Frankreichs Datenschützer legen sich mit den ganz Großen an: Die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) hat Google mit einer Strafe von 50 Millionen Euro belegt. Der Grund: Google LLC hat gegen die Europäische Datenschutzgrundverordnung (EU-DSGVO) verstoßen. Und das nicht etwa, weil Nutzerdaten abhandengekommen wären, sondern weil das Unternehmen nicht transparent genug ist, was die Auskunft über die Nutzung personenbezogener Daten anbelangt. Gerechtfertigt sei die hohe Strafe aufgrund Googles Marktdominanz und der fehlenden Einsicht des Unternehmens.
Laut der französischen Datenschutzbehörde seien die Informationen zum Zweck der Datenverarbeitung, die Aufbewahrungsfristen und die Kategorien von personenbezogenen Daten, die für die Personalisierung von Anzeigen verwendet werden, zu unübersichtlich. Die Nutzer müssen sich erst durch mehrere Dokumente arbeiten und diverse Links anklicken, um zu den gewünschten Informationen zu gelangen. Zusätzlich gäbe es keine wirksame Einwilligung der Nutzer für die Nutzung ihrer Daten zu Werbezwecken; die Einstellungen zur Anzeige personalisierter Werbung ist zudem schon vorausgefüllt und so geschickt versteckt, dass sie kaum jemand findet. Ein Widerspruch gegen die Datensammlung von Google ist im Übrigen nicht möglich, wenn man den Dienst nutzen möchte. Mit dem Bußgeld hat die französische Behörde auf Beschwerden der Organisation La Quadrature du Net aus Frankreich und None of your business (noyb) aus Österreich reagiert.
Der Zeitpunkt der Strafe am 21. Januar war übrigens kein Zufall: Im Dezember hat Google bekannt gegeben, dass ab dem 22. Januar das irische Tochterunternehmen von Google und nicht mehr der Hauptsitz in den USA für die Verarbeitung der Daten von EU-Bürgern zuständig ist. Ein Schelm, wer Böses dabei denkt: Denn die irische Datenschutzbehörde ist bekannt für ihr lasches Durchgreifen. Kein Wunder, haben sich doch neben Google auch andere Konzerne wie Facebook, Twitter, Apple, Microsoft, Amazon oder ebay dort angesiedelt. Es ist unwahrscheinlich, dass es sich die irischen Behörden mit den Global-Playern verscherzen. Den Konzernen kommt also sehr gelegen, dass die EU-Bestimmungen besagen, dass die Datenschutzbehörde des Landes zuständig ist, in dem sich der Hauptsitz der Firma befindet. Alle anderen Datenschutzbehörden müssen sich ab sofort bei Beschwerden gegen die Konzerne mit der irischen Datenschutzbehörde abstimmen. Wir werden also sehen, ob noch weitere Rekordstrafen folgen und wie hoch diese ausfallen. Beschwerden gäbe es sicherlich genug.
Denn auch wenn es im Falle von Google kein Datenleck gab, bleibt die Frage: Wie sicher sind denn eigentlich die ganzen Daten, die Google über die Nutzer sammelt? Denn letzten Endes ist eines klar: Niemand kann verhindern, dass Daten gestohlen werden, aber eine Verschlüsselung der Daten kann sicherstellen, dass niemand was mit den Daten anfangen kann. Allerdings ist Verschlüsselung nicht gleich Verschlüsselung. Bei Cloud-Anbietern liest man immer wieder, dass sie nach dem Stand der Technik verschlüsseln. Gemeint ist damit meist „SSL“, also das Schloss im Browser neben der Adresszeile. Dabei handelt es sich aber nur um eine sogenannte Transportverschlüsselung. Das bedeutet, der Browser verschlüsselt die Daten und diese werden dann beim Cloud-Anbieter wieder vollständig entschlüsselt. Wenn es richtig gemacht wird, dann ist dies bestenfalls ein Schutz gegen Ausspähungen während des Transports der Daten – der Cloud Anbieter hat aber trotzdem immer Zugriff auf alle Informationen. Wird der Provider gehackt, dann können Angreifer auch diese Daten abgreifen.
Also, Google, Facebook und Co., was muss noch alles passieren, damit sich die Konzerne ihrer Verantwortung im Umgang mit personenbezogenen Daten bewusst werden?
Auch interessant:
