Als Goog­le im Sep­tem­ber 1998 das World Wide Web betrat war es die Inten­ti­on, eine der bes­ten Such­ma­schi­nen der Welt zu schaf­fen- und das wur­de sie. Bekannt in unser aller Köp­fe und im All­tag so selbst­ver­ständ­lich wie Was­ser. Wir „recher­chie­ren“ nicht mehr im Inter­net, wir „goog­len“.

Aber Goog­le ist weit mehr als nur eine Such­ma­schi­ne: Mit den kos­ten­lo­sen Diens­ten und Anwen­dun­gen wie GMail, Goog­le Desk­top, Goog­le Earth, Finan­ce und vie­len mehr beschenkt Goog­le die Sufer­ge­mein­schaft. Was vie­le Men­schen ger­ne ver­ges­sen- nichts im Leben ist umsonst, wir gewäh­ren dem Kon­zern einen tie­fen Ein­blick in unse­re Privatsphäre.

Bei der Such­ma­schi­ne für Han­dys bei­spiels­wei­se wer­den nicht nur Ergeb­nis­se auf­ge­lis­tet. Goog­le unter­hält auch einen Pro­xy-Ser­ver, der Web­sei­ten für Dis­plays auf­be­rei­tet. Wer mit Goog­le sucht, surft somit anschlie­ßend über den Pro­xy und dies ermög­licht Goog­le jedes ein­zel­ne über­tra­ge­ne Bit zu ken­nen. Goog­le weiss, nach was wir suchen und auf wel­chen Web­sei­ten wir uns danach bewe­gen. Der Vor­teil für den Anwen­der: Es kön­nen maß­ge­schnei­der­te Wer­bun­gen prä­sen­tiert und opti­miert werden.

Das Sur­fen unter stän­di­ger Ver­wen­dung von Goog­le-Diens­ten hin­ter­lässt digi­ta­le Spu­ren. Die Macht, die sich Goog­le damit aneig­net, ist unbe­schreib­lich groß.

Die in den ver­schie­de­nen Diens­ten anfal­len­den Daten zu spei­chern, zu ver­knüp­fen und aus­zu­wer­ten, ist kei­ne gro­ße Her­aus­for­de­rung für Goog­le- eines der hilf­rei­chen Werk­zeu­ge ist der Goog­le Account. Alle Daten von der Goog­le-Suche, Mail- Account, Goog­le Calen­dar, Goog­le Maps, Goog­lePlus und vie­len mehr lau­fen zusam­men und wer­den ver­knüpft- was ent­steht ist ein Iden­ti­täts­bild mit per­sön­li­chen und sen­si­blen Informationen.

Letzt­end­lich führt die­se „Sam­mel­wut“ und die ste­ti­ge Ver­knüp­fung von Infor­ma­tio­nen auf ein Ziel hin­aus: tota­le Über­wa­chung. Und das schlim­me dar­an ist, dass alle tech­ni­schen Vor­aus­set­zun­gen dafür bereits existieren.

Goog­le hat es durch sei­nen Dienst „Goog­le Ana­ly­tics“, den es Web­mas­tern kos­ten­los bereit­stellt, geschafft, im Hin­ter­grund unbe­merkt Benut­zer­strö­me zu ana­ly­sie­ren und Mar­ke­ting­kam­pa­gnen zu steu­ern. Goog­le Ana­ly­tics merkt sich nicht nur die besuch­ten Sei­ten, son­dern auch die Besuchs­zeit­punk­te und die ver­wei­sen­den Quel­len. Zudem wer­den Details zu den Sys­tem­kon­fi­gu­ra­tio­nen, Pro­vi­dern und IP-Adres­sen der Sur­fer bekannt — und IP-Adres­sen sind eben­falls per­so­nen­be­zo­ge­ne Daten. Nach dem deut­schen Recht ist die Spei­che­rung der Daten daher nur nach Zustim­mung der Nut­zer rech­tens. Jedoch bemerkt ein Besu­cher einer Inter­net­sei­te nichts davon, wenn Goog­le Ana­ly­tics im Hin­ter­grund läuft. Und selbst wenn es einer Zustim­mung bedarf, lesen zu weni­ge das Kleingedruckte.

In den detail­lier­ten Daten­schutz­richt­li­ni­en von Goog­le wird aus­führ­lich beschrie­ben, wel­che Daten es erhebt, wozu sie ver­wen­det wer­den und unter wel­chen Bedin­gun­gen sie wei­ter­ge­ge­ben wer­den. Goog­le erfüllt auch die Safe-Har­bor-Bedin­gung. Safe Har­bor ermög­licht es euro­päi­schen Unter­neh­men per­so­nen­be­zo­ge­ne Daten legal in die USA zu über­mit­teln. Jedoch ver­bie­tet die Richt­li­nie 95/​46/​EG (Daten­schutz­richt­li­nie) es grund­sätz­lich, per­so­nen­be­zo­ge­ne Daten aus EU-Mit­glieds­staa­ten in Staa­ten zu über­tra­gen, die über kein dem EU-Recht ver­gleich­ba­res Daten­schutz­ni­veau ver­fü­gen. Dies trifft auf die USA zu, aber damit der Daten­ver­kehr zwi­schen den USA und der EU nicht still steht wur­de das Ver­fah­ren Safe-Har­bor ent­wi­ckelt. US-Fir­men müs­sen sich ver­pflich­ten, bestimm­te Prin­zi­pi­en zu erfül­len und FAQ’s beach­ten, um so aus­rei­chend Schutz der Daten zu gewährleisten.

Einen genaue­ren Blick auf die Daten­schutz­be­din­gun­gen lässt einen stut­zig machen. Zum The­ma „Per­so­nen­be­zo­ge­ne Daten und sons­ti­ge Daten, die wir sam­meln“ fin­det sich fol­gen­de Ergän­zung: „Wir kön­nen die über Sie erho­be­nen per­so­nen­be­zo­ge­nen Daten mit Daten von ande­ren Goog­le-Diens­ten oder ande­ren Unter­neh­men kom­bi­nie­ren, um das Ange­bot für unse­re Nut­zer zu ver­bes­sern, zum Bei­spiel durch indi­vi­du­ell auf Sie zuge­schnit­te­ne Inhalte“.

Die Benut­zer­da­ten, die Goog­le besitzt, wer­den zuneh­mend inter­es­san­ter für den Staat. Zwar ist Goog­le nicht geneigt sein Daten­wis­sen zu tei­len, aber wenn es um die Ter­ror­ab­wehr im Rah­men des Patri­ot Act geht haben Behör­den einen fast unbe­schränk­ten Zugriff auf Benut­zer­da­ten. Fir­men kön­nen mit einer Anord­nung, die kei­ner rich­ter­li­chen Über­prü­fung unter­liegt dazu gezwun­gen wer­den, Daten über belie­bi­ge Nut­zer preis­zu­ge­ben. Da die Anord­nung streng geheim ist dür­fen die Öffent­lich­keit und die betrof­fe­nen Per­so­nen nicht über die Her­aus­ga­be infor­miert werden.

Eines muss man sich eben­falls bewusst sein, wenn man per­sön­li­che Daten im Netz offen­bart. Was ein­mal im Inter­net steht, wird sich nie wie­der löschen las­sen. Denn eines gibt es bei Goog­le nicht wirk­lich — ein Recht auf Vergessen.

Schlag­zei­len erregt ein Fall eines Spa­ni­ers, des­sen Haus 1998 wegen Schul­den bei der Sozi­al­ver­si­che­rung zwangs­ver­stei­gert wur­de. Die spa­ni­sche Zei­tung ver­pflich­te­te damals eine Zei­tung zum Abdruck einer Mit­tei­lung über den Fall, spä­ter wur­de dies auch ent­spre­chend Online ver­öf­fent­licht. Bei einer Goog­le-Suche taucht die­ser Zei­tungs­ein­trag über die Pfän­dung immer noch auf. Der Betrof­fe­ne klag­te mit Unter­stüt­zung der spa­ni­schen Daten­schutz­be­hör­de gegen Goog­le und ver­lang­te des­sen Löschung aus dem Index.

Nach einem Urteil des Euro­päi­schen Gerichts­hof vom 13.05.2014 muss Goog­le unter Umstän­den Ver­wei­se auf per­sön­li­che Infor­ma­tio­nen aus den Such­ergeb­nis­sen ent­fer­nen. Nichts des­to trotz, Daten­schüt­zer strei­ten sich seit Jah­ren mit US-Unter­neh­men wie Goog­le, Face­book und Apple, ob das euro­päi­sche Daten­schutz­recht auf deren Tätig­keit anwend­bar ist. Die Unter­neh­men argu­men­tie­ren, das Recht der EU und ihrer Mit­glied­staa­ten sei nicht anwend­bar, da die Unter­neh­men ihren Haupt­sitz außer­halb der Uni­on haben und die tech­ni­sche Ver­ar­bei­tung der Daten euro­päi­scher Kun­den auf Ser­vern jen­seits der EU-Gren­zen statt­fin­de. Goog­le hat zwar Nie­der­las­sun­gen in zahl­rei­chen EU-Län­dern, unter ande­rem in Deutsch­land. Da die­se aber für den Ver­kauf von Wer­bung auf Goog­le-Sei­ten zustän­dig sind, und die Kern­funk­tio­nen der Goog­le-Suche und E‑Mail-Ser­vice von den USA aus gesteu­ert wer­den, kann man die­se nicht belangen.

So kann Goog­le dort wei­ter­ma­chen, wo es auf­ge­hört hat.

Quel­len­an­ga­ben:

Die­ser Bei­trag wur­de im Rah­men des BOK-Stu­di­ums Smart Busi­ness — Daten­schutz und Daten­si­cher­heit an der Unsi­ve­r­si­tät Frei­burg erstellt.