Ein Leben ohne Google…

Morgen, am 1. März 2012, treten die neuen Datenschutzbestimmungen für alle Google Dienste in Kraft. Durch diese neuen zentralen Datenschutzbestimmungen soll der „Wildwuchs“ zwischen den einzelnen Diensten gestutzt werden. Das gleiche „Datenschutzniveau“ soll künftig für alle Dienste gelten. Das alleine ist nicht verwerflich. Europäische Datenschützer laufen jedoch Sturm, weil Google gleichzeitig die Daten aller Dienste verknüpfen und daraus detaillierte Nutzerprofile generieren will. Die berechtigte Kritik hat der Kollege Stadler bereits vor einigen Wochen anschaulich zusammengestellt.

Google zeigt sich jedoch unbeeindruckt und spielt auf Zeit. Da Politik und Datenschützer sich die Zähne ausbeißen, ist der Internet-Nutzer auf sich alleine gestellt. Er hat die Wahl:

  1. Die Profilbildung und umfangreiche Datensammlung akzeptieren
  2. Seine Google Accounts bis heute „aufzuräumen“ etwa die Web-Historie oder bei Youtube oder
  3. Man löscht zusätzlich seinen gesamten Google Account

Ich habe mich heute für die dritte Alternative entschieden. Nicht weil ich in Google den großen übermächtigen „evil“ Feind sehe, sondern weil ich auch künftig Herr meiner personenbezogenen Daten bleiben will. So oder so eine Herausforderung. Gerade im Internet. Aber dazu am Ende mehr.

Ich war nie ein großer Nutzer der registrierungspflichtigen Google Dienste. Der GMail-Account war hauptsächliche Newsletter-Grab, Googles Geisterstadt+ hatte ich bereits vor einigen Tagen verlassen, da nach einer anfänglichen Neugier der Mehrwert eines zusätzlichen SocialMedia Accounts schnell verpufft war.

Google bietet alles in allem gute Produkte an, doch wen man mal anfängt sich das Google Dashboard genauer anzusehen, dann findet man viele Daten und Altlasten. Google hat ohne Zweifel bereits heute jede Menge personenbezogene Daten über mich. Aber will ich, dass Google all diese Daten, die teilweise bis 5-6 Jahre alt sind, zu einem Profil verknüpft und anhand dieser Daten Werbung und Suchergebnisse personalisiert? Gerade die mit Google+ eingeführte personalisierte Suche bietet dabei das Potential die Informationsfreiheit des Nutzers einzuschränken, wenn dies in einiger Zeit mal anhand des eigenen Profils erfolgen könnte… eine (für mich) beunruhigende Entwicklung.

Das große Problem bei der künftigen Datenhandhabe, bei der eh schwer überschaubaren Datenerhebung wird es wohl künftig noch viel schwieriger (etwa durch das Löschen von Altdaten) die Personalisierung zu beeinflussen oder gar abzuschalten. Das ist allerdings Voraussetzung dafür, dass ich als Nutzer, Herr meiner personenbezogenen Daten bleibe. Ich muss die Entscheidungsfreiheit haben, welche personenbezogenen Daten von mir, von wem, zu welchem Zweck und wie lange verwendet werden. Um Herr seiner Daten  zu bleiben, sollte man sich zudem nicht in die (unfreiwillige) Abhängigkeit eines übermächtigen Diensteanbieters begeben. Googles Dienste sind gut, aber sie sind nicht unersetzbar. Die Entscheidung war daher schnell getroffen.

Ein Leben ohne Google? Bislang fühlt es sich gut an.

Google Analytics ist datenschutzkonform nutzbar!?

Es ist eine kleine, jedenfalls unerwartete Sensation. Der Hamburgische Datenschutzbeauftragte Caspar bestätigt, dass Google Analytics nach weiteren Anpassungen datenschutzkonform nutzbar ist. Damit geht ein langes Ringen zwischen Google und den Datenschützern zu ende.

Was war der Vorwurf und wie ist er nun gelöst worden?

Google Analytics wurden drei Dinge vorgeworfen: Einerseits IP-Adressen ohne die nach Ansicht der Aufsichtsbehörden erforderlichen Einwilligung in die USA zu übermitteln. Andererseits war der Vorwurf, Google würde Profile im Sinne von § 15 Abs. 3 TMG erstellen ohne eine ausreichende Widerrufsmöglichkeit zu bieten. Schließlich sei Google Analytics ein klassischer Fall der Auftragsdatenverarbeitung der den Anforderungen des § 11 BDSG nicht genüge.

Bereits vor einigen Monaten hatte Google nachgebessert und ein Opt-Out Plugin sowie eine Anonymisierungsmöglichkeit vorgestellt. Beide waren jedoch weiterhin als unzureichend angesehen worden, da einerseits nicht alle Browser erfasst wurden und die IP-Adressen erst nach Übermittlung in die USA anonymisiert wurden.

Nun hat Google anscheinend drei Dinge geändert:

  1. Google bietet nun für alle gängigen Browser AddOns an
  2. Die Daten werden in Europa anonymisiert
  3. Google schließt mit Kunden eine schriftliche Vereinbarung über die Auftragsdatenverarbeitung nach § 11 BDSG

Das klingt alles schön und gut. Der reinen Lehre folgend wid man sich jedenfalls hinsichtlich der ersten Lösung verwundert die Augen reiben. Sowohl Google als auch der Landesdatenschutzbeauftragte geben zu, dass alle gängigen Desktop-Browser eine Opt-Out Lösung bieten (IE, Firefox, Chrome, Safari und Opera). Da weder Spartenbrowser noch Smartphones und TabletPCs hiervon erfasst sind, ist jedenfalls mit solchen Geräten ein Widerspruch nach § 15 Abs. 3 TMG weiterhin nicht möglich. Erstaunlich, dass dies jedoch hier als vernachlässigbar angesehen wird.

Die Vereinbarung zur Auftragsdatenverarbeitung ist zudem ein noch nie dagewesenes Novum. Wie Kollege Ferner schreibt, bleibt abzuwarten, ob dies eine abschreckende Hürde für Nutzer darstellt.

Update 13:40: Der Kollege Stadler hat sich bereits die Zeit genommen, die Vereinbarung zur Auftragsdatenverarbeitung genau anzuschauen und auch deren Erforderlichkeit hinterfragt. Da eine Anonymisierung allerdings erst NACH einer Übermittlung an Google (unklar bleibt ob Google Deutschland, Google Inc. oder eine andere Gesellschaft des Konzerns gemeint ist) erfolgt, ist insoweit weiterhin eine Datenschutzerklärung und wohl auch die Vereinbarung zur Auftragsdatenverarbeitung erforderlich.

 

Update: Einer vertieften Analyse habe ich einen gesonderten Blogpost gewidmet.

Ist der 2-Klick-Button wirklich datenschutzkonform?

Am Donnerstag stellte der heise-Verlag für seine Internetangebote den „2-Klick-Button“ vor. Mit dem 2-Klick-Button soll, so heise, eine „datenschutzfreundliche“ Einbindung von Social-Media-PlugIns möglich sein. Das Prinzip ist einfach und alles andere als neu. Auf dieser Seite wird derzeit ebenfalls eine 2-Klick Lösung getestet, die der Kollege Jens Ferner bereits vor Monaten vorgestellt hat, lange bevor das ULD sich zur datenschutzrechtlichen Problematik des Facebook Like-Buttons geäußert hat. Die grafisch ansprechende Lösung des heise-Verlags wurde im Netz, dank der selbstüberzeugten Beschreibung, als die heilbringende Lösung gefeiert. Doch die Reaktion von Facebook kam prompt. Die Umsetzung widerspreche den Plattform-Richtlinien. Der heise-Verlag (und viele Nutzer) reagierten ungläubig, wenn nicht gar eingeschnappt. Schließlich habe der 2-Klick-Button zur Lösung eines datenschutzrechtlichen Problems beigetragen. Aber ist das wirklich so? „Ist der 2-Klick-Button wirklich datenschutzkonform?“ weiterlesen

Google „Me on the web“ – Kontrolle der eigenen Datenspur mit Hindernissen

Google bietet Kunden ein neues Tool an. Es heißt „Me on the web“ und soll Kunden die Möglichkeit geben zu beeinflussen, welche Seiten und Informationen über einen selbst in der Google-Suche auftauchen.  Me on the Web findet man auf dem Dashboard des eigenen Google-Accounts.

Datenschützer dürften über diese neuesten Entwicklungen im Hause Google entzückt sein, denn was kommt am ehesten einem Internet-Radiergummi nahe, als die Möglichkeit sich selbst aus der meistgenutzten Suchmaschine zu tilgen?

Doch das ganze hat einen Haken. Google hat zwar viele Informationen über mich, aber weiß letztlich nicht, dass der aktuelle Nutzer an diesem Rechner tatsächlich ich bin. Wer also, ähnlich wie bei Google StreetView, nicht will, dass eigene Daten bei Google auftauchen, muss Google erstmal mitteilen wer man eigentlich ist. Und das geht am besten (bzw. bei Me on the web nur) mit einem „Public Profile“:

Aus der „About Profiles“ Seite entnimmt man den sachdienlichen Hinweis:

At a minimum, your first name, last name, and photo will be public on the Internet.

Um zu kontrollieren und einzuschränken welche informationen über mich im Netz erscheinen, muss ich bei Google zu erst ein öffentliches, für jeden sicht- und suchbares Profil anlegen. Da fallen mir spontan die gleichen Worte ein, wie einer Kollegin (in anderem Zusammenhang):

Ngggggggggggggg!!!!1!!elf!

Google-Analytics: Die Datenschutzbehörden machen Ernst und drohen mit Bußgeldern

Die FAZ berichtet vom Abbruch der monatelangen Verhandlungen zwischen Google und dem zuständigen Hamburger Datenschutzbeauftragten über einen datenschutzrechtlich konformen Einsatz von Google Analytics. Nun wurde bekannt gegeben, dass die Verhandlungen ergebnislos beendet wurden. In Konsequenz wollen die Datenschützer nun Bußgelder gegen Unternehmen prüfen, die Google Analytics einsetzen.

Zur Erinnerung. Die Obersten Datenschutzbehörden hatten auf ihrem Jahrestreffen (Düsseldorfer Kreis) im Winter 2009 beschlossen, dass die Erhebung von IP-Adressen für Webstatistik-Analyse sowie die Erstellung von Profilen mit deutschem Datenschutzrecht nicht vereinbar sei. Von diesem Beschluss ist insbesondere der weitverbreitete und kostenlose Dienst Google Analytics betroffen.

Im mai 2010 hat Google versucht den Datenschützern entgegen zu kommen und veröffentlichte (ziemlich versteckt) einen Code-Schnipsel mit dem die Google Server veranlasst werden, die IP zu anonymisieren und außerdem stellte Google für einige Browser ein PlugIn bereit, mit der jeder User der Erstellung eines Profils widersprechen könnte.

Das ganze hat allerdings zwei Haken. Einerseits findet die Anonymisierung erst durch Google nach Übermittlung der Daten an die Analytics Server in die USA statt. Wertet man die IP als personenezogenes Datum ist somit das Kind mit der Übermittlung schon in den Brunnen gefallen. Zweiter Haken ist das von Google bereitgestellte PlugIn. Dies gibt es nur für die Browser Chrome, Firefox und Internet Explorer. Nutzt der Internetnutzer einen anderen Browser kann er der Profilbildung durch Google Analytics nicht mehr wirksam widersprechen. Unzureichend, wie die Datenschützer nun klarstellen.

Es bleibt nun abzuwarten, ob die Datenschutzbehörden Ernst machen und (exemplarisch?) Nutzer von Google Analytics mit Bußgeldern sanktionieren oder ob Google doch noch einlenkt.