Internet-Law

Onlinerecht und Bürgerrechte 2.0

6.2.12

Googles neue Datenschutzerklärung

Google will am 01.03.2012 eine neue Datenschutzerklärung in Kraft setzen, die für sämtliche Google-Dienste gelten soll. Die sog. Art. 29-Gruppe hat Google vergeblich darum gebeten, die Einführung der neuen Bestimmungen zu verschieben, um die neuen Klauseln vorab eingehend prüfen zu können.

Google  will mit der neuen Datenschutzerklärung nach eigener Aussage die mehr als 60 verschiedenen Datenschutzbestimmungen für die verschiedenen Google-Dienste durch eine zentrale Regelung ersetzen.

Was man eigentlich eh schon immer wusste, steht numehr etwas deutlicher als bislang in der neuen Datenschutzerklärung, nämlich, dass Google in erheblichem Maße Daten erhebt, diese Daten anschließend miteinander verknüpft und auch Nutzerprofile erstellt.

Einige Auszügen aus den neuen Datenschutzbestimmungen von Google sollen dies verdeutlichen:

Wir erfassen möglicherweise Informationen über die von Ihnen genutzten Dienste und die Art und Weise, wie Sie diese nutzen, beispielsweise wenn Sie eine Website besuchen, auf der unsere Werbedienste verwendet werden oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren.

Google macht auch keinen Hehl daraus, dass man mit einer umfassenden Protokollierung des Nutzungsverhaltens zu rechnen hat:

Wenn Sie unsere Dienste nutzen oder von Google bereitgestellte Inhalte aufrufen, erfassen und speichern wir bestimmte Daten gegebenenfalls in Serverprotokollen. Diese Protokolle können Folgendes enthalten:

  • Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben, beispielsweise Ihre Suchanfragen.
  • Telefonieprotokollinformationen wie Ihre Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe.
  • IP-Adresse.
  • Daten zu Geräteereignissen wie Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer Anfrage und Referral-URL.
  • Cookies, über die Ihr Browser oder Ihr Google-Konto eindeutig identifiziert werden können.

Google räumt schließlich relativ unverblümt ein, dass man die Daten die bei der Nutzung verschiedener Google-Dienste anfallen, miteinander kombinieren will:

Wir nutzen diese Informationen außerdem, um Ihnen maßgeschneiderte Inhalte anzubieten – beispielsweise um Ihnen relevantere Suchergebnisse und Werbung zur Verfügung zu stellen.
(…)
Wir verwenden den von Ihnen für Ihr Google-Profil angegebenen Namen möglicherweise für alle von uns angebotenen Dienste, die ein Google-Konto erfordern. Darüber hinaus ersetzen wir möglicherweise Namen, die in der Vergangenheit mit Ihrem Google-Konto verknüpft waren, damit Sie in all unseren Diensten einheitlich geführt werden.

Ob diese umfangreiche Datenverarbeitung mit deutschem und europäischem Datenschutzrecht vereinbar ist, darf bezweifelt werden. Das deutsche Recht ist nach wie vor vom Prinzip des Verbots mit Erlaubnisvorbehalt geprägt. Das bedeutet, dass zunächst jede Datenerhebung und Datenverwendung verboten ist, solange nicht ein Gesetz die Datenverarbeitung ausdrücklich erlaubt. Als gesetzliche Erlaubnistatbestände kommen hier vor allem die Einwilligung des Nutzers und die Vorschrift des § 15 TMG in Betracht, die die Erhebung und Verwendung von Nutzungsdaten bei der Inanspruchnahme von Telemedien regelt.

Soweit ersichtlich möchte Google seine (bestehenden) Nutzer offenbar dazu zwingen, den neuen Bestimmungen zuzustimmen, bzw. geht davon aus, dass diese jedenfalls ab dem 01.03.2012 für alle Google-Nutzer gelten. In den FAQ heißt es hierzu:

Und wenn ich Google unter der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen nicht mehr verwenden möchte?
Ab dem 1. März unterliegt jegliche Nutzung von Google-Diensten der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen.

Selbst wenn Google dem Nutzer während des Login hierzu eine Einwilligungserklärung abnötigt – was bislang m.W. nicht geschehen ist – dürfte es sich hierbei kaum um eine freie Entscheidung des Betroffenen im Sinne von § 4a Abs. 1 BDSG handeln. Auch die Frage der informierten Einwilligung stellt sich, denn das Datenschutzrecht geht von der Vorstellung aus, dass der Nutzer wissen muss, worin er einwilligt. Das ist bei den neuen Bestimmungen von Google bereits deshalb problematisch, weil sie an vielen Stellen äußerst vage formuliert sind. Nachdem der Nutzer nicht die Möglichkeit hat, die Datenverarbeitungsprozesse nachzuvollziehen, stellt sich in zunehmendem Maße ganz generell – nicht nur bei Google – die Frage, ob das Prinzip der informierten Einwilligung im Netz überhaupt noch ein tragfähiges Modell darstellt. Denn der Nutzer, der sich Datenverarbeitungsprozessen gegenüber sieht, die er nicht durchschauen und deren Umfang und Ausmaß er nicht einschätzen kann, kann auch nicht freiwillig und selbstbestimmt einwilligen.

Speziell was die Nutzungsdaten angeht, müsste Google also ansonsten die Voraussetzungen von § 15 TMG erfüllen. Wenn man die neuen Datenschutzbedingungen von Google mit der Vorschrift des § 15 TMG abgleicht, tut man sich allerdings äußerst schwer, die Datenschutzbestimmungen mit dem geltenden Recht in Einklang zu bringen.

Bereits die Zusammenführung der Daten verschiedener Telemedien ist nach dem Gesetz nämlich nur zu Abrechnungszwecken zulässig (§ 15 Abs. 2 TMG).

Nach § 15 Abs. 3 TMG dürfen Nutzungsprofile, wie Google sie ganz augenscheinlich anfertigt, nur dann zur bedarfsgerechten Gestaltung der Telemedien erstellt werden, wenn dies pseudonymisiert erfolgt. Aber selbst dann hat der Nutzer ein Widerspruchsrecht, auf das ausdrücklich hingewiesen werden muss. Ein Hinweis auf dieses Widerspruchsrecht fehlt bei Google aber ebenso wie der Hinweis auf eine Pseudonymisierung. Diese Pseudonymisierung findet offenbar auch nicht statt, denn sie stünde in Widerspruch zum Geschäftskonzept von Google.

Googles neue Datenschutzerklärung verdeutlicht das Dilemma unseres Datenschutzrechts wieder einmal sehr deutlich. Die Datenverarbeitungsprozesse die bei einem Unternehmen wie Google anfallen, das verschiedenste Services (Suchmaschine, soziales Netzwerk, E-Mail-Dienst, Werbeplattform, Statistik-Tools etc.) anbietet, lassen sich über das Prinzip der informierten Einwilligung nicht mehr abbilden, weil dafür das Informationsdefizit des Nutzers gegenüber dem Anbieter zu groß ist. Die Vorschrift des § 15 TMG ist letztlich dann aber so eng formuliert, dass man daraus jedenfalls keine ausreichende Gestattung für eine Datenverarbeitung ableiten kann, wie sie in der Datenschutzerklärung von Google skizziert wird.

Die stringente und konsequente Rechtsanwendung führt letztlich zu dem Ergebnis, dass die Datenschutzerklärung von Google nicht den datenschutzrechtlichen Anforderungen genügt, und, dass man das was Google macht, unabhängig von der rechtlichen Gestaltung, nicht in Einklang mit dem hiesigen Recht bringen kann.

Weil diese Konsequenz aber nicht gezogen wird, werden wir weiterhin mit einem Datenschutzrecht leben, das zwar formal äußerst streng ist, das aber in der Praxis, letztlich mit stillschweigender Duldung aller Beteiligten, nicht eingehalten wird. Die europäischen Datenschützer werden Google vermutlich wieder einige (kosmetische) Zugeständnisse abringen und anschließend so tun, als sei damit eine zumindest akzeptable Lösung gefunden worden. Denn dieses Konzept hat sich ja auch bei Google Analytics bereits bewährt.

 

 

posted by Stadler at 11:02  

12 Comments

  1. Google ist immerhin so mutig, und legt es offen, nun kann darüber diskutiert werden.

    Dass deren Datenschutzerklärung manchmal vage formuliert klingt, liegt auch daran, dass die Folgen der Datenerhebung, wenn überhaupt, höchstens noch der Chef-Entwickler absehen könnte.

    Vielen oder fast allen ist nicht bewusst, dass es gar keine klare Aufklärung geben kann, weil die Zusammenhänge so komplex sind, dass man damit Bücherregale füllen könnte, sollte man die Zusammenhänge je erfassen können. Und sollten die Zusammenhänge tatsächlich „umfassend“ und „vollumfänglich“ erklärt werden können, dann würde es kaum einer noch überblicken können.
    Und mit jeder weiteren Programmierung daran verändert sich das Ganze.
    Soll man stündlich die Datenschutzerklärung anpassen?

    Comment by Frank — 6.02, 2012 @ 11:55

  2. Im Grunde muss jeder davon ausgehen, das sein Smartphone logt wo man sich wann befindet und jede Suche bei Suchmaschinen sowie alle Angaben und Chats bei Facebook und der Besuch jeder Seite gegen einen verwendet wird. Auch z.B. von dritten wie Versicherungen.
    Es gibt in den USA auch Seiten wenn man sich dort mit Mail Adresse einloggt wird diese an die Werbepartner versendet und ein Cookie zum weiteren verfolgen gesetzt. Außerdem gibt es Hunderte solcher Firmen am Markt die alle einen Riesen Erfolgsdruck haben und quasi gezwungen werden möglichst alles zu machen was geht um zu überleben. Und man tauscht natürlich auch fleißig Daten aus.

    Politiker haben auch keine Interesse die Überwachung abzuschaffen. Im Gegenteil die Hoster werden ja überall sogar gesetzlich gezwungen zu überwachen.

    Das heißt Cloud Computing das jegliche Überwachung technisch schon ausschließt ist wohl durchaus technisch machbar, aber eben auch ein rechtliches und politisches Problem an das sich keiner ran traut.

    Comment by mark — 6.02, 2012 @ 12:17

  3. Nähme man ihre verengte Sichtweise als Maßstab, kann man jedem Nutzer nur raten, Google, Amazon, Facebook und Microsoft nicht zu benutzen. Dann erspart er sich viel Diskussion mit Beamten und anderen Personen öffentlichen Glaubens.

    Ich habe die neuen Datenschutzbestimmungen ganz anderes wahrgenommen. Ich nutze viele Google Dienste und finde es als Erleichterung, dass ich nur noch eine Datenschutzerklärung verstehen muss. Ich fand es auch angenehm, dass die Auftragsdatenverarbeitung explizit erklärt wurde und mich vieles direkt an das BDSG erinnerte.

    Ich halte es für merkwürdig, dass man fordert, ein Unternehmen mit vielen Produkten solle vielfältige Datenschutzbestimmungen dartun. Macht meine Bank auch nicht, da sehe ich alle Produkte (die z.T. völlig unterschiedlicher Jurisdiktion unterliegen) auf einer Seite. Und die führen die gesammelten Daten aus verschiedenen Produkten zu einer Gesamtbonität zusammen.

    Bei Ihrem verengten Abheben auf das TMG gehen Sie in die Irre. Google verkauft zum Beispiel auch Leistungen an werbetreibende oder andere Kunden (z.B. Office, Google Sketchup). Da ist Google gesetzlich verpflichtet, Belege aufzubewahren, die zu Buchungen führen (handelsrechtlich und steuerrechtlich).
    Und da ist das BDSG völlig klar im §4, Abs. 2:

    „2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
    b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde
    und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.“

    Sehen Sie sich vielleicht mal an, welche Daten ein Unternehmen sammeln und verarbeiten muss aus anderen Gesetzen heraus als dem TMG. Bei den Werbedienstleistungen wird man auch die Verträge einsehen muss, wodurch eine Zahlung ausgelöst wird, die dann durch Belege belegt werden können muss. Bei den anderen Produkten wir man sich ansehen müssen, ob nicht alle Leistungen über eine Rechnung abgebildet werden sollen, wie wir das bei der Telekom 300 Jahre gefordert haben.

    Wenn wir weiter hysterisch einen verengten Datenschutz (der so vom Gesetzgeber nicht gedeckt wird) über alles stellen, werden wir bald der Post verbieten, die Empfänger Adressen aussen auf den Briefen sichtbar sein zu lassen.

    Die Polizei in Hannover sucht Verbrecher wieder und hat sich nicht von Weicherts Gebot, dass Datenschutz über Strafverfolgung stellt blenden lassen. Man hat sich für einen datenschutzrechtlichen Schildbürgerstreich entschieden: man kündigt die Fahndung auf Facebook an und die personenbezogenen Daten der mutmaßlichen Verbrecher sind dann auf einem nationalen Webserver. Dann ist Weichert ruhig, aber Milliarden von Bots, Geheimdiensten und Gelangweilten können sich noch einfacher die personenbezogenen Daten saugen und in Weicherts Wahn zu Profilen zusammenstellen, die sie verkaufen, wie er letzte Woche im ZDF behauptete. Weil Internetunternehmer nichts anderes als Profit wollen und wenn sie in den USA sind, gnadenlos wegen ihrer Profitgier von Weichert verfolgt werden :-)

    Ich denke, wir sollten den gesamten Datenschutz umstellen von möglichen Schäden auf reale Schäden. Harte Strafen für Unternehmer und Beamte, die den Datenschutz nicht bewiesen einhalten, statt endlos in Verschwörungstheorien zu schlagen und das Handelsrecht ausser acht lassen.

    Am Rande, da in diesem Artikel http://www.nytimes.com/2012/02/04/technology/eu-backs-delay-in-googles-privacy-policy.html auch Googles Streetview wegen der EU Datenschutzmarketingkampagne erwähnt wurde: sei der empirische Hinweis gestattet: ohne den Wahnsinnsrummel, den der Staat um Streetview gemacht hat, hat bei Microsoft ein äquivalenter Dienst nur ein Zehntel der Einsprüche bekommen. Es liegt die Vermutung nahe, dass das Schutzbedürfnis nicht proportional zum Schaden ist, sondern proportional zu Gekreische in den Rundfunk, Fernsehen und Zeitungen, die mit Google und Facebook in scharfem Wettbewerb um die Werbemilliarden stehen. Da wird es eng für eine sachliche Berichterstattung.

    Comment by Wolfgang — 6.02, 2012 @ 12:36

  4. Die Datenschützer haben doch bereits auf breiter Front verloren – die deutschen Bürger sowieso:

    Kombiniert man die Daten aus, neuem Personalausweis, ELSTER, Krankenkassenkarten, IBAN Verfahen, Handy GPS Daten, Handygesprächen, Bankkontennutzung, mit denen der Social Media Einträge … haben die zentralen Organe vollen Zugriff auf das Leben der Bürger.

    Nett auch das dabei die US Behörden über das Safe-Harbor-Abkommen über mehr Informationen verfügen als die EU selbst.

    Über das „Electronic System for Travel Authorization“ (ESTA) zur Anmeldung von Flügen in die USA, wird heute schon der Prozess ausgelösst, dass dem Imigration Officer alle relevanten Daten vor der Einreise vorliegen inklusive der greifbaren Social Media Daten.

    Vor lauter Social Media Datenschutz, verlieren die meisten den Überblick was heute international bereits an Kontrollmöglichkeiten etabliert ist. Es ist leider bereits zu spät und klar, wenn kein Misbrauch mit den Informationen stattfindet, ist das natürlich alles unproblematisch.

    Ja, wenn…

    Comment by Thomas Müller — 6.02, 2012 @ 14:31

  5. @3: Ich benutze Google, Amazon, Facebook und Microsoft aus Prinzip nicht. Und damit bin ich nicht allein.
    Ja, das geht tatsächlich.

    Comment by wacko jacko — 6.02, 2012 @ 14:42

  6. Google hat der Art.29-Gruppe inzwischen geantwortet: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm

    Comment by Thorsten Feldmann — 6.02, 2012 @ 17:01

  7. @wacko jacko
    Meine Eltern haben nicht mal Computer benutzt. Jeder ist halt anders. Meine Eltern waren auch nicht allein. Aber was nützt es denen, die das alles benutzen wollen? Ich tippe nichts. Wir brauchen einen vernünftigen, durchsetzbaren Datenschutz. Kein hysterisches Gegackere oder esoterische theoretische Diskussionen. Wenn Facebook Profile erstellte und diese verkäufte, müsste man ihnen an die Eier. Wenn Google personenbezogene Daten verkäufte, müsste man ihnen an die Eier. Aber wenn sie den ganzen Müll von mir nur dazu benutzen, um mir persönliche Werbung zu zeigen? Sturm im Wasserglas oder um es mit Shakespeare zu sagen: „Viel Lärm um nichts“. Ich geh jetzt in den Shakespearefilm, der sinnigerweise Anonymous heisst :-) (Nach Diktat vereist)

    Comment by Wolfgang Ksoll — 6.02, 2012 @ 17:04

  8. @Thorsten Feldmann

    Ich finde das gut von der EU-Kommission, dass sie diesen Diskurs offen führt statt heimlich wie bei ACTA. Deswegen wird ACTA fallen und uns Google weiter mit seinen Leistungen beeindrucken.

    Comment by Wolfgang Ksoll — 6.02, 2012 @ 17:14

  9. Die Einwilling wird beim Login schon verlangt, ich habe sie schon gesehen. Man kann aber statt auf „Okay, alles klar“ auch auf „Mehr Informationen“ (sinngemäß, den tatsächlichen Wortlaut habe ich nicht im Kopf) klicken. Dann gelangt man auf eine Seite mit Infos. Bei dieser Seite erscheint oben der Google-Balken, auf dem alle Google-Produkte erscheinen. Wenn man dort z.B. auf „Mail“ klickt, landet man wie gewohnt in seinem Googlemail-Postfach, ohne der Einwilligungserklärung explizit zugestimmt zu haben.

    Comment by tba — 6.02, 2012 @ 21:59

  10. Man kann die Zustimmung beim login (wurde mir schon bei allen accounts versucht abzuringen) umgehen: „datenschutzbestimmung lesen“ und dann noch mal einfach http://www.gmail.com eingeben.

    Comment by thomas — 8.02, 2012 @ 08:00

  11. So meinte ich das, genau!

    Comment by tba — 8.02, 2012 @ 19:05

  12. Ich habe diese Betrachtung gelesen http://www.ferner-alsdorf.de/2012/02/erlauterung-die-neue-datenschutzerklarung-von-google/wettbewerbsrecht/strafrecht/rechtsanwalt/verkehrsrecht/ und darauf hin heute mein Google Konto mit allen Diensten die ich nutzte, gelöscht.

    Dass Google eine Erklärung abgab, ist mutig und offen, aber es macht die Sache nicht besser, denn mit Datenschutz hat das bei Google eigentlich nichts zu tun, denn Google gibt nur eine Datenerfassungserklärung ab.
    Grob gesagt, Google sammelt alles und führt alles zusammen zu einem umfassenden persönlichen Profil (der gläserne Mensch).

    Da ich so einige technische Vorgänge verstehe, war mir klar was da wirklich passiert. Die Anonymisierung in Analytics ist nur Augenwischerei, Google+ ist der Hammer, der alle Mauern einbricht und wer versucht, dem allen zu entrinnen durch Löschung, der muss wissen, dass selbst die Google Suche mit Javascript funktioniert, also Links in den Suchergebnissen nicht nur HTML-Links sind, sondern durch das Script die Aktion Mausklick abgefangen (wird) werden kann und vorher ein Script vermutlich alle möglichen Daten sammelt, bevor es zur Seite geht.

    Aber nicht nur das, Google sammelt demnach auch die Daten aus Android und Google Chrome.
    Wer Android hat, mit Chrome surft und auch noch einen Google+ Account dazu besitzt, der wird total durchleuchtet, und nicht nur im Internet.
    Facebook ist noch klein gegen das.

    Darum mein Sinneswandel: Weg von Analytics, weg von Google Diensten, niemals Android, niemals Google+ und Chrome nur an Sonntagen.

    Comment by Frank — 11.02, 2012 @ 13:50

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.