Goog­le: Ein Ver­gleich der Daten­schutz­er­klä­rung und des BDSG

Gibt man in die Such­ma­schi­ne Goog­le als Such­an­fra­ge “Daten­schutz” ein, so erhält man zur Zeit 262.000.000 Ergeb­nis­se (Stand: 29.07.15). Erst seit kur­zem scheint sich die Poli­tik sowie ein Groß­teil der deut­schen Bevöl­ke­rung für das The­ma Daten­schutz und Daten­si­cher­heit zu inter­es­sie­ren. Wie geht die Poli­tik mit einem solch aktu­el­len und bri­san­ten The­ma um? Und wie­viel Aus­sa­ge­kraft liegt in den Ergeb­nis­sen der aktu­el­len deut­schen Daten­schutz-Poli­tik? Dies soll am Bei­spiel des Inter­net­gi­gan­ten Goog­le ana­ly­siert wer­den. Dabei wer­den die Daten­schutz­er­klä­run­gen1 von Goog­le mit gel­ten­den deut­schen Geset­zen verglichen.

Goog­le Inc. ist eine US-Ame­ri­ka­ni­sche Fir­ma mit Sitz im kali­for­ni­schen Moun­tain View2, die ver­schie­de­ne Toch­ter­ge­sell­schaf­ten betreibt und welt­weit popu­lä­re Pro­duk­te ver­treibt. So etwa mit 94,1%3 den deut­schen Markt­füh­rer der Inter­net­such­ma­schi­nen, Goog­le Search oder wei­te­re Inter­net­sei­ten und Appli­ka­tio­nen wie You­tube und Goo­g­le­ana­ly­tics. Die Ana­ly­se der Durch­set­zung des deut­schen Daten­schut­zes am Bei­spiel Goog­le Inc. ist daher für die meis­ten deut­schen Inter­net­nut­zer von Belang.

Als Grund­la­ge des deut­schen Daten­schut­zes gilt das Bun­des­da­ten­schutz­ge­setz4 (kurz: BDSG), unter wel­ches auch Goog­le Inc. fällt, da per­so­nen­be­zo­ge­ne Daten auf deut­schem Boden erho­ben, ver­ar­bei­tet oder genutzt wer­den (§1 Abs. 2). Die­ses Gesetz wur­de am 14. Janu­ar 2003 ver­ab­schie­det und am 25. Febru­ar 2015 zum letz­ten Mal über­ar­bei­tet. Mit dem Inkraft­tre­ten des neu­en IT-Sicher­heits­ge­set­zes im Juli 2015 hat sich für Unter­neh­men wie Goog­le nichts ver­än­dert. Durch das neue Gesetz sol­len vor allem Unter­neh­men, die gro­ße Bedeu­tung für die Infra­struk­tur Deutsch­lands haben, bes­ser geschützt wer­den5. Im Fol­gen­den bezie­hen sich die Para­gra­phen auf das BDSG.

Bereits in § 1, Abs. 6 wird beschrie­ben, dass das BDSG Anwen­dung fin­det, wenn eine Stel­le außer­halb des euro­päi­schen Wirt­schafts­rau­mes (EWR) in Deutsch­land Daten erhebt, spei­chert oder nutzt. Dass die Daten aus Deutsch­land außer­halb des EWR über­mit­telt wer­den dür­fen (zum Bei­spiel in die Ver­ei­nig­ten Staa­ten von Ame­ri­ka) wird im DBSG an kei­ner Stel­le fest­ge­legt. Bereits hier könn­te Goog­le Inc. gegen das Gesetz ver­sto­ßen, da die Fir­ma in ihrer Daten­schutz­er­klä­rung for­mu­liert: „Goog­le ver­ar­bei­tet per­so­nen­be­zo­ge­ne Daten auf […] Ser­vern, die sich in zahl­rei­chen Län­dern auf der gan­zen Welt befin­den“. Wo genau wird dabei nicht kon­kret beschrie­ben. Liest man sich die gan­ze Daten­schutz­er­klä­rung durch, so merkt man schnell, dass Goog­le Inc. des öfte­ren kon­kre­te Aus­sa­gen scheut. So wird auf die Fra­ge, wie per­so­nen­be­zo­ge­ne Daten von Goog­le Inc. genutzt wer­den, geschrie­ben: […] [Z]ur Bereit­stel­lung, zur War­tung, zum Schutz und zur Ver­bes­se­rung unse­rer Diens­te, zur Ent­wick­lung neu­er Diens­te sowie zum Schutz von Goog­le und unse­ren Nut­zern“. Wie genau etwa die Ver­bes­se­rung der Diens­te tech­nisch umge­setzt wird, wird dabei ver­schwie­gen. Daten, die Goog­le über­mit­telt, sind per­so­nen­be­zo­ge­ne Daten sowie „beson­de­re Arten per­so­nen­be­zo­ge­ner Daten“ wie etwa Name, Adres­se, Tele­fon­num­mer, Gerä­te­ein­stel­lun­gen des Kun­den sowie Infor­ma­tio­nen zur Sexua­li­tät, eth­ni­schem Hin­ter­grund, phi­lo­so­phi­schen und reli­giö­sen Ansich­ten u.v.m.. Des Wei­te­ren ist die Daten­schutz­er­klä­rung in sich sehr ver­schach­telt, sodass der Kun­de sich nur schwie­rig zurecht­fin­det, was zwar kein Ver­stoß gegen das BDSG dar­stellt, jedoch die Suche nach Geset­zes­lü­cken erschwert.

Im Gegen­satz dazu sieht das BDSG vor, dass jeder Betrof­fe­ne das Recht auf Aus­kunft hat. Dies bezieht sich auf die Art, den Inhalt, die Her­kunft und das Ziel bzw. den Emp­fän­ger der Daten des Betrof­fe­nen als auch auf den Zweck der Spei­che­rung (§ 34, Abs. 1). Die­ses Recht kann dem Betrof­fe­nen aus­ge­schla­gen wer­den, wenn „das Inter­es­se an der Wah­rung des Geschäfts­ge­heim­nis­ses gegen­über dem Infor­ma­ti­ons­in­ter­es­se des Betrof­fe­nen über­wiegt“ (§ 34, Abs. 3, Nr. 2). Goog­le Inc. schreibt dazu in der Daten­schutz­er­klä­rung, dass die Fir­ma „bestrebt“ ist, den Betrof­fe­nen Zugriff auf die eige­nen per­so­nen­be­zo­ge­nen Daten zu geben. Die­se For­mu­lie­rung lässt ver­mu­ten, dass Betrof­fe­ne nicht in jeder Ange­le­gen­heit Infor­ma­tio­nen über ihre Daten erhal­ten. In wie fern das Ver­schwei­gen sol­cher Infor­ma­tio­nen gegen­über Betrof­fe­nen rech­tens ist wird durch das Lesen der Daten­schutz­er­klä­rung nicht klar. Des Wei­te­ren weist Goog­le Inc. dar­auf hin, dass Anfra­gen abge­lehnt wer­den, die „unan­ge­mes­sen oft wie­der­holt wer­den“. Auch dies ist nicht rech­tens, da das Recht auf Aus­kunft immer gilt, da Daten bei Goog­le Inc. regel­mä­ßig aktua­li­siert werden.

Aus der Daten­schutz­er­klä­rung geht zudem nicht her­vor, wozu per­so­nen­be­zo­ge­ne Daten pri­mär gespei­chert wer­den (müs­sen). Um „rele­van­te­re Wer­bung“ anzei­gen zu kön­nen wer­den etwa gespei­cher­te Daten an Drit­te wei­ter­ge­ge­ben. Dies ist zuläs­sig, wenn der Betrof­fe­ne ein­ge­wil­ligt hat. Bei der elek­tro­ni­schen Ein­wil­li­gung (bei Erstel­lung eines Goog­le-Kon­to muss ein Häk­chen gesetzt wer­den) gilt, dass meh­re­re Erklä­run­gen gleich­zei­tig erteilt wer­den und daher die Ein­wil­li­gung „in druck­tech­nisch deut­li­cher Gestalt beson­ders her­vor­zu­he­ben [ist]“ (§ 28, Abs. 3a). Eine sol­che Gestal­tung liegt in den Goog­le Daten­schutz­er­klä­rung und Nut­zungs­be­din­gun­gen (Goog­le poli­ci­es)6 nicht vor.

Zum Schluss bleibt die Fra­ge, ob die Ver­stö­ße gegen das BDSG, die Goog­le Inc. betreibt und in der eige­nen Daten­schutz­er­klä­rung nach­weis­bar und für jede staat­li­che Insti­tu­ti­on, die straf­ba­ren Ver­stö­ßen nach­ge­hen muss ein­sich­tig ist, auch straf­bar sind.

Dazu gibt das BDSG in § 43 und § 44 an, bei wel­chen Ver­stö­ßen es sich um eine Ord­nungs­wid­rig­keit han­delt und wie hoch das Straf­maß ange­setzt wer­den kann. So kann man etwa ein­se­hen, dass eine feh­ler­haf­te oder aus­blei­ben­de Aus­kunft über Daten des Betrof­fe­nen mit einem Buß­geld in Höhe von maxi­mal Fünf­zig­tau­send Euro (bei Aus­nah­men auch höher) geahn­det wird. Bis zu drei­hun­dert­tau­send Euro und zwei Jah­re Frei­heits­stra­fe bringt eine unbe­fug­te Erhe­bung und Ver­ar­bei­tung nicht „all­ge­mein zugäng­li­cher“, per­so­nen­be­zo­ge­ner Daten.

Eine sol­che Straf­tat kann Goog­le Inc. durch das Lesen der Daten­schutz­er­klä­rung nicht ange­hängt wer­den jedoch soll­te bedacht wer­den, dass die fir­men­in­ter­nen Pro­zes­se der Daten­ver­ar­bei­tung in der Daten­schutz­er­klä­rung sehr undurch­sich­tig erschei­nen. Ein Ver­stoß gegen das BDSG „wird nur auf Antrag ver­folgt. Antrags­be­rech­tigt sind der Betrof­fe­ne, die ver­ant­wort­li­che Stel­le, der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit und die Auf­sichts­be­hör­de“ (§ 44, Abs. 2).

Die aktu­el­le Poli­tik scheint weit hin­ter dem Stand der aktu­el­len Tech­nik zu sein. Ver­stö­ße gegen deut­sche Geset­ze wer­den durch staat­li­che Insti­tu­tio­nen kaum ver­folgt, sodass gro­ße aus­län­di­sche Fir­men wie Goog­le Inc. rela­tiv pro­blem­los ihren Markt in Deutsch­land aus­bau­en kön­nen ohne ihr mora­lisch frag­wür­di­ges Kon­zept ändern zu müs­sen. Jedoch scheint sich die Lage für Goog­le Inc. und ande­re in naher Zukunft nicht zu ändern. Daher bleibt der Betrof­fe­ne meist als letz­ter aller Instan­zen übrig, um einen sol­chen Kon­zern wenn nötig anzu­kla­gen. Und wenn man schluss­end­lich eine Alter­na­ti­ve zu Goog­le-Pro­duk­ten sucht, so fin­det man sol­che sehr schnell.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit” von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

Quel­len:
1 Daten­schutz­er­klä­rung Goog­le Inc. (abge­ru­fen am 29.07.15)
2 Über das Unter­neh­men Goog­le (abge­ru­fen am 29.07.15)
4 Bun­des­da­ten­schutz­ge­setz 1990 (abge­ru­fen am 30.07.15)

Ande­re inter­es­san­te Beiträge:
Inter­view zu Pri­va­te Use Of Com­pa­ny Equip­ment (PUOCE) und Bring Your Own Device (BYOD)
In letz­ter Zeit errei­chen uns immer mehr Anfra­gen, ob Inhal­te aus dem Pre­tio­so Blog für Bache­lor- oder Mas­ter­ar­bei­ten ver­wandt wer­den dür­fen. Natür­lich und gern, wenn die Spiel­re­geln des Urhe­ber­rechts ein­ge­hal­ten wer­den. Und über ein Beleg­ex­em­plar freu­en wir uns auch immer. In die­sem Zusam­men­hang wu…
Die Aus­wahl von Mobi­le Device Manage­ment (MDM) — Wer in der Fir­ma soll’s wie machen?
Dass ein Unter­neh­men sei­ne mobi­le Flot­te von Gerä­ten mana­gen soll und muss ist mitt­ler­wei­le nicht mehr umstrit­ten und aner­kannt. Sehr unter­schied­lich ist aber die Her­an­ge­hens­wei­se an die­ses The­ma im Unter­neh­men. Wir erle­ben tag­täg­lich ver­schie­dens­te Situa­tio­nen und wis­sen mitt­ler­wei­le, was meistens …
MDM-Essen­ti­als — Ist Mobi­le Device Manage­ment (MDM) aus den USA sicher?
In den letz­ten Tagen haben uns vie­le Anfra­gen mit genau die­ser Fra­ge erreicht. Die meis­ten Fra­ge­stel­ler ken­nen die kor­rek­te Ant­wort instink­tiv und erwar­ten nur eine Bestä­ti­gung ihrer begrün­de­ten Ver­mu­tung. Die Ant­wort ist ganz ein­fach: Nein! Kei­ne Soft­ware aus den USA, die siche­re Ver­schlüs­se­lung &g…
MDM-Essen­ti­als — Mobi­le Device Manage­ment (MDM) und App-Sicher­heit
Täg­lich errei­chen uns Anfra­gen zur Sicher­heit von Apps auf mobi­len End­ge­rä­ten, was zeigt, dass das The­ma die Köp­fe der Anwen­der erreicht hat. Das ist gut so. Im Kern han­delt es sich bei der Durch­set­zung siche­rer Apps auf den Gerä­ten der Anwen­der um kein schwie­ri­ges The­ma, denn die­se Auf­ga­be ist per …
datomo MDM Release 3.18.1 mit her­aus­ra­gen­den Kon­fi­gu­ra­ti­ons­mög­lich­kei­ten für Win­dows Pho­ne 8.1 erschie­nen
Gera­de erst haben wir das Major Release 3.18 von datomo Mobi­le Device Manage­ment her­aus­ge­ge­ben, da geht es auch schon wie­der wei­ter mit den Neu­hei­ten in die­ser Lösung. Dies­mal kon­zen­trie­ren wir uns auf das Win­dows Pho­ne 8.1 und ver­spre­chen Ihnen ein­ma­li­ge Kon­fi­gu­ra­ti­ons­mög­lich­kei­ten in den Anwendung…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.