Google meldet, dass die Street View Cars keine WLANs mehr kartographieren werden:

Nine days ago the data protection authority (DPA) in Hamburg, Germany asked to audit the WiFi data that our Street View cars collect for use in location-based products (…)

Und jetzt:

we have decided that it’s best to stop our Street View cars collecting WiFi network data entirely.

Der offizielle Grund ist allerdings kein Einsehen von Datenschutzbelangen, sondern offenbar pure Panik: Im Rahmen der internen Untersuchung kam heraus, dass die Street View Cars nicht nur SSIDs und MAC-Adressen von WLAN-Routern gescannt, sondern offenbar auch Inhalte von unverschlüsselten WLAN-Kommunikationen mitgeschnitten hatten. Das dürfte auch strafrechtlich relevant sein. (Update: Hier ist der relevantere Straftatbestand, danke an Kronkorken. Update2: Jens Ferner hat Anzeige erstattet, um anhand dieses Falles den ganzem Themenkomplex „Schwarzsurfen“ etc. mal rechtlich klären zu lassen.)

Google schiebt das derzeit auf einen Fehler beim Re-Use von Code:

In 2006 an engineer working on an experimental WiFi project wrote a piece of code that sampled all categories of publicly broadcast WiFi data. A year later, when our mobile team started a project to collect basic WiFi network data like SSID information and MAC addresses using Google’s Street View cars, they included that code in their software—although the project leaders did not want, and had no intention of using, payload data.

Sie haben also offenbar einfach alle Daten gesammelt und erstmal in ihre Datenbank geschrieben. Jetzt sind sie dabei, die in der Google-Cloud wieder zu separieren und reden mit den Behörden, ob sie die Spuren beseitigen können oder ob die noch gebraucht werden.

Update: Die Reaktion von Privacy International.

Update 2: Weitere Reaktionen des Verbraucherschutzministeriums und des Bundesdatenschutzbeauftragten.

Update 3: Kris Köhntopp hat eine schöne Analyse geschrieben, warum das so passieren konnte. Lesenswert. Sein Fazit:

Die Software, die da zur Erfassung der WLAN-Daten geschrieben und betrieben worden ist folgt der Struktur, die die Technik und der WLAN-Standard der IEEE vorgeben. Das Vorgehen, das Google bei der Erfassung der Daten zeigt, ist logisch, vernünftig und in Deutschland illegal (§89 TKG und §202b StGB, wahrscheinlich).

Die Erklärungen, die Google für das Entstehen des Fehlers gegeben hat, sind in im Kontext der Standards und im Vergleich mit anderer Software, die ähnliches leistet, konsistent und schlüssig, der Fehler, der zu dem Problem geführt hat, ist naheliegend.

Zudem hat Google das Problem umgehend zugegeben und öffentlich gemacht nachdem es entdeckt worden ist und geeignete Maßnahmen zur Eindämmung des Problems getroffen (…)

Die Sicherungsmechanismen, die Google für die Qualitätskontrolle und für die rechtliche Zulässigkeit der Datenerfassung einsetzt, sind unzureichend und der bestehende Reviewprozeß muß auf diesem Gebiet verbessert werden.

Alles in allem finde ich das recht gut nachvollziehbar und geradezu vorbildlich gehandhabt, und verstehe die Hysterie und das Fingerzeigen in der Berichterstattung nicht.

Den letzten Absatz kann ich so nicht nachvollziehen. Googles Erklärung ist glaubwürdig, ok. Dennoch sagt Kris selber, dass das vermutlich illegal war und dass die Qualitätssicherung unzureichend ist. Der Kernpunkt scheint mir zu sein, was er selber vorher auch schreibt, aber im Fazit etwas fallen lässt: Google arbeitet in der Entwicklung code-zentriert, nicht daten-zentriert. Daher scheint es mir schwierig zu sein, Datenschutzprobleme systematisch in den Blick zu bekommen.