Google und Datenschutz: Ist die Kritik berechtigt?

Fachbeitrag

Google ist einer der größten Datensammler weltweit, an dem aber auch praktisch kein Weg vorbeiführt. Endverbraucher, Webseitenbetreiber und Unternehmen greifen in großer Zahl auf Google-Dienste zurück. Nahezu alle davon sammeln Daten im großen Stil. Im Folgenden soll eine Bestandsaufnahme erfolgen, wie das aktuelle Verhältnis von Google zum Datenschutz aussieht.

Google: Ein Unternehmen, unzählige Dienste

Google ist längst nicht mehr nur die meistgenutzte Online-Suchmaschine der Welt. Das Unternehmen bietet darüber hinaus eine Vielzahl von weiteren Diensten für Unternehmen und Endverbraucher an. Dazu gehören zum Beispiel der hauseigene Browser Chrome, das mächtige Analyse- und Trackingtool Analytics, das Bereitstellen von Schriftarten über Fonts, der Online-Kartendienst Maps sowie das Captcha Tool reCaptcha.

Dass Google über Google-Suche getätigte Anfragen speichert, dürfte dabei für die meisten Internet-Nutzer kein großes Geheimnis mehr darstellen. Doch auch die anderen Google-Dienste halten sich mit dem Erfassen von Daten nicht gerade zurück. So erfasst die Video-Plattform YouTube den Such und Wiedergabeverlauf der Nutzer, die Zeit, wie lange Videos angesehen werden sowie Kommentare und Vorlieben. Über den E-Mail-Dienst Gmail kann Google Informationen aus jeder gesendeten und empfangenen E-Mail erfassen, inklusive der Ordner „Spam“, „Entwurf“ und „Papierkorb“. So ähnlich verhält es sich auch bei dem Online-Textverarbeitungsprogramm Google Docs.

Um den Cloudspeicher-Dienst Google Drive verwenden zu können, müssen Nutzer Google das Recht einräumen, ihre Inhalte weltweit zu hosten, zu verwenden, zu speichern und zu vervielfältigen. Laut eigenen Angaben verwendet Google die dort abgespeicherten Fotos, um seine Bilderkennungssoftware zu trainieren. Über das Smartphone-Betriebssystem Android kann Google zudem verfolgen, welche Anzeigen die Nutzer während der Verwendung des Smartphones sehen und feststellen, wann welche App geöffnet wurde. In Google Translate eingegebene Sätze werden genutzt, um Sprachmuster zu erkennen und die Übersetzungssoftware zu optimieren.

Das Geschäftsmodell von Google: Unvereinbar mit dem Datenschutz?

Auf Grund der Nützlichkeit der meisten Google-Dienste verwundert es auf den ersten Blick, dass Google viele davon kostenlos anbietet. Um das zu verstehen, muss man das Geschäftsmodell des Tech-Riesen näher beleuchten. Googles größte Einnahmequelle sind nämlich Unternehmen, die dafür zahlen, in der Suchmaschine zu werben und in Suchen ihrer Zielgruppe zuerst gesehen zu werden. Das lohnt sich, da Google über 90 % der weltweiten Suchanfragen abdeckt.

Der große Vorteil für die Werbetreibenden: sie können in Werbung investieren, bei der sie wissen, dass diese nur an ihre spezifische Zielgruppe ausgespielt wird. Werbung über Google verspricht ihnen ein hohes Maß an Genauigkeit.

Um diese Genauigkeit überhaupt erst zu erreichen, muss Google seine Nutzer durchleuchten und sammelt hierzu aus allen zur Verfügung stehenden Quellen entsprechende Daten. Und genau dazu werden den Nutzern die große Bandbreite an oben aufgezählten Diensten kostenlos zur Verfügung gestellt. Der Nutzer „zahlt“ mit Informationen über sich selbst, welche Google dann verwendet, um diesen bei der Nutzung ihrer kostenlosen Dienste möglichst passende Werbung für Produkte und Dienstleistungen von zahlenden Unternehmen anzuzeigen.

Googles Einnahmen aus dem Verkauf von eigenen Produkten sind gegenüber den Einnahmen für Werbung fast schon zu vernachlässigen.

Das Geschäftsmodell kann dementsprechend nur erfolgreich funktionieren, wenn möglichst viele verschiedene Daten über die Nutzer gesammelt werden. Ein Konflikt dieses Geschäftsmodells mit dem Grundsatz der Datensparsamkeit bzw. Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO liegt hier auf der Hand.

Wie verbreitet ist Google in unserer Informationsgesellschaft?

Der Tech-Riese erhält jedoch nicht nur Daten durch die unmittelbare Nutzung von Google-Diensten durch Endverbraucher, sondern auch von unzähligen Webseiten, welche selbst Google-Dienste einsetzen. Die Daten, die von Nutzern dort erhoben werden, landen ebenfalls bei Google, auch wenn die Seite auf den ersten Blick überhaupt nicht den Anschein erweckt, etwas mit dem Suchmaschinen-Giganten zu tun zu haben.

Laut einer Studie des Suchmaschinen-Betreibers DuckDuckGo werden Nutzer auf 86 % der Top-50.000 Webseiten von Google getrackt. Dies wird gestützt durch eine Studie der Universität Princeton. Bei dieser wurde die Verwendung von Tracking-Codes auf einer Million der populärsten Webseiten im Internet protokolliert. Bei der Mehrheit der protokollierten Webseiten wurde Google-Code gefunden. So wurde etwa Google Analytics auf ca. 70 % der Webseiten gefunden, DoubleClick (ein spezieller Anzeigendienst von Google) auf fast 50 % aller Webseiten. Die insgesamt am häufigsten verwendeten Tracking-Tools gehörten allesamt zu Google.

Die Einführung der DSGVO im Jahr 2018 führte darüber hinaus dazu, dass zwar insgesamt weniger Tracker im Netz eingesetzt wurden, allerdings marktbeherrschende Akteure wie Google profitierten. Das lag vor allem daran, dass Google im Gegensatz zu vielen kleineren Anbietern den Compliance-Aufwand einfacher bewältigen konnte. Dadurch bekam Google im Endeffekt mehr Daten, da mangels Alternativen vermehrt auf Google-Dienste zurückgegriffen werden musste.

Die flächendeckende Verbreitung von Google-Produkten wird auch dadurch deutlich, dass Webseiten, die originär gar nicht zu Google gehören, ohne Google-Dienste nicht mehr wirklich funktionieren würden. So wäre zum Beispiel bei DropBox ohne Google keine Anmeldung möglich, da DropBox Google verwendet, um die Authentizität einer Person festzustellen („Ich bin kein Roboter“). In einem Selbstversuch blockierte eine Journalistin von Gizmodo alle zu Google gehörenden IP-Adressen für eine Woche. Ihr Fazit:

„Mein Gesamteindruck von dieser Woche ist, dass Google fast alles im Internet durchdringt. Ich treffe es auf fast jeder Website und jeder App, die ich benutze. Google aus meinem Leben zu verbannen war fast so schwer wie Amazon zu blockieren, von dem ein Großteil des Internets abhängt, das nicht von Google stammt.“

Möchte man Google-Dienste so weit wie möglich umgehen, bedeutet dies häufig auch, für einen alternativen Dienst bezahlen zu müssen. Insbesondere wenn der Alternativdienst datenschutzfreundlich ist und keine Daten zu Geld macht, muss hier der Nutzer für eine Leistung ganz klassisch mit Geld bezahlen. Und dann wirkt die Daten-Krake mit den hübschen bunten Buchstaben auf einmal gar nicht mehr so furchterregend.

Was kritisieren Datenschützer an Google?

Wie beim Blick auf das Geschäftsmodell nachvollziehbar, ist Google schon häufig Zielscheibe der Kritik von Datenschützern gewesen. Nach einer Klage des Verbraucherzentrale Bundesverband (vzbv) hatte das Kammergericht Berlin insgesamt 25 Klauseln der Google-AGB und Datenschutzerklärung für ungültig erklärt. In den USA ist eine Sammelklage gegen Google mit einem Volumen von fünf Milliarden USD zugelassen worden. Die Nutzer beschwerten sich, dass das Unternehmen angeblich ihre Daten sammelt, obwohl sie ihre Einstellungen auf „privat“ gesetzt beziehungsweise den Inkognito-Modus genutzt haben. Außerdem wird Google vorgeworfen, dass Standortdaten weiter erfasst werden, obwohl die Nutzer die Freigabe dafür deaktiviert haben. Zudem soll Google Smartphone-Hersteller dazu auffordern, das Auffinden der Datenschutzeinstellungen zu erschweren.

Im Rahmen einer neuen Regelung von Apple, die Unternehmen, die im AppStore vertreten sind, dazu verpflichtet, den Nutzern ihre Datenerfassung preiszugeben und zu erklären, hat Google eine äußerst umfangreiche Liste veröffentlicht. Eine (natürlich nicht ganz uneigennützige) Infografik von DuckDuckGo stellt diese Datensammlungen einmal anschaulich dar.

Google erhält unglaubliche Mengen an personenbezogenen Daten, lässt den Betroffenen aber nur minimale Kontrollmöglichkeiten. Problematisch ist hierbei auch, dass Einwilligungen in Datenverarbeitungen häufig Voraussetzung sind, um einen Dienst überhaupt nutzen zu können. Nutzern wird dabei suggeriert, dass sie im Grunde ohnehin keine Wahl hätten oder der Einwilligungsprozess ist so gestaltet, dass der Nutzer zu bestimmten Entscheidungen und Handlungen bewegt wird, die nicht zwangsläufig seinem Interesse entsprechen. Im Grunde besteht die Wahl zwischen einer bedingungslosen Zustimmung oder einem vollständigen Ausschluss von der Nutzung. Viele setzen sich daher gar nicht erst mit ihren Rechten auseinander.

Der Bundesbeauftragten für den Datenschutz (BfDI) meint dazu, dass Nutzer bei ihren Einwilligungen differenzieren können sollen, ob Daten nur im zur Erbringung des Dienstes erforderlichen Rahmen oder darüber hinaus auch zur Kontrolle und Verbesserung der Algorithmen oder für die Personalisierung von Werbung genutzt werden dürfen. Mit einem steigendem Gefühl, tatsächlich ein gewisses Maß an Kontrolle zu haben, soll auch die grundsätzliche Bereitschaft steigen, sich intensiver mit Datenschutzhinweisen und Einwilligungserklärungen auseinanderzusetzen. Wobei wir beim nächsten Problem wären. Die erteilten Informationen sind vage, unverständlich und über viele Seiten verteilt. Selbst wenn man sich die Zeit nimmt, diese zu lesen, weiß man am Ende nicht, was im Hintergrund mit den gesammelten Daten passiert. Eine Untersuchung zur Einhaltung der Transparenzpflicht und dem Gebot der Datenminimierung der DSGVO durch Google Ireland ist bei der DPC seit 2018 anhängig (S.44).

Bußgelder und Verfahren gegen Google wegen unzureichendem Datenschutz

Bußgelder wegen mangelndem Datenschutz sind für Google keine Seltenheit. Die französische Datenschutzbehörde (CNIL), die als eine Art behördlicher Vorreiter im Vorgehen gegen Google gesehen werden kann, hat 2019 ein Bußgeld in Höhe von 50 Millionen EURO verhängt, da Google seinen Informationspflichten nicht nachgekommen sei. Google habe damit gegen die Vorgaben der DSGVO hinsichtlich Transparenz und die Anforderungen an die Einwilligung als Grundlage zulässiger Datenverarbeitungen verstoßen. Das oberste französische Verwaltungsgericht hatte das Bußgeld bestätigt. Ebenfalls die CNIL verhängte Ende 2020 weitere Bußgelder in Höhe von insgesamt 100 Millionen EURO, da Google bei Aufruf der Suchmaschinenseite automatisch Werbe-Cookies setzte, ohne eine vorherige Einwilligung der Nutzer eingeholt zu haben. Selbst wenn Nutzer in den entsprechenden Einstellungen personalisierte Werbung ablehnten, wurden munter weiter Cookies gesetzt, die Informationen sammelten.

Ein Mitarbeiter von Brave, einem Internet-Browser mit Fokus auf Privatsphäre, hat auf Basis einer sechsmonatigen Studie eine Beschwerde bei der irischen Datenschutzbehörde und weiteren Behörden eingereicht, in der er Google vorwirft gegen das Zweckbindungsgebot gem. Art. 5 Abs. 1 lit. b DSGVO zu verstoßen. Google soll demnach mittels seiner verschiedenen Dienste erlangte Daten unrechtmäßig zusammenführen.

An Google vorbeizukommen ist schwer

Letzten Endes wird man wohl sagen müssen, dass Datenschutz und Google – zum heutigen Stand – keine Freunde werden. Das zeigen schon die zahlreichen Verfahren und Bußgelder aus Vergangenheit und Gegenwart. Aber auch der nochmalige Blick auf das Geschäftsmodell bestätigt diese Ansicht. Doch Google kann sich das nun einmal leisten. Durch seine fortschrittlichen Technologien, die enorme Reichweite und Marktmacht, hat sich Google in der Informationsgesellschaft der heutigen Zeit eine fast unvergleichlich dominante Position am Markt gesichert. Trotz der großen datenschutzrechtlichen Bedenken, sind manchmal die versprochenen Funktionen zu verlockend und zu groß ist die Angst vor Wettbewerbsnachteilen, wenn man auf die Nutzung von Google-Diensten verzichtet.

Mit dem Digital Markets Act (DMA) und dem Digital Service Act (DSA) wird nun auf EU-Ebene versucht, die großen Tech Unternehmen einzuschränken. Letzterer richtet sich vor allem gegen personalisierte Werbung, also das Kerngeschäft von Google. Wie jedoch die konkrete Ausarbeitung und vor allem die praktische Um- und Durchsetzung der Gesetze ausfallen wird, steht noch in den Sternen. Man kann nur hoffen, dass man aus den Problemen, die sich dabei bei der DSGVO zeigen, gelernt hat.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.