Internet-Law

Onlinerecht und Bürgerrechte 2.0

17.5.10

Was ist dran am Datendebakel von Google?

Google hat während seiner Street View Fahrten auch Nutzerdaten und nicht nur Standortdaten aus offenen W-LANs gespeichert. Diese Information, die von Google selbst an die Öffentlichkeit gebracht worden ist, hat zu einer neuen Welle der Empörung über den Suchmaschinengiganten geführt.  SpiegelOnline fragt in Bild-Zeitungs-Manier: „Wie kommt Schnüffelcode in das umstrittene Street-View-Projekt?“ Es ist fast überflüssig zu erwähnen, dass auch Politiker und Datenschützer wieder einmal empört sind.

Vor dem Hintergrund dieser Hysterie ist es immer hilfreich, die Einschätzung von Leuten zu bekommen, die Ahnung von den technischen Abläufen haben. Kristian Köhntopp erläutert den Vorgang in seinem Blog und gelangt zu folgender Schlussfolgerung:

„Die Software, die da zur Erfassung der WLAN-Daten geschrieben und betrieben worden ist folgt der Struktur, die die Technik und der WLAN-Standard der IEEE vorgeben. Das Vorgehen, das Google bei der Erfassung der Daten zeigt, ist logisch, vernünftig und in Deutschland illegal (§89 TKG und §202b StGB, wahrscheinlich).

Die Erklärungen, die Google für das Entstehen des Fehlers gegeben hat, sind in im Kontext der Standards und im Vergleich mit anderer Software, die ähnliches leistet, konsistent und schlüssig, der Fehler, der zu dem Problem geführt hat, ist naheliegend.“

Diese Aussage verdeutlicht zunächst, dass offenbar – und das ist gerade im Bereich des Datenschutzes nicht wirklich neu – eine gewisse Inkongruenz zwischen technischen Standards und gesetzlichen Regelungen besteht. Köhntopp macht aber auch deutlich, dass die These vom „Schnüffelcode“ nicht wirklich fundiert ist und SpiegelOnline, wie auch andere, schlicht der Versuchung einer reißerischen und verzerrten Darstellung erlegen ist.

Google könnte mit seinem Verhalten in der Tat den (objektiven) Tatbestand des § 202b StGB erfüllt haben, wenn beispielsweise vollständige E-Mails aufgezeichnet worden wären. Das dürfte angesichts dessen, was bekannt geworden ist, aber eher unwahrscheinlich sein. Datenfragmente, die quasi beiläufig gespeichert worden sind, reichen nicht aus. Ob es sich um ein Abhören i.S.v. § 89 TKG handelt, ist ebenfalls fraglich. Denn das würde voraussetzen, dass ein Dritter (Google) eine Kommunikation, die zwischen anderen Personen stattfindet, mithört. Das setzt aber wiederum eine Kenntnisnahme vom konkreten Inhalt eines Kommunikationsvorgangs voraus.

Es spricht eigentlich nicht gegen Google, dass das Unternehmen diese Datenerhebung von sich aus publik gemacht hat. Die Öffentlichkeit scheint das freilich anders zu sehen.

posted by Stadler at 11:32  

14 Comments »

  1. Die nicht unbedeutenden Zusatzdaten dürfte Google allerdings nicht erst jetzt aufgefallen sein oder erst den, für die Weiterverarbeitung der Daten beauftragten Mitarbeiter subalterner Unternehmen. Dann dürfte die Bekanntgabe der Datenpanne eher eine Flucht nach vorn sein.
    Mal runtergebrochen auf das tägliche Leben: Wenn sich nach Verlassen des Supermarkts in meiner Einkaufstasche noch einige hineingepurzelte, aber unbezahlte Waren finden, hätte ich ein Problem…

    Comment by Wolf — 17.05, 2010 @ 11:50

  2. Soweit ich mich erinnere hat Google einen Fragekatalog von einem der Landesdatenschutzbeauftragten durchgearbeitet und dabei sind dann die gespeicherten Daten aufgefallen. Primär kreide ich ihnen eigentlich an, dass sie ihren Prozess nicht geprüft haben. Vielleicht hätte man mal mit dem fertigen Equipment eine Testfahrt machen und prüfen sollen, was dabei alles raus kommt, welche Daten erfasst und was davon gespeichert wird. Stattdessen fährt man los, speichert wie wild drauf los und stellt dann erst im Nachhinein fest, dass man aufgrund einer Unstimmigkeit in der verwendeten Software übers Ziel hinaus geschossen ist. DAS hätte nicht passieren dürfen.

    Comment by Momo — 17.05, 2010 @ 12:07

  3. Da kann man eigentlich nur mit dem Kopf schütteln, welche Annahmen sich da der Herr Köhntopp so erlaubt. Da Google die aufgezeichneten Daten automatisiert „weiterverarbeitet“ nimmt Herr Köhntopp an, dass man deshalb die Rohdaten nicht genau kennt !!! So ein Blödsinn. Um die Rohdaten verarbeiten zu können, muss man diese doch erst genau betrachten und dabei sollen die Payload-Frames nicht aufgefallen sein ? Deshalb sollte man die Schlussfolgerungen die Herr Köhntopp zieht, doch mit grosser Vorsicht betrachten.
    Grundsätzlich betrachtet wird Google genau gewusst haben, was gemacht wurde und welche Daten gespeichert wurden. Das wird natürlich mit der üblichen Abwehrhaltung begründet, dass ein Mitarbeiter daran schuld ist. Google wird vermutlich damit auch nicht an die Öffentlichkeit gegangen sein, um einfach alles „offenzulegen“. Man ist vielleicht nur einem Insider zuvorgekommen der Google damit konfrontiert hat und betreibt einfach nur Schadensbegrenzung.

    Comment by Andrea Doria — 17.05, 2010 @ 12:52

  4. @3 (Andrea Doria): Äääh, langsam. Die Designer von diesem Prozess werden schon gewusst haben, dass sie erstmal alles mitschneiden (auch den Traffic von verschlüsselten Netzwerken, mit dessen Payload sie dann verständlicherweise nichts anfangen können) und dann später sich die Datenpakete rauspicken, die sie interessieren. Allerdings haben die dann ihre Software geschrieben und die hat die Datenberge verarbeitet und fertig. Da schaut keiner wie am Fließband nochmal auf den Datenstrom und sagt „Oh, da ist ja ein Payload-Paket, was macht das denn da?“

    Der Designer wird sich dann gedacht haben: Erstmal holen wir uns alle Rohdaten, danach speichern wir die, verarbeiten sie und speichern das Ergebnis. Morgen kommt dann der neue Super-Router auf den Markt, der ganz andere Datenpakete losschickt, für den muss ich nur mein Erkennungsprogramm ändern und es nochmal über die Daten laufen lassen und schon haben wir dessen Position auch erfasst, ohne dass nochmal die StreetView-Autos losrollen müssen (kostet ja auch Geld).

    Kann ich nachvollziehen. Hätte ich vermutlich auch so gemacht. Allerdings ist es dann Auftrag des Entwicklers (oder der IT) an der Stelle mit dem Betriebsdatenschutzbeauftragten Rücksprache zu halten. Und der hätte dann eigentlich sagen sollen: „Oh, die Payload-Daten, könnt ihr die bitte schon in der Software vom Streetview-Wagen ausfiltern und garnicht erst auf die Festplatte packen? Weil dann kann uns auch in der Hinsicht schonmal keiner was…“ Vielleicht sogar: „Okay, bevor wir hier los legen, holen wir uns präventativ die Landesdatenschutzbeauftragte und vielleicht auch den Bundesdatenschutzbeauftragten ins Haus und sprechen das Konzept mit denen durch. Dann sind wir ganz auf der sicheren Seite.“

    Aus technischer Sicht ist mir absolut klar, wie es jetzt zu der aktuellen Situation gekommen ist. Und deshalb muss Google sich den Vorwurf gefallen lassen, dass sie das Thema Datenschutz nicht im Auge haben oder ihm zuwenig Bedeutung beimessen.

    Comment by Momo — 17.05, 2010 @ 13:06

  5. Irgendwie müssen wir uns doch langsam zum „gläsernen Menschen“ verändern?…..

    Comment by Thomas Wos — 17.05, 2010 @ 15:04

  6. An Andrea Doria: Der „Herr Köhntopp“ hat aber sehr genau aufgezeigt, wie er zu seinen Schlussfolgerungen gekommen ist. Bei Ihnen hingegen sehe ich genau die gleichen „Vermutmaßungen“, die ich (wie Kris) der Presse ankreide.

    Vor allem der „Insider“ klingt mir doch zu sehr verschwörungstheoretisch. Was spricht dagegen, dass Google von sich aus an die Öffentlichkeit gegangen ist?

    Comment by Ralph Angenendt — 17.05, 2010 @ 15:44

  7. Kris ist wieder mal einer der ganz wenigen besonnen Argumentierenden. Sollten alle mal lesen, ehe sie mithetzen. Btw, Kris‘ Reputation muss wohl nicht weiter diskutiert werden.

    Aber: Wie kommt die Bundesregierung dazu, sich dermaßen zu echauffieren? Ist doch wesentlich weniger und unschädlicher als die in DL und der EU geplanten rechtmäßigen Datenabgriffe, zumal die dann auch noch zusammengeführt werden sollen. Gleicher Maßstab für Alle, bitte.

    Comment by vera — 17.05, 2010 @ 20:02

  8. Also, die Erklärung, dass da Code aus Versehen benutzt wurde, der auch Inhaltsdaten mitschneidet, halte ich für, gelinde gesagt, unglaubwürdig. Der Code wurde mit Absicht zur Identifizierung der WLANs eingesetzt. Bei jeder Aktion muss sich aber eine Firma – auch Google – die Frage stellen, ob sich aus der erneuten und neuartigen Nutzung des Codes rechtliche und/oder moralische Probleme ergeben. Dies ist hier offensichtlich nicht geschehen.

    Abgesehen davon, mit welcher Berechtigung speichert Google Daten, die 1. persönlicher Natur sind (eine MAC-Adresse ist eine Identifikation und damit ein persönliches Merkmal des Besitzers) und setzt sie in Beziehung mit geographischen Daten? Das Datenschutzgesetz ist da mE recht eindeutig: Wer das tut, muss einen Grund vorweisen können, der sich aus dem Vetragsverhältnis beider Parteien ergibt. Mir ist jedoch kein Vertragsverhältnis bekannt, dass Google berechtigt, solche Daten von mir zu speichern. Und die bloße Feststellung, dass es sich um öffentlich zugängliche Daten handelt, reicht meiner Meinung nach hier nicht aus. Da macht es sich die Datenkrake ein wenig zu einfach.

    Comment by Ralph — 18.05, 2010 @ 16:20

  9. @4 Momo:
    „Der Designer wird sich dann gedacht haben: Erstmal holen wir uns alle Rohdaten, danach speichern wir die, verarbeiten sie und speichern das Ergebnis.“

    Genau DAS! ist aber nicht erlaubt. Das Speichern solcher Inhaltsdaten ist illegal. Egal, was sich der Designer dabei gedacht hat. Als Admin eines Mailsystems kann ich auch nicht ohne Rechtsgrundlage in alle emails der Mitarbeiter schauen, weil ich auf der Suche nach einer einzigen Mail bin, die ich benötige und für die ich berechtigt bin.

    Comment by Ralph — 18.05, 2010 @ 16:25

  10. Hallo,

    ich gehöre zum eYouGuide Team der EU Kommission und bei der Suche nach relevanten Infos zum Thema online Schutz in sozialen Netzwerken und von Minderjährigen bin ich auf Ihren sehr interessanten Artikel gestoßen.
    Im Zusammenhang hiermit dachte ich, es könnte Sie bzw. Ihre Leser eventuell interessieren, dass die EU Kommission eine eigene Webseite auch auf deutsch zum Thema hat.

    Hier der Link: http://ec.europa.eu/information_society/eyouguide/navigation/index_de.htm

    Beste Grüße,

    Alex
    eYouGuide Team

    Comment by Alex — 20.05, 2010 @ 17:28

  11. Hallo,

    zur Identifizierung von WLANs und Geozuordnung ist das weitere „Mitschneiden“ von Datenpaketen nicht erforderlich, insbesondere nicht das Speichern. Tools wie NetStumbler ermöglichen das reine Identifizieren von WLAN Access Points schon lange und ich denke, die Rechtslage zu dessen Verwendung hat sich auch durch das BGH-Urteil nicht geändert.

    In Beiträgen wird immer wieder behauptet, die MAC-Adresse sei ein persönliches Datenmerkmal. Das ist unzutreffend. Selbst wenn ein Nutzer als SSID seinen Namen verwendet publiziert er selbst dieses Datenmerkmal, wie auch sein Fahrzeug vor der Türe mit dem Kennzeichen seinem Haus und Namen zugeordnet werden kann.

    Freundliche Grüsse,

    Thomas

    Comment by Thomas W. — 22.05, 2010 @ 20:05

  12. Da nun einige Zeit vergangen ist und neue Erkenntnisse bezüglich der Aufzeichnung der Payload-Frames von Google ans Licht kommen, scheinen die Schlussfolgerung, die Herr Köhntopp
    gezogen hat, wohl falsch gewesen zu sein. Schaut man sich folgenden Artikel (http://www.netzpolitik.org/2010/war-googles-abhoeraktion-kein-code-fehler/) mit den Links an, ist es wohl mehr als wahrscheinlich, dass Google genau gewusst hat was man da alles erfasst und abgespeichert hat.

    Comment by Andrea Doria — 4.06, 2010 @ 10:10

  13. Die Daten, die Google empfangen hat, sind im öffentlichen Raum empfangen worden. Es wird schwer sein, eine nichtöffentliche Abstrahlung anzunehemen, wenn der WLAN-Besitzer seine Wohnung nicht elektromagnetisch abschirmt (Faradyscher Raum), sondern sondern seine Funkwellen wie im CB-Funk in den öffentlichen Raum abstrahlt. Wie soll denn der Empfänger dieser Zwangsbestrahlung die Quelle anders beurteilen, als sie zu decodieren? Es ist schon dreist, dass wir vor wenigen Wochen noch diskutiert haben, ob durch diese allgegenwärtigen Funkwellen (z.B. vom Mobilfunk) Gesundheitsgefahren ausgehen, und jetzt der Datenschutz über die Verursacher gelegt werden soll. Das gibt auch der 202b nicht her, wenn der Emittent seine Wohnung nicht abschirmt. Der BGH hat gerade erst geurteilt, dass der private WLAN-Betreiber besondere Pflichten hat wegen des Urheberrechtes hat und deshalb zur Störerhaftung herangezogen werden kann, wenn er die Öffentlichkeit nicht hinreichend vor seinem Netz schützt. Das wird der BGH jetzt nicht das Gegenteil urteilen, dass jeder das Recht hat, andere ohne deren Wissen zu bestrahlen und aus Datenschutzgründen der Verursacher der Bestrahlung nicht ermittelt werden darf.

    Comment by Jan Dark — 14.06, 2010 @ 21:35

  14. Ja nun stellt sich heraus, dass man bei Google doch davon gewusst hat, dass man WLAN-Mitschnitte durchgeführt hat. Google hat der FCC mitgeteilt, dass die „Software“ absichtlich so entwickelt wurde, also kein Versehen ! Nun wissen wir wohl alle, was so von der Aussagen von Google zu halten ist. Kristian Köhntopp lag mit deiner Einschätzung wohl auch voll daneben. (http://tinyurl.com/bmg3837).

    Comment by Andrea Doria — 3.05, 2012 @ 21:48

RSS feed for comments on this post.

Leave a comment