Gibt man in die Suchmaschine Google als Suchanfrage “Datenschutz” ein, so erhält man zur Zeit 262.000.000 Ergebnisse (Stand: 29.07.15). Erst seit kurzem scheint sich die Politik sowie ein Großteil der deutschen Bevölkerung für das Thema Datenschutz und Datensicherheit zu interessieren. Wie geht die Politik mit einem solch aktuellen und brisanten Thema um? Und wieviel Aussagekraft liegt in den Ergebnissen der aktuellen deutschen Datenschutz-Politik? Dies soll am Beispiel des Internetgiganten Google analysiert werden. Dabei werden die Datenschutzerklärungen1 von Google mit geltenden deutschen Gesetzen verglichen.
Google Inc. ist eine US-Amerikanische Firma mit Sitz im kalifornischen Mountain View2, die verschiedene Tochtergesellschaften betreibt und weltweit populäre Produkte vertreibt. So etwa mit 94,1%3 den deutschen Marktführer der Internetsuchmaschinen, Google Search oder weitere Internetseiten und Applikationen wie Youtube und Googleanalytics. Die Analyse der Durchsetzung des deutschen Datenschutzes am Beispiel Google Inc. ist daher für die meisten deutschen Internetnutzer von Belang.
Als Grundlage des deutschen Datenschutzes gilt das Bundesdatenschutzgesetz4 (kurz: BDSG), unter welches auch Google Inc. fällt, da personenbezogene Daten auf deutschem Boden erhoben, verarbeitet oder genutzt werden (§1 Abs. 2). Dieses Gesetz wurde am 14. Januar 2003 verabschiedet und am 25. Februar 2015 zum letzten Mal überarbeitet. Mit dem Inkrafttreten des neuen IT-Sicherheitsgesetzes im Juli 2015 hat sich für Unternehmen wie Google nichts verändert. Durch das neue Gesetz sollen vor allem Unternehmen, die große Bedeutung für die Infrastruktur Deutschlands haben, besser geschützt werden5. Im Folgenden beziehen sich die Paragraphen auf das BDSG.
Bereits in § 1, Abs. 6 wird beschrieben, dass das BDSG Anwendung findet, wenn eine Stelle außerhalb des europäischen Wirtschaftsraumes (EWR) in Deutschland Daten erhebt, speichert oder nutzt. Dass die Daten aus Deutschland außerhalb des EWR übermittelt werden dürfen (zum Beispiel in die Vereinigten Staaten von Amerika) wird im DBSG an keiner Stelle festgelegt. Bereits hier könnte Google Inc. gegen das Gesetz verstoßen, da die Firma in ihrer Datenschutzerklärung formuliert: „Google verarbeitet personenbezogene Daten auf […] Servern, die sich in zahlreichen Ländern auf der ganzen Welt befinden“. Wo genau wird dabei nicht konkret beschrieben. Liest man sich die ganze Datenschutzerklärung durch, so merkt man schnell, dass Google Inc. des öfteren konkrete Aussagen scheut. So wird auf die Frage, wie personenbezogene Daten von Google Inc. genutzt werden, geschrieben: […] [Z]ur Bereitstellung, zur Wartung, zum Schutz und zur Verbesserung unserer Dienste, zur Entwicklung neuer Dienste sowie zum Schutz von Google und unseren Nutzern“. Wie genau etwa die Verbesserung der Dienste technisch umgesetzt wird, wird dabei verschwiegen. Daten, die Google übermittelt, sind personenbezogene Daten sowie „besondere Arten personenbezogener Daten“ wie etwa Name, Adresse, Telefonnummer, Geräteeinstellungen des Kunden sowie Informationen zur Sexualität, ethnischem Hintergrund, philosophischen und religiösen Ansichten u.v.m.. Des Weiteren ist die Datenschutzerklärung in sich sehr verschachtelt, sodass der Kunde sich nur schwierig zurechtfindet, was zwar kein Verstoß gegen das BDSG darstellt, jedoch die Suche nach Gesetzeslücken erschwert.
Im Gegensatz dazu sieht das BDSG vor, dass jeder Betroffene das Recht auf Auskunft hat. Dies bezieht sich auf die Art, den Inhalt, die Herkunft und das Ziel bzw. den Empfänger der Daten des Betroffenen als auch auf den Zweck der Speicherung (§ 34, Abs. 1). Dieses Recht kann dem Betroffenen ausgeschlagen werden, wenn „das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt“ (§ 34, Abs. 3, Nr. 2). Google Inc. schreibt dazu in der Datenschutzerklärung, dass die Firma „bestrebt“ ist, den Betroffenen Zugriff auf die eigenen personenbezogenen Daten zu geben. Diese Formulierung lässt vermuten, dass Betroffene nicht in jeder Angelegenheit Informationen über ihre Daten erhalten. In wie fern das Verschweigen solcher Informationen gegenüber Betroffenen rechtens ist wird durch das Lesen der Datenschutzerklärung nicht klar. Des Weiteren weist Google Inc. darauf hin, dass Anfragen abgelehnt werden, die „unangemessen oft wiederholt werden“. Auch dies ist nicht rechtens, da das Recht auf Auskunft immer gilt, da Daten bei Google Inc. regelmäßig aktualisiert werden.
Aus der Datenschutzerklärung geht zudem nicht hervor, wozu personenbezogene Daten primär gespeichert werden (müssen). Um „relevantere Werbung“ anzeigen zu können werden etwa gespeicherte Daten an Dritte weitergegeben. Dies ist zulässig, wenn der Betroffene eingewilligt hat. Bei der elektronischen Einwilligung (bei Erstellung eines Google-Konto muss ein Häkchen gesetzt werden) gilt, dass mehrere Erklärungen gleichzeitig erteilt werden und daher die Einwilligung „in drucktechnisch deutlicher Gestalt besonders hervorzuheben [ist]“ (§ 28, Abs. 3a). Eine solche Gestaltung liegt in den Google Datenschutzerklärung und Nutzungsbedingungen (Google policies)6 nicht vor.
Zum Schluss bleibt die Frage, ob die Verstöße gegen das BDSG, die Google Inc. betreibt und in der eigenen Datenschutzerklärung nachweisbar und für jede staatliche Institution, die strafbaren Verstößen nachgehen muss einsichtig ist, auch strafbar sind.
Dazu gibt das BDSG in § 43 und § 44 an, bei welchen Verstößen es sich um eine Ordnungswidrigkeit handelt und wie hoch das Strafmaß angesetzt werden kann. So kann man etwa einsehen, dass eine fehlerhafte oder ausbleibende Auskunft über Daten des Betroffenen mit einem Bußgeld in Höhe von maximal Fünfzigtausend Euro (bei Ausnahmen auch höher) geahndet wird. Bis zu dreihunderttausend Euro und zwei Jahre Freiheitsstrafe bringt eine unbefugte Erhebung und Verarbeitung nicht „allgemein zugänglicher“, personenbezogener Daten.
Eine solche Straftat kann Google Inc. durch das Lesen der Datenschutzerklärung nicht angehängt werden jedoch sollte bedacht werden, dass die firmeninternen Prozesse der Datenverarbeitung in der Datenschutzerklärung sehr undurchsichtig erscheinen. Ein Verstoß gegen das BDSG „wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde“ (§ 44, Abs. 2).
Die aktuelle Politik scheint weit hinter dem Stand der aktuellen Technik zu sein. Verstöße gegen deutsche Gesetze werden durch staatliche Institutionen kaum verfolgt, sodass große ausländische Firmen wie Google Inc. relativ problemlos ihren Markt in Deutschland ausbauen können ohne ihr moralisch fragwürdiges Konzept ändern zu müssen. Jedoch scheint sich die Lage für Google Inc. und andere in naher Zukunft nicht zu ändern. Daher bleibt der Betroffene meist als letzter aller Instanzen übrig, um einen solchen Konzern wenn nötig anzuklagen. Und wenn man schlussendlich eine Alternative zu Google-Produkten sucht, so findet man solche sehr schnell.
Diese Arbeit wurde im Rahmen des BOK-Kurses “Datenschutz und Datensicherheit” von Studierenden an der Universität Freiburg erstellt.
Quellen:1 Datenschutzerklärung Google Inc. (abgerufen am 29.07.15)2 Über das Unternehmen Google (abgerufen am 29.07.15)3 Lunapark 2014: Suchmaschinen Marktanteile Europa 2014 (abgerufen am 29.07.15)4 Bundesdatenschutzgesetz 1990 (abgerufen am 30.07.15)5 Security Insider Das IT Sicherheitsgesetz tritt in Kraft vom 28.7.15 (abgerufen am 30.07.15)6 Google Datenschutzerklärung und Nutzungsbedingungen (abgerufen am 30.07.15)
Andere interessante Beiträge:
In letzter Zeit erreichen uns immer mehr Anfragen, ob Inhalte aus dem Pretioso Blog für Bachelor- oder Masterarbeiten verwandt werden dürfen. Natürlich und gern, wenn die Spielregeln des Urheberrechts eingehalten werden. Und über ein Belegexemplar freuen wir uns auch immer. In diesem Zusammenhang wu…
Dass ein Unternehmen seine mobile Flotte von Geräten managen soll und muss ist mittlerweile nicht mehr umstritten und anerkannt. Sehr unterschiedlich ist aber die Herangehensweise an dieses Thema im Unternehmen. Wir erleben tagtäglich verschiedenste Situationen und wissen mittlerweile, was meistens …
In den letzten Tagen haben uns viele Anfragen mit genau dieser Frage erreicht. Die meisten Fragesteller kennen die korrekte Antwort instinktiv und erwarten nur eine Bestätigung ihrer begründeten Vermutung. Die Antwort ist ganz einfach: Nein! Keine Software aus den USA, die sichere Verschlüsselung &g…
Täglich erreichen uns Anfragen zur Sicherheit von Apps auf mobilen Endgeräten, was zeigt, dass das Thema die Köpfe der Anwender erreicht hat. Das ist gut so. Im Kern handelt es sich bei der Durchsetzung sicherer Apps auf den Geräten der Anwender um kein schwieriges Thema, denn diese Aufgabe ist per …
Gerade erst haben wir das Major Release 3.18 von datomo Mobile Device Management herausgegeben, da geht es auch schon wieder weiter mit den Neuheiten in dieser Lösung. Diesmal konzentrieren wir uns auf das Windows Phone 8.1 und versprechen Ihnen einmalige Konfigurationsmöglichkeiten in den Anwendung…
Schreibe einen Kommentar