Google trackt alle Nutzer ohne Zustimmung & sendet Daten an US-Server: Bis 6 Milliarden Euro Strafe drohen
Google befindet sich seit einiger Zeit im Prozess, das Nutzer-Tracking völlig umzubauen und diese vermeintlich deutlich weniger als bisher tracken zu wollen – was allerdings eine glatte Lüge ist. Ärger gibt es aber auch an anderer Front, denn der vor allem durch die Facebook-Klage bekannte Aktivist Max Schrems hat nun Klage gegen Googles tief in Android integriertes Tracking eingereicht und legt auch bei Google Analytics und die Übertragung der Daten in die USA nach.
Der Datenschutzaktivist Max Schrems dürfte vielen Nutzern durch seine Facebook-Klagen bekannt sein, die tatsächlich in den letzten Jahren einige Erfolge erzielen konnten. Nun nimmt sich seine Organisation noyb auch Googles Android vor und hat eine Klage gegen das tief in Android integrierte Nutzertracking eingereicht. In Android gibt es den AAID (Android Advertising Identifier), mit dem sich jeder Nutzer eindeutig identifizieren lässt. Allerdings werden die Nutzer darüber nicht informiert, müssen dieser Identifizierung nicht zustimmen und können diese auch nicht deaktivieren. Aus Sicht von Schrems ein klarer Verstoß gegen die EU-Datenschutzregeln.
Die versteckte ID ermögliche es Google und allen Apps auf dem Telefon, Nutzer zu verfolgen und Informationen über das Online- und Offlineverhalten zu kombinieren. Die Verwendung dieser Tracker verlange klar die Zustimmung der Nutzer, welche Google jedoch nicht einfordere.
Die ID lässt sich zwar zurücksetzen, aber die zuvor dadurch gesammelten Daten werden nicht gelöscht und das Tracking auch in Zukunft nicht unterlassen. Die Klage wurde in Frankreich eingereicht, wo Google schon sehr häufig mit den Datenschutzbehörden Ärger hatte – mit eine der mächtigsten Datenschutzbehörden in der Europäischen Union.
Das könnte noch sehr spannend werden und sich zu einem großen Verfahren ausweiten, denn Google und die Werbeindustrie wird auf dieses Tracking vermutlich nicht verzichten wollen. Betroffen sind etwa 300 Millionen Nutzer!
In einem Verfahren zu US-Überwachung (#SchremsII) und @GoogleAnalytics ist jetzt eigentlich alles geklärt vor der österr. DSB – diese könnte damit Google eine Strafe von bis zu €6 Mrd aufbrummen – mehr als unser Anteil am Brenner-Basistunnel.. 😝🙈https://t.co/aKL1aaqFrN
— Max Schrems 🇪🇺 (@maxschrems) May 6, 2021
UPDATE: Datentransfer-Untersuchung
Gut einen Monat später gibt es eine weitere Untersuchung, die Google potenziell teuer zu stehen kommen könnte. Es geht darum, dass das Unternehmen trotz mehrerer Urteile weiterhin Daten von EU-Servern an US-Server sendet. Im langen Statement von noyb ist das alle sehr gut dargelegt, inklusive eines langen Statements von Google. Der Datenschutzaktivist Max Schrems sieht dennoch große Vergehen und sieht die Möglichkeit, dass Google allein in Österreich bis zu 6 Milliarden Euro Strafe zahlen könnte.
Google macht keinen wirklichen Hehl aus dem Verstoß gegen die DSGVO und die Beweise sind erdrückend. Der Fall liegt nun wie auf dem Silbertablett vor der österreichischen Datenschutzbehörde.
Es ist eine einmalige Möglichkeit, gleichzeitig etwas für den Grundrechtsschutz und für das Staatsbudget zu tun. Die mögliche Strafe gegen Google ist höher als der österreichsiche Anteil am Brenner-Basistunnel. Nach der DSGVO haben die Behörden sogar die Pflicht, angemessene Strafen auszusprechen und Google erfüllt wirklich jede Bedingung, um den Strafrahmen voll auszunutzen.
noyb-Statements zur Android-Klage
Google erstellt die AAID ohne das Wissen oder die Zustimmung der Nutzer:innen. Die Identifikationsnummer funktioniert wie ein Nummernschild – mit dem Code kann man das Handy einer Nutzer:in eindeutig identifizieren. Google und Dritte (z. B. App-Anbieter und Werbetreibende) können auf die AAID zugreifen, um das Verhalten der Android Nutzer:innen zu verfolgen, Konsumpräferenzen hochzurechnen und personalisierte Werbung zu schalten. Ein solches Tracking ist durch das „EU-Cookie-Gesetz” (Artikel 5(3) der e-Privacy-Richtlinie) streng geregelt und erfordert die informierte und eindeutige Zustimmung der Nutzer:innen.
Google installiert die AAID nicht nur ohne Zustimmung, sondern verweigert Android-Nutzer:innen auch die Möglichkeit, sie zu löschen. Wie wir in unserer vorherigen Beschwerde in Österreich bewiesen haben, kann die ID lediglich zurückgesetzt werden, wodurch eine neue Tracking-ID generiert wird. Dies löscht weder die zuvor gesammelten Daten, noch stoppt es das Tracking in der Zukunft.
„AAID ist wie ein farbiges Pulver, das man an den Füßen und Händen hat: es macht jede Bewegung innerhalb des mobile Ökosystems nachvollziehbar. Außerdem kann man das Pulver nicht entfernen, man kann lediglich die Farbe wechseln. Das ist letztendlich worum es bei der Android Advertising ID geht – ein Tracker der ständig Informationen über unser Verhalten sammelt.„
Die Google-Nutzungsbedingungen unter der Lupe: So schnell und unbemerkt kann ein Verstoß entstehen
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Teile diesen Artikel:
Und genau aus diesem Grund,bin ich zum größten Teil mit IOS unterwegs und ich glaube auch irgendwie nicht daran ,das Google mal irgendwann etwas ändern wird an dieser Situation,die Leute auszuspionieren ,sie sind und werden immer die größte Datenkrake bleiben .
NSA: das kind ist bereits in den brunnen gefallen. und zwar schon vor vielen vielen jahren.
OK, meine Zustimmung zur Nutzung des AAID sei hiermit erteilt.
Ich halte Nutzertracking für sinnvoll und akzeptabel und habe eigentlich nur ein Problem damit, dass solche Gestalten wie Schrems behaupten, auch für mich zu sprechen.
Das mag sein, dass das für dich aktzeptabel ist, aber das ist es damit nicht automatisch für alle User. Schrems behauptet übrigens nicht, für dich zu sprechen, sondern geht gegen wahrscheinlich rechtswidriges Verhalten seitens Google vor. Diese Art von Tracking muss optional sein.
> „Diese Art von Tracking muss optional sein.“
Ja, so sehe ich das auch…ist es aber letztendlich auch schon.
Die Klageschrift der noyb ist in meinen Augen „fadenscheinig“ und setzt vor allem auf undifferenzierte Ängste:
1. Zustimmung zu Play-Services muss erteilt werden. Wie Herr Schrems sein Telefon in Betrieb setzten konnte und gleichzeitig behauptet „…the Complainant was never requested such consent,
neither during the first setup of the system…“ bliebt sein Geheimnis. Wenn er sich dabei nicht die Mühe macht, die Datenschutzerklärung zu lesen, ist das sein Problem. Dort steht nämlich ausdrücklich (mit weitergehenden Erläuterungen): „Zu den von uns erhobenen Daten zählen eindeutige Kennungen, der Typ und die Einstellungen des Browsers, der Typ und die Einstellungen des Geräts, das Betriebssystem, Informationen zum Mobilfunknetz wie der Name des Mobilfunkanbieters und die Telefonnummer sowie die Versionsnummer der App“. [Dass Herr Schrems vielleicht keine Lust hat, Datenschutzerklärungen zu lesen, ist verständlich: immerhin hat er nicht ganz unwesentlich dazu beigetragen, dass sie sich zu unpraktikablen Textwüsten ohne echten Wert für den Nutzer entwickelt haben 🙂 ]
2. Es handelt sich bei der AAID keineswegs um ein „hidden device“…ich kann sie mir – ohne weitere Hilfsmittel zu bemühen – jederzeit ansehen: sie ist ganz normaler Bestandteil der Systemeinstellungen.
3. Der ständig bemühte Gleichsetzung mit cookies /als einem der aktuellen „Trigger-Worte“) mag zwar „eingängig“ sein, zieht aber nicht: der Inhalt von cookies ist für den Nutzer generell/einfach so nicht änderbar und auch deren spätere Verwendung nicht steuerbar. Die Nutzung der AAID für personalisierte Werbung (etc.) lässt sich dagegen über die Systemeinstellung für Werbung steuern.
4. Das ebenfalls bemühte Bild vom (Auto-)“Nummernschild“ geht auch fehl: Nummernschilder entfalten ihre „Identifikationswirkung“ gerade dadurch, dass sie sich nicht nach Belieben ändern lassen…genau diese Möglichkeit, sie jederzeit zu ändern, ist aber wesentlicher Bestandteil des AAID-Mechanismus. Auch in diesem Punkt unterscheidet sich AAID wesentlich von cookies.
Mir erscheint das Vorgehen von noyb/Schrems als ein mit viel FUD gewürzter „Schrei nach Aufmerksamkeit“, der im Falle seines Erfolges wiederum nicht dazu beiträgt, das Thema „Datenschutz“ praktikabler, überschaubarer und verständlicher zu machen.
Ist IOS in der Hinsicht denn wirklich so viel besser? Oder wird hier möglicherweise ebenfalls im Hintergrund getrackt, was man als normaler Nutzer nur nicht mitbekommt?
@ Sommer: Bei Apple heißt diese Technik „Apple’s ID for Advertisers“, kurz „IDFA“.
Dem Nutzer hier Steuerungsmöglichkeiten einzuräumen, war ursprünglich für Sept. 2020 angekündigt, wurde aber dann auf „irgendwann im Frühjahr 2021“ verschoben :-), vermutlich in der finalen Version von iOS 14.5.
Lustig dabei: in der Vergangenheit konnte man für eine begrenzte Zeit die IDFA „ausnullen“, das haben aber nur wenige Nutzer gemacht und in iOS12 ging das dann überhaupt nicht mehr.
Diese Funktion heißt bei Apple Datenschutz-Tracking .
Hier auf Google Watch sind es allein 4 Tracker die von Seiten Apple blockiert wurden .
Also nichts still und heimlich ,wie Google gerne alles zulässt .
Ob nun alles geblockt wird damit keine Ahnung.
Es kann trotzdem sein ,das Apps und Websiten versuchen ,einen auszuspionieren….so laut Apple .
Es geht bei Apple in diesem Fall speziell darum, dass Tracking Appübergreifend zu unterbinden. Das bedeutet nicht, dass die App selbst nicht tracken darf (dafür sind andere Einstellungen notwendig), sondern nur, dass die App keinerlei Berechtigung bekommt das Verhalten in und um andere Apps mitzutracken um ein genaueres / relevanteres Profil zu erstellen.
BTW: Ich glaube auch daran, dass Apple hier wesentlich weniger Daten im allgemeinen Catch. Es ist schon mehrfach getestet worden und da wo Android 1MB an Daten an Googleserver sendet, sind es bei Apple gerade mal 52kb und dessen Infos sind eher darauf basiert, wo man gerade ist, insofern die Ortungsdienste eingeschaltet wurden, damit die nächste Abfrage diverser Dienste losgehen kann, bevor man das Handy aktiv nutzt.
Dann gab es da noch den Cold-Test. Handy erst einrichten und dann 24 Stunden liegen lassen. Da beim iPhone kein Sensor genutzt wurde, der darauf aufmerksam wurde, dass das Handy bewegt wurde, wurde 1 x in den 24 Stunden der Standort geschickt. Mehr nicht. Beim Android waren es alle 4 Minuten und 30 Sekunden.
Also was mich immer wieder wundert, obwohl ich sehr viel Google Dienste nutze sind die Werbevorschläge die ich erhalte und das obwohl diese personalisiert zugestimmt sind außerordentlich schlecht!
Zum zweiten meine ich, ich kenne überhaupt niemanden der Google Maps nicht nutzt!
Alleine was darüber ausgewertet wird möchte ich besser nicht wissen!
Google sollte ganz einfach offen und klar darlegen was getrackt wird weil dann denke ich würden viele wesentlich weniger damit ein Problem haben!
Was nervt ist tatsächlich eine gefühlte heimlich Tuerei, aber ich denke man kommt um die ganzen Google Dienste nicht drum herum egal ob aktiv oder passiv bewusst oder unbewusst ob bekannt oder unbekannt!
Das sieht man ja jetzt an den ersten Wochen von iOS 14.5 und der App Tracking Transparency Feature. Nur 4% in Amerika haben dem zugestimmt. Das zeigt eindeutig das die Heimlichtuerei bewusst so gehalten wird weil die Firmen wissen das die Leute es nicht okay finden und wenn sie eine Wahl haben, diese nutzen und deaktivieren.
Witzig, dass die Werbeindustrie mit einem simplen Pop Up beim öffnen einer App, direkt 96% seiner Kunden verliert! Ich finde das super und sollte weiter ausgebaut werden!
Dreckige Tracker! Dem einzigen dem das Nützt ist dem der sie sammelt. Alles andere ist nur bla bla.