Google will am 01.03.2012 eine neue Datenschutzerklärung in Kraft setzen, die für sämtliche Google-Dienste gelten soll. Die sog. Art. 29-Gruppe hat Google vergeblich darum gebeten, die Einführung der neuen Bestimmungen zu verschieben, um die neuen Klauseln vorab eingehend prüfen zu können.
Google will mit der neuen Datenschutzerklärung nach eigener Aussage die mehr als 60 verschiedenen Datenschutzbestimmungen für die verschiedenen Google-Dienste durch eine zentrale Regelung ersetzen.
Was man eigentlich eh schon immer wusste, steht numehr etwas deutlicher als bislang in der neuen Datenschutzerklärung, nämlich, dass Google in erheblichem Maße Daten erhebt, diese Daten anschließend miteinander verknüpft und auch Nutzerprofile erstellt.
Einige Auszügen aus den neuen Datenschutzbestimmungen von Google sollen dies verdeutlichen:
Wir erfassen möglicherweise Informationen über die von Ihnen genutzten Dienste und die Art und Weise, wie Sie diese nutzen, beispielsweise wenn Sie eine Website besuchen, auf der unsere Werbedienste verwendet werden oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren.
Google macht auch keinen Hehl daraus, dass man mit einer umfassenden Protokollierung des Nutzungsverhaltens zu rechnen hat:
Wenn Sie unsere Dienste nutzen oder von Google bereitgestellte Inhalte aufrufen, erfassen und speichern wir bestimmte Daten gegebenenfalls in Serverprotokollen. Diese Protokolle können Folgendes enthalten:
- Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben, beispielsweise Ihre Suchanfragen.
- Telefonieprotokollinformationen wie Ihre Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe.
- IP-Adresse.
- Daten zu Geräteereignissen wie Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer Anfrage und Referral-URL.
- Cookies, über die Ihr Browser oder Ihr Google-Konto eindeutig identifiziert werden können.
Google räumt schließlich relativ unverblümt ein, dass man die Daten die bei der Nutzung verschiedener Google-Dienste anfallen, miteinander kombinieren will:
Wir nutzen diese Informationen außerdem, um Ihnen maßgeschneiderte Inhalte anzubieten – beispielsweise um Ihnen relevantere Suchergebnisse und Werbung zur Verfügung zu stellen.
(…)
Wir verwenden den von Ihnen für Ihr Google-Profil angegebenen Namen möglicherweise für alle von uns angebotenen Dienste, die ein Google-Konto erfordern. Darüber hinaus ersetzen wir möglicherweise Namen, die in der Vergangenheit mit Ihrem Google-Konto verknüpft waren, damit Sie in all unseren Diensten einheitlich geführt werden.
Ob diese umfangreiche Datenverarbeitung mit deutschem und europäischem Datenschutzrecht vereinbar ist, darf bezweifelt werden. Das deutsche Recht ist nach wie vor vom Prinzip des Verbots mit Erlaubnisvorbehalt geprägt. Das bedeutet, dass zunächst jede Datenerhebung und Datenverwendung verboten ist, solange nicht ein Gesetz die Datenverarbeitung ausdrücklich erlaubt. Als gesetzliche Erlaubnistatbestände kommen hier vor allem die Einwilligung des Nutzers und die Vorschrift des § 15 TMG in Betracht, die die Erhebung und Verwendung von Nutzungsdaten bei der Inanspruchnahme von Telemedien regelt.
Soweit ersichtlich möchte Google seine (bestehenden) Nutzer offenbar dazu zwingen, den neuen Bestimmungen zuzustimmen, bzw. geht davon aus, dass diese jedenfalls ab dem 01.03.2012 für alle Google-Nutzer gelten. In den FAQ heißt es hierzu:
Und wenn ich Google unter der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen nicht mehr verwenden möchte?
Ab dem 1. März unterliegt jegliche Nutzung von Google-Diensten der neuen Datenschutzerklärung und den neuen Nutzungsbedingungen.
Selbst wenn Google dem Nutzer während des Login hierzu eine Einwilligungserklärung abnötigt – was bislang m.W. nicht geschehen ist – dürfte es sich hierbei kaum um eine freie Entscheidung des Betroffenen im Sinne von § 4a Abs. 1 BDSG handeln. Auch die Frage der informierten Einwilligung stellt sich, denn das Datenschutzrecht geht von der Vorstellung aus, dass der Nutzer wissen muss, worin er einwilligt. Das ist bei den neuen Bestimmungen von Google bereits deshalb problematisch, weil sie an vielen Stellen äußerst vage formuliert sind. Nachdem der Nutzer nicht die Möglichkeit hat, die Datenverarbeitungsprozesse nachzuvollziehen, stellt sich in zunehmendem Maße ganz generell – nicht nur bei Google – die Frage, ob das Prinzip der informierten Einwilligung im Netz überhaupt noch ein tragfähiges Modell darstellt. Denn der Nutzer, der sich Datenverarbeitungsprozessen gegenüber sieht, die er nicht durchschauen und deren Umfang und Ausmaß er nicht einschätzen kann, kann auch nicht freiwillig und selbstbestimmt einwilligen.
Speziell was die Nutzungsdaten angeht, müsste Google also ansonsten die Voraussetzungen von § 15 TMG erfüllen. Wenn man die neuen Datenschutzbedingungen von Google mit der Vorschrift des § 15 TMG abgleicht, tut man sich allerdings äußerst schwer, die Datenschutzbestimmungen mit dem geltenden Recht in Einklang zu bringen.
Bereits die Zusammenführung der Daten verschiedener Telemedien ist nach dem Gesetz nämlich nur zu Abrechnungszwecken zulässig (§ 15 Abs. 2 TMG).
Nach § 15 Abs. 3 TMG dürfen Nutzungsprofile, wie Google sie ganz augenscheinlich anfertigt, nur dann zur bedarfsgerechten Gestaltung der Telemedien erstellt werden, wenn dies pseudonymisiert erfolgt. Aber selbst dann hat der Nutzer ein Widerspruchsrecht, auf das ausdrücklich hingewiesen werden muss. Ein Hinweis auf dieses Widerspruchsrecht fehlt bei Google aber ebenso wie der Hinweis auf eine Pseudonymisierung. Diese Pseudonymisierung findet offenbar auch nicht statt, denn sie stünde in Widerspruch zum Geschäftskonzept von Google.
Googles neue Datenschutzerklärung verdeutlicht das Dilemma unseres Datenschutzrechts wieder einmal sehr deutlich. Die Datenverarbeitungsprozesse die bei einem Unternehmen wie Google anfallen, das verschiedenste Services (Suchmaschine, soziales Netzwerk, E-Mail-Dienst, Werbeplattform, Statistik-Tools etc.) anbietet, lassen sich über das Prinzip der informierten Einwilligung nicht mehr abbilden, weil dafür das Informationsdefizit des Nutzers gegenüber dem Anbieter zu groß ist. Die Vorschrift des § 15 TMG ist letztlich dann aber so eng formuliert, dass man daraus jedenfalls keine ausreichende Gestattung für eine Datenverarbeitung ableiten kann, wie sie in der Datenschutzerklärung von Google skizziert wird.
Die stringente und konsequente Rechtsanwendung führt letztlich zu dem Ergebnis, dass die Datenschutzerklärung von Google nicht den datenschutzrechtlichen Anforderungen genügt, und, dass man das was Google macht, unabhängig von der rechtlichen Gestaltung, nicht in Einklang mit dem hiesigen Recht bringen kann.
Weil diese Konsequenz aber nicht gezogen wird, werden wir weiterhin mit einem Datenschutzrecht leben, das zwar formal äußerst streng ist, das aber in der Praxis, letztlich mit stillschweigender Duldung aller Beteiligten, nicht eingehalten wird. Die europäischen Datenschützer werden Google vermutlich wieder einige (kosmetische) Zugeständnisse abringen und anschließend so tun, als sei damit eine zumindest akzeptable Lösung gefunden worden. Denn dieses Konzept hat sich ja auch bei Google Analytics bereits bewährt.