, könne sein Konto in Deutschland über ein zivilrechtliches Eilverfahren entsperren, die Aussichten auf Erfolg seien gut. Blog-Autor Martin Geuß hat im Herbst 2020 mit Marcus Werner über die Kontensperren gesprochen, der Fachanwalt für IT-Recht sowie für Handels- und Gesellschaftsrecht ist. Werner warnte, dass "Verfahren gegen Konzerne wie Microsoft […] immer bis zum BGH" gehen, sodass sie drei bis sieben Jahre dauern könnten, abhängig davon, wie komplex der jeweilige Fall sei. Voraussetzung für den Erfolg vor Gericht ist aber die Unschuld des Nutzers.

Jonas Kahl sieht auch in einem Fall wie dem von Malik etwas Hoffnung, die bei einem Dienst gespeicherten Daten zurückzubekommen. Nach Artikel 20 Absatz 2 der DSGVO habe man "Anspruch auf Datenportabilität, also ein Recht, seine eigenen Daten zu erhalten und sie für eigene Zwecke bei einem anderen Dienst verwenden zu können. In der Praxis scheitert das aber noch oft an der praktischen Umsetzbarkeit."

Bezüglich erworbener digitaler Inhalte, wie Apps, Spiele, E-Books oder Abos, hat das Oberlandesgericht Köln im Jahr 2016 ein Urteil gesprochen: "Die Möglichkeit, entgeltlich erworbene Nutzungsrechte entziehen zu können, stelle [demnach] per se eine unangemessene Benachteiligung des Kunden dar", fasst die Verbraucherzentrale NRW zusammen. In dem Prozess ging es um eine Klausel in den Nutzungsbedingungen von Amazon.

Um einer plötzlichen digitalen Auslöschung vorzubeugen, gibt es mehrere Möglichkeiten – aber leider keine zufriedenstellende, ganzheitliche Lösung. Um Datenverluste zu vermeiden, ist es ratsam, von Cloud-Inhalten stets ein lokales Backup zu haben, was den Sinn einer Cloud teils ad absurdum führt. Auch ein Passwortmanager ist hilfreich, um nicht von Diensten wie Microsofts Authenticator abhängig zu sein. Eine Mailweiterleitung kann dabei helfen, trotz eines gesperrten Mailkontos seine E-Mails zu bekommen.

Links zu den zitierten Blog-Artikeln, Nutzungsbedingungen und Support-Seiten:

Der wichtigste Tipp ist aber, seine digitale Identität auf mehrere Anbieter aufzuteilen. Also zum Beispiel ein Mailpostfach bei einem Provider zu haben, eine Cloud bei einem anderen Anbieter, außerdem eine eigene E-Mail-Adresse, um sich bei sozialen Netzwerken oder kleineren Konten anzumelden sowie einen Account bei einem Dienst, über den man Apps oder Spiele kaufen kann. Diese Aufteilung ist zwar deutlich weniger komfortabel, als alles bei einem Anbieter zu speichern, zu kaufen und abzuwickeln. Doch sie schützt davor, mit nur einem Foto seine gesamte digitale Identität zu verlieren.

c't Ausgabe 26/2022

(Bild: 

c't 26/2022

)

In der c't 26/2022 hat der optimale PC seinen großen Auftritt! Unsere Hardware-Experten präsentieren gleich zwei Bauvorschläge: einen sparsamen-Allrounder, der mit 13 Watt im Leerlauf auskommt und mit optionaler GPU auch zum Spielen taugt sowie einen kräftigen High-End-PC mit Ryzen-7000-Prozessor. Wenn Sie noch keine Idee haben, was dieses Jahr unter dem Weihnachtsbaum liegen könnte, dann greifen unsere Geschenktipps Ihnen unter die Arme. Außerdem erfahren Sie, was es mit der dezentralen Twitter-Alternative Mastodon auf sich hat und können beim vertrac't-Rätsel einen Roboter gewinnen. Viel Spaß beim Lesen!

(gref)