Google ist nicht gerade bekannt dafür, sich in Sachen Datenschutz vorbildlich zu verhalten. Seit Jahren steht der Branchenriese in der Kritik, unverhältnismäßig viele Daten zu sammeln. Der Begriff „Datenkrake“ wurde insbes. für Google erfunden. Außerdem sah sich Google in den letzten Jahren mit einer Vielzahl von Rechtsstreitigkeiten konfrontiert und nun droht erneut Ungemach…
Google ist nicht kostenlos – dafür allgegenwärtig
Die großen Internetkonzerne sammeln personenbezogene Daten von Milliarden von Nutzern, um deren Daten für Werbezwecke zu verwenden oder um sie an Dritte zu verkaufen. Es wird zwar suggeriert, dass die Online-Angebote von Google kostenlos sind. Das trifft aber nicht zu! Die Nutzer zahlen mit ihren Daten und müssen wertvolle Informationen über sich preisgeben.
Seit der Gründung im Jahr 1998 hat es Google geschafft, mit seinen Dienstleistungen nahezu eine Monopolstellung aufzubauen. Neben der mit Abstand meistgenutzten Suchmaschine der Welt, gibt es noch eine ganze Reihe weiterer Dienste, welche wir tagtäglich nutzen und ohne die unser Alltag praktisch unvorstellbar wäre:
- Google Maps
- Google Earth
- Google Chrome / Google Chromium (Internet-Browser)
- Android (Betriebssystem)
- Gmail (E-Mail-Dienst)
- Google-Analytics (Web-Analyse-Tool)
Dies ist keine vollständige Auflistung, sondern nur eine Auswahl der wichtigsten Features. Wenn man sich das vor Augen hält, ist es nicht verwunderlich, welche Datenmenge das Unternehmen zusammentragen konnte.
Es regt sich der Widerstand
Die Google LLC ist schon mehrfach wegen offensichtlicher Verstöße gegen datenschutzrechtliche Bestimmungen ins Kreuzfeuer der Kritik geraten. Insbes. die Verbraucherzentrale Bundesverband (vzbv) hat mehrfach erfolgreich gegen Google geklagt. Im Jahr 2019 hat das Kammergericht Berlin entschieden, dass die Datenschutzerklärung von Google in weiten Teilen rechtswidrig war – diese hatte Google bereits im Jahr 2012 verwendet. Im Jahr 2016 hat die vzbv Google wegen „systematischer Auswertung persönlicher Daten seiner Nutzer“ abgemahnt – Google habe diese Daten ohne ausdrückliches Einverständnis der Betroffenen genutzt.
Dies kann man getrost als Spitze des Eisbergs bezeichnen. Selbst die Facebook Inc. kam im Vergleich zu Google in Datenschutzbelangen relativ gut weg. Einen Silberstreif am Horizont gab es dann im Frühjahr 2019, als Google für seine Nutzer mehr Transparenz bei der Datenverarbeitung in Aussicht gestellt hatte. Allzu weit scheint dies aber nicht zu gehen.
Der Widerstand gegen die Datensammelwut reißt indes nicht ab. Jetzt hat die Brave Software Inc. mit Sitz in San Francisco formell Beschwerde gegen Googles Praktiken eingelegt. Brave ist Betreiber des gleichnamigen, quelloffenen Internet-Browsers „Brave“, der u.a. unter Windows, Android und Apple iOS genutzt werden kann. Das Unternehmen legt dabei besonderes Augenmerk auf die Privatsphäre seiner Nutzer.
Verstoß gegen Zweckbindungsgebot
Konkret wirft Brave Google vor, gegen das Zweckbindungsgebot zu verstoßen. Vorliegend bedeutet dies, dass Google die mittels der verschiedenen Dienste erlangten Daten unrechtmäßig zusammenführt. Das Gebot der Zweckbindung ist in Art. 5 Abs. 1 b) DSGVO normiert. Danach dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Daraus ergibt sich, dass jeder Betroffene präzise zu informieren ist, welche Daten von ihm und zu welchem Zweck diese verarbeitet werden. Sofern die Verarbeitung auf der Rechtsgrundlage der Einwilligung erfolgt, muss der Betroffene also genau darüber in Kenntnis gesetzt werden, um überhaupt eine wirksame Einwilligung abgeben zu können. Eine einseitige Änderung des Zweckes ist dann logischerweise nicht zulässig.
Auswertung von Datenschutzdokumenten
Brave hat sich an europäische Wettbewerbsbehörden gewandt, um Google in die Schranken zu weisen. Im konkreten Fall wurden die Europäische Kommission, das Bundeskartellamt, die britische Wettbewerbs- und Marktaufsichtsbehörde, die Autorité de la concurrence in Frankreich sowie die irische Wettbewerbs- und Verbraucherschutzkommission angeschrieben. Die Beschwerde selbst wurde bei der irischen Datenschutzbehörde eingereicht. Dem Ganzen liegt eine Studie von Brave (mit dem passenden Namen „inside the black box“) zu Grunde, welche sich über einen Zeitraum von sechs Monaten erstreckt. Dafür hat Brave eine Vielzahl von Datenschutzerklärungen sowie weitere Datenschutzinformationen für Geschäftskunden und private Nutzer ausgewertet.
Aggregation von Daten, vage Formulierungen und fehlende Rechtsgrundlagen
Aus datenschutzrechtlicher Sicht sind diese Ergebnisse erschreckend. Die Studie zeigt auf,
- dass die personenbezogenen Daten aus den verschieden Diensten nahezu unbegrenzt zusammengeführt werden. Google trennt die Dienste nicht klar voneinander ab und auch die Daten nicht, welche auf diese Weise miteinander verknüpft werden.
- dass die genannten Zwecke der Datenverarbeitung so vage formuliert sind, dass auch ein objektiv verständiger Nutzer nicht verstehen dürfte, zu welchem genauen Zweck seine Daten verarbeitet werden.
- dass bei einem weit überwiegenden Teil der Datenverarbeitung überhaupt keine Rechtsgrundlage genannt wird. Google verstößt damit klar gegen die DSGVO.
Die von Brave beauftragten Anwaltskanzlei, AWO legal, führt dazu aus, dass „der Google-Monolith“ einen Knotenpunkt darstellt, an dem Daten konsumiert und in einen Strudel verschiedener Dienste und Angebote eingespeist werden. Datenschutz könne erst dann wirklich effektiv sein, wenn diese Struktur geöffnet wird. Und genau dafür liefert die DSGVO liefert den Schlüssel.
Erwähnenswert ist, dass Google eine Auskunftsanfrage vom Chief Policy & Industry Relations Officer von Brave, nach Art. 15 DSGVO unbeantwortet ließ, obwohl es dazu sogar Kommunikation gegeben habe. Das mag zwar nicht wirklich überraschend sein – es passt vielmehr ins Gesamtbild, das Google in Sachen Datenschutz seit Jahren abgibt.
Konsequenzen erwünscht
Auf diese Weise ist es Google möglich, erhebliche Wettbewerbsvorteil zu erzielen. Man muss sich vor Augen halten, dass derzeit Nutzerdaten praktisch unbegrenzt gesammelt werden, ohne dass wir tatsächlich beeinflussen können, was mit unseren personenbezogenen Daten geschieht. Es wird also spannend, ob die Datenschutzbehörden gewillt und in der Lage sind, die „black box“ Google zu knacken.
Ziel muss es sein, den Betroffenen die Herrschaft über ihre personenbezogenen Daten zurückzugeben. Würde das Prinzip der Zweckbindung gegenüber Google tatsächlich umfassend durchgesetzt, würde das Unternehmen zum einen den offenbar unrechtmäßig erlangten Wettbewerbsvorteil verlieren. Zum anderen ließe sich so gewährleisten, dass die Daten nur zu einem klar definierten Zweck verarbeitet werden dürfen.
Bis dahin bleibt jedem selbst überlassen, ob und wie Google-Produkte genutzt werden. Die Konsequenzen für die eigenen Daten sollte man dabei stets im Hinterkopf haben.
Quelle: Datenschutzbeauftragter.info, Hamburg
Link: www.datenschutzbeauftragter-info.de/google-und-der-datenschutz-brave-reicht-beschwerde-ein/
17.03.2020
Photo by Paweł Czerwiński on Unsplash