Kritik an Googles Datenschutzbestimmungen aus Hamburg

Johannes Caspar, Datenschutzbeauftragter von Hamburg, will Google in Kürze offiziell auffordern, seine Geschäftspraktiken zu ändern. Caspar wirft Google bereits seit längerem vor, gegen deutsche Datenschutzbestimmungen und die informationelle Selbstbestimmung zu verstoßen, indem sie Nutzerdaten aus verschiedenen seiner Dienste unter einer einzigen Nutzer-ID zusammenführten – und damit ein aussagekräftiges Profil über den Nutzer anlegen.

Zu Googles zahlreichen Diensten neben der Suche gehören unter vielen anderen YouTube, GoogleMail und GoogleMaps, deren Datenschutzbestimmungen 2012 zusammengefasst wurden, damit die Verarbeitung der Informationen über verschiedene Google-Dienste hinweg zu ermöglichen. Begründet wurde das mit mehr Nutzerkomfort und besserer Anpassung von beispielsweise Autovervollständigungen an das Profil, doch letztlich wird durch die Neuregelung die Privatsphäre des Nutzers massiv beeinträchtigt, da scheinbar harmlose Einzelangaben über eine Verkettung sensible Informationen offenbaren können.

Schon zweimal zuvor hat der Hamburgische Datenschutzbeauftragte Google in die Verantwortung genommen. 2013 verhängte er ein Bußgeld von 145.000 Euro, da StreetView-Wagen zusätzlich zu Straßenbildern auch Datenverkehr von W-LAN-Netzen aufnahmen. 2011 erfolgte eine Einigung Caspars mit Google über ihren Analysedienst Analytics. In dieser war festgestellt worden, dass Google Analytics „beanstandungsfrei“ betrieben werden kann, solange der Nutzer der Erfassung seiner Daten widersprechen und seine IP maskieren kann. Durch die Verknüpfung mit den neuen Geschäftsbestimmungen dürfte das kaum mehr gewahrt sein.

Johannes Caspar ist nicht der erste, der Googles Datenschutzbestimmungen kritisiert. Die Vertreter der EU-Datenschutzbehörden hatten 2013 einen Bericht veröffentlicht, aus dem hervorging, dass Google den Anwendern zu wenig Kontrolle über die eigenen Daten einräumt und in dem Google aufgefordert wurde, seine Bestimmungen anzupassen – was nicht geschah. In Spanien wurde Google daraufhin im letzten Dezember aufgrund des Verstoßes gegen spanisches Datenschutzrecht zu 900.000 Euro Strafe verurteilt. Die französische Datenschutzaufsichtsbehörde Commission nationale de l’informatique et des libertés (CNIL) verklagte Google im Januar zu 150.000 Euro Strafzahlungen.

Angesichts eines Jahresumsatzes von beinahe 60 Milliarden US-Dollar im Jahr 2013 ist das für den Internetriesen schlicht eine Angelegenheit der Portokasse und vermutlich nichts, was den Gewinn, den Google aus dem Erkenntnisvorteil hat, aufwiegt. Und so wird auch Caspars Vorhaben vermutlich Google nicht zum Überdenken der Datenschutzbestimmungen bringen, sondern bleibt symbolischer Widerstand.

Eine wirksamere und schmerzhafte Sanktionierung könnte jedoch bald über die kommende EU-Datenschutzverordnung möglich werden. Die sieht in dem Entwurf, der vom EU-Parlament verabschiedet wurde, Strafen bis zu 100 Millionen Euro oder 5 % des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag größer ist. Das wären dann rund 2 Milliarden Euro – ein deutlicher Unterschied im Ermessensspielraum des Verstoßes. Im Vergleich: Das BDSG sieht bisher für schwere vorsätzliche Verstöße bis zu 300.000 Euro Bußgeld vor, enthält aber die beinahe gänzlich ungenutzte Möglichkeit höhere Strafen einzusetzen, falls der wirtschaftliche Vorteil durch den Datenschutzverstoß diesen Betrag übersteigen würde. Oder wenn, wie im Fall von Lidl 2008, gleich mehrere Verstöße vorliegen.

Einen Ausblick darauf, wie die künftige EU-Datenschutzverordnung sich noch auf die Gepflogenheiten bei Google und Co. auswirken könnte, hat auch das heutige EuGH-Urteil zum Recht auf Löschung und zum Geltungsbereich europäischen Datenschutzrechts gegeben, an dessen Auswertung wir noch arbeiten.

2 Ergänzungen

  1. Hoffentlich kommt von HmbBfDI mehr als nur der Vorwurf, dass die Nutzerdaten aus verschiedenen Diensten unter der Nutzer-ID zusammengefasst werden. Wo sollten die denn sonst gespeichert werden, als unter der einzigen ID?

    Viel gravierender ist die Tatsache, dass Google eigentlich nie erklärt, wann welche Daten zu welchem Zweck verarbeitet werden. Das hatte dann auch das Bussgeld von der CNIL zur Folge.
    Soweit man die wahrscheinliche Annahme macht, dass die Basis des Google-Erfolges, die effiziente Werbeeinblendung, nicht durch festgelegte sondern, wie auch andernorts bei Google üblich, durch selbstlernende Algorithmen gesteuert wird, könnte eine genaue Beschreibung der Verarbeitungsschritte kaum möglich sein.

    Im Endeffekt müssen wir also entscheiden, ob ein solches Angebot von Google in Deutschland genutzt werden darf oder ob wir in alter Gutmenschenmanier alle zu ihrem Glück zwingen wollen und das Angebot verbieten.
    Müsste man dann nicht auch Netzsperren errichten, damit niemand aus Deutschland den illegalen Dienst nutzen kann?

  2. Die Rückkehr der Kamera-Autos

    Stand: 21.06.2023 10:25 Uhr

    Nach 13 Jahren erneuert Google sein Bildmaterial für Street View in Deutschland. Damals hatte es wegen des Datenschutzes eine massive Welle an Widerspruch gegeben. Was sich seitdem geändert hat – und was nicht.

    https://www.tagesschau.de/wirtschaft/verbraucher/google-street-view-update-datenschutz-100.html

    Mit der bitte um eine aktuelle Information der Leser hier auf netzpolitik.org

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.