Hamburgische Beauftragte für Datenschutz erlässt als Datenschutzaufsicht Anordnung gegen Google zur Selbstorganisation des Schutzes durch Nutzer

Der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit hat in der vergangenen Woche gegenüber der Google Inc. zur Beseitigung von Verstößen gegen das Telemediengesetz und das Bundesdatenschutzgesetz eine Verwaltungsanordnung erlassen. Das US-Unternehmen wird darin verpflichtet, Daten, die bei der Nutzung unterschiedlicher Google-Dienste anfallen, nur unter Beachtung der gesetzlichen Vorgaben zu erheben und zu kombinieren. Nach Auffassung der Datenschutzbehörde greift die bisherige Praxis der Erstellung von Nutzerprofilen weit über das zulässige Maß hinaus in die Privatsphäre der Google-Nutzer ein. Google wird verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die sicherstellen, dass deren Nutzer künftig selbst über die Verwendung der eigenen Daten zur Profilerstellung entscheiden können.

Die Google Inc. erhält umfängliche Informationen über die Nutzungsgewohnheiten ihrer Kunden. Viele setzen die unterschiedlichen vom Unternehmen angebotenen Dienste in ihrem täglichen Leben regelmäßig und umfassend ein. Dies betrifft sowohl die bei Google registrierten Personen (z.B. Gmail-Nutzer und die meisten Besitzer eines Android-Smartphones) als auch Personen, die Google-Dienste (z.B. die Suchmaschine) unangemeldet verwenden. Die Inhalts- und Nutzungsdaten, die dabei anfallen, verraten bereits viel über den Einzelnen und dessen Interessen, Gewohnheiten und Lebensweise.

Beispielsweise können damit

• detaillierte Bewegungsmuster durch Standortdaten erstellt,
• Rückschlüsse auf spezifische Interessen und Vorlieben durch Auswertung der Nutzung der Google-Suchmaschine getroffen,
• der soziale und der finanzielle Status, der Aufenthaltsort und viele weitere Gewohnheiten des Nutzers durch Analyse der Daten ermittelt und
• etwa Freundschaftsbeziehungen, sexuelle Orientierung sowie der Beziehungsstatus abgeleitet werden.

In den Privatsphärebestimmungen schließt Google die Verknüpfung besonders sensibler personenbezogener Daten lediglich zu Werbezwecken aus. Nichtsdestotrotz kann die Verknüpfung all dieser Informationen aus den verschiedenen Einzeldiensten aussagekräftige und nahezu umfassende Persönlichkeitsbilder entstehen lassen. Die Bildung solcher diensteübergreifender Profile behält sich Google durch die seit März 2012 geltenden Privatsphärebestimmungen ausdrücklich vor. Da für eine derartig massive Profilbildung unter Zusammenführung aller Daten weder im nationalen noch im europäischen Recht eine Rechtsgrundlage existiert, ist dies nur dann zulässig, wenn der Nutzer ausdrücklich und informiert in eine derartige Verarbeitung seiner Daten eingewilligt hat oder – soweit dies gesetzlich vorgesehen ist – er dagegen widersprechen kann.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Zwar konnten wir in zahlreichen Gesprächen mit Google Verbesserungen insbesondere bei der Information der Nutzer erreichen. Bei der wesentlichen Frage der Zusammenführung der Nutzerdaten war Google jedoch nicht bereit, die rechtlich erforderlichen Maßnahmen einzuhalten und substantielle Verbesserungen zugunsten der Nutzerkontrolle umzusetzen. Insoweit wird Google nun per Anordnung dazu verpflichtet. Unsere Anforderungen zielen auf einen fairen, gesetzlich vorgesehenen Ausgleich zwischen den Interessen des Unternehmens und denen seiner Nutzer. Der Ball liegt nun im Spielfeld von Google. Das Unternehmen muss die Daten von Millionen von Nutzern so behandeln, dass deren Recht auf informationelle Selbstbestimmung künftig bei der Nutzung der unterschiedlichen Dienste des Unternehmens hinreichend gewahrt wird.“

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Google-Privatsphärebestimmungen im Rahmen einer europäischen Task Force als Vertreter Deutschlands geprüft und bewertet. Dabei wurden die inhaltlichen Kriterien zwischen den darin vertretenen sechs EU-Mitgliedstaaten intensiv diskutiert, um eine möglichst einheitliche europäische Sichtweise zu gewährleisten. Die konkrete Durchsetzung der datenschutzrechtlichen Anforderungen erfolgt jedoch unabhängig und allein auf Grundlage des jeweiligen nationalen Rechts. Während zum Teil andere Länder aufgrund ihrer nationalen Bestimmungen Verstöße mit Bußgeldern sanktionierten, wurde nach deutschem Datenschutzrecht nun eine Verwaltungsanordnung erlassen.

Share this content:

2 Kommentare

Schreibe einen Kommentar zu michaelhorak Abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*