Am Montag hat Google zwei Dinge angekündigt, die beide für sich einiges an Zündstoff bieten: Es wurde die Einstellung von Google+ angekündigt, die wohl eine unmittelbare Folge eines Datenlecks in einer Google+ API gewesen ist. Doch während das Unternehmen beides herunterspielt, sehen das die Datenschützer ganz anders: Sowohl in Deutschland auch in Irland wurden nun Ermittlungen eingeleitet.
Google hat es recht geschickt gelöst, beide Dinge gleichzeitig anzukündigen und so die Aufregung um beide Themen jeweils gegeneinander abzufedern – und so wie es aktuell wirkt, hat das auch recht gut funktioniert. Natürlich rebellieren die Nutzer gegen die Einstellung von Google+ und haben bereits viele Zehntausend Unterschriften gesammelt, mit denen sich die Verantwortlichen vielleicht noch einmal umstimmen lassen. Doch das Datenleck lässt sich natürlich nicht rückgängig machen.
Google hat am Montag verkündet, dass man bereits im März davon erfahren hat, dass es eine Lücke in einer Google+ API gegeben hat. Diese soll bereits seit dem Jahr 2015 bestanden haben und hat dafür gesorgt, dass die privaten Profildaten von knapp 500.000 Nutzern abgerufen werden konnten. Bei dieser Information hat man es dann belassen, ohne mitzuteilen, ob die betroffenen Nutzer informiert wurden bzw. welche Daten genau von welcher Person „geleakt“ wurden.
Solche Lücken können natürlich passieren und 500.000 Nutzerdaten sind im Vergleich zu den Milliarden Nutzerprofilen nur ein solch kleiner Bruchteil, dass man nicht von einer großen Lücke sprechen kann. Dennoch hätte Google darüber informieren müssen, was man aus Image-Gründen nicht getan hat. Die Veröffentlichung wäre zur gleichen Zeit gekommen wie der Cambridge Analytica-Skandal von Facebook und wäre somit medial deutlich mehr ausgeschlachtet worden.
Genau dieses Zurückhalten der Informationen könnte für Google nun noch zu einem Problem werden, denn nun ermitteln die Datenschutzbehörden sowohl in Deutschland als auch in Irland. Dabei spielt es eine sehr zentrale Rolle, wann Google diese Lücke geschlossen hat. War erst nach dem Inkrafttreten der DSGVO, hätte man eine Auskunft darüber geben müssen. Doch das wird schwer zu rekonstruieren bzw. zu beweisen sein.
Zentrale Frage wird sein, wann die Lücke durch Google geschlossen wurde
Wurde die Lücke noch vor dem 25. Mai geschlossen, gilt in Deutschland die Regelung des Bundesdatenschutzgesetzes
Dies setzt bei der Informationspflicht hohe Hürden und greift nur für den Fall, dass besonders sensible Daten von der Lücke betroffen waren
Letztlich erschwert die Verschleierung des Tathergangs und der zeitliche Ablauf die Möglichkeiten, Inhalt und Umfang des Verstoßes aufzuklären
Während es in vielen Agenturmeldungen hieß, dass knapp 500.000 Profile Opfer dieser Datenlücke geworden sind – so war es auch in allen Medien inklusive bei uns zu lesen – gibt Google an, keine Informationen darüber zu haben, ob tatsächlich Daten entwendet worden sind bzw. ob diese genutzt wurde. Allerdings hat man auch keine Daten, um das rückwirkend zu überprüfen. Diese ganzen schwammigen Angaben zeigen, dass Google wohl versucht, das ganze zu verschleiern und klein zu halten.
Sollte es nach den Ermittlungen aber tatsächlich zu einem Verfahren kommen, dann wird man sich Wohl oder Übel auch öffentlich mehr zur Lücke äußern müssen. Es ist aber nicht davon auszugehen, dass sie so klein ist wie man das angibt, denn sonst würde man keine solch großen Änderungen vornehmen und gleich das gesamte Netzwerk Google+ einstellen. Könnte noch ein längeres Thema werden.
» Google+ nicht kampflos aufgeben! Petition gegen die Einstellung von Google+ bekommt großen Zulauf
» Milliardenstrafe gegen Android: Google legt Einspruch gegen die Entscheidung der EU-Kommission ein