In den vergangenen Jahren hat Google versucht, sich als Verfechter des Datenschutzes zu positionieren. Im Zentrum dieser Bemühungen steht die Google Privacy Sandbox, die als datenschutzfreundliche Alternative zum Cross-Site Tracking beworben wird (obwohl dieses Ziel nicht erreicht wird, wie wir erklärt haben).

Mit dem zunehmenden Bewusstsein für Datenschutzfragen — eine kürzlich durchgeführte Studie deutet darauf hin, dass fast 90% der Amerikaner:innen sich mehr um ihre Privatsphäre und die Sicherheit ihrer Daten sorgen als um den Zustand der US-Wirtschaft — sehen sich Big Tech-Unternehmen einem wachsenden Druck von Verbrauchern und Regulierungsbehörden ausgesetzt, Maßnahmen zu ergreifen. Doch über Datenschutz zu sprechen ist eine Sache, ihn tatsächlich zu leben eine andere. Das jüngste Datenleck, das sechs Jahre lang unbekannte Datenschutzverstöße bei Google aufgedeckt hat, die zwischen 2013 und 2018 intern von Google-Mitarbeitenden gemeldet wurden, wirft einen Schatten auf diese Bemühungen.

Adressen, Autokennzeichen und Sprachdaten

Das Leck wurde von 404 Media gemeldet, die von einem anonymen Informanten einen Datensatz erhalten hatten, der Dutzende von Datenschutzvorfällen entweder bei Google selbst oder bei Drittanbietern enthielt. Dem Bericht zufolge enthält die Datenbank „Tausende von Berichten“, die von Google-Mitarbeitenden eingereicht wurden und die nach Angaben von Google alle bearbeitet und gelöst wurden.

Im Folgenden sind einige der von Google-Mitarbeitenden berichteten Vorfälle aufgeführt, die wir besonders beunruhigend fanden.

In einem Fall zeichnete der Google-Sprachdienst versehentlich eine Stunde lang Sprachdaten auf, wodurch „schätzungsweise 1.000 Sprachäußerungen von Kindern“ gesammelt wurden.

In einem anderen Fall fotografierte und transkribierte Google Street View Autokennzeichen (die eigentlich automatisch zensiert werden sollten) und speicherte diese sensiblen Informationen. Es ist wichtig zu betonen, dass viele von uns Google nie die Erlaubnis gegeben haben, unsere Häuser und Fahrzeuge zu fotografieren. Tatsächlich gibt es zahlreiche Beschwerden in den Google Community-Foren, in denen Menschen ihre Besorgnis darüber zum Ausdruck bringen, dass StreetView-Fahrzeuge unerlaubt Privatgrundstücke betreten und 360-Grad-Fotos von Unternehmen und Häusern machen.

Kund:innen, die in Googles Premium-Produkte investieren, die mit dem Versprechen von mehr Datenschutz und Sicherheit verkauft werden, sollten sich nach der folgenden Geschichte vielleicht noch einmal überlegen, ob sie ihre Daten dem großen G anvertrauen. Laut dem Bericht wurde ein Google Cloud-Kunde, der das auf Behörden ausgerichtete Produkt zum Schutz sensibler Daten nutzte, versehentlich auf einen Dienst auf Verbraucherebene umgestellt. Durch diese Umstellung verlor der betroffene Kunde den garantierten US-Datenstandort. Während dies für einen normalen Nutzer nicht von großer Bedeutung sein mag, ist die Gewissheit, dass seine Daten in den USA verbleiben und nicht über den Ozean transferiert werden, für Behörden in der Regel sehr wichtig.

In einem weiteren Fall, bei dem Google ebenfalls eine geschädigte Partei war, wurden die E-Mail-Adressen von mehr als einer Million Nutzer:innen von Socratic.org, einem Unternehmen für Bildungstechnologie, das im März 2018 von Google übernommen wurde, veröffentlicht. Diese Informationen wurden direkt im Code der Website gefunden. Darüber hinaus gab es Befürchtungen, dass die Geolokalisierungsdaten und IP-Adressen dieser Nutzer:innen, darunter auch Kinder, ebenfalls kompromittiert worden sein könnten. Google kümmerte sich nach der Übernahme des Unternehmens um das Leck, aber die Daten waren bereits ein Jahr vor der Übernahme veröffentlicht worden, was den Verdacht aufkommen ließ, dass sie möglicherweise bereits abgegriffen worden waren.

Unlöschbarer YouTube-Verlauf und für alle sichtbaren Google Doc-Links

Die letzten drei Vorfälle, die wir hervorheben möchten, betreffen Dienste, die so gut wie alle täglich nutzen.

In dem vielleicht beunruhigendsten Fall wurden Videos, die mit den Datenschutzeinstellungen „nicht gelistet“ oder „privat“ auf YouTube hochgeladen wurden, für einen „kurzen“ Zeitraum öffentlich angezeigt. Dies ist ein potenzieller Albtraum für Einzelpersonen und Organisationen, die sensible Informationen oder Unternehmensinhalte auf YouTube teilen (wovon wir übrigens dringend abraten).

In einem weiteren Vorfall, von dem möglicherweise viele Personen betroffen waren, soll Google die Zugriffskontrollen für Google Drive und Google Docs falsch gehandhabt und versehentlich der Öffentlichkeit Zugriff auf Dateien gewährt haben, die nur für Personen mit einem gemeinsamen Link bestimmt waren. Dem Bericht zufolge behandelte Google die Zugriffskontrollen für „Jeder mit dem Link“ als „Öffentlich“, was bedeutet, dass die Dateien auch ohne direkten Link gefunden werden konnten, z. B. über eine Websuche. Die Wahrscheinlichkeit, dass jemand zufällig nach einem Google-Doc-Leck sucht, ist zwar gering, aber es wurde dennoch eine Schwachstelle für das potenzielle Durchsickern sensibler Informationen geschaffen.

Der dritte Fall, der zwar nicht direkt mit dem Datenschutz zusammenhängt, aber dennoch Googles laxe Durchsetzung seiner eigenen Regeln veranschaulicht, betrifft die Tatsache, dass YouTube offenbar seine eigenen Richtlinien ignorierte, indem es weiterhin Videos empfahl, die aus dem Beobachtungsverlauf entfernt worden waren. In den aktuellen Richtlinien von YouTube heißt es: „Wenn du Empfehlungen zu einem Thema siehst, das dich nicht interessiert, kann es helfen, ein zuvor angesehenes Video zu diesem Thema zu entfernen. Dadurch erhältst du in Zukunft vielleicht weniger ähnliche Empfehlungen.“ „Weniger“ klingt nicht nach einer unumstößlichen Garantie, aber es weckt einige Erwartungen.

Die Kontrolle über Ihre Daten übernehmen

Die jüngste Enthüllung von Datenschutzverletzungen bei Google ist nur ein Beispiel für die fortwährenden Herausforderungen beim Schutz personenbezogener Daten im Internet. Dies ist bei weitem nicht das erste und wahrscheinlich auch nicht das letzte Mal, dass Googles schlechte Datenschutzbilanz offengelegt wird.

Es ist viel darüber geschrieben worden, wie man sich selbst de-googeln kann, und einige von Ihnen haben möglicherweise bereits versucht, dies zu tun, da Sie die Risiken erkannt haben, die mit der Weitergabe so vieler Daten an ein einziges Unternehmen verbunden sind. Wenn Sie zu den Nutzer:innen gehören, die sich für private Optionen entschieden haben, begrüßen wir Ihre Bemühungen und Ihre Entschlossenheit. Für die meisten von uns ist es jedoch eine entmutigende Aufgabe, sich vollständig vom Google-Ökosystem zu lösen, und nicht unbedingt das, was wir brauchen oder wollen.

Stattdessen empfehlen wir einen pragmatischen Ansatz, bei dem Sie weniger Informationen preisgeben und die von Google zur Verfügung gestellten Tools nutzen, um Ihren Online-Fußabdruck zu verwalten. Die Überprüfung Ihrer persönlichen Daten im Internet durch z. B. „Results about you“ und das Ergreifen von Maßnahmen zu deren Entfernung und Minimierung kann dazu beitragen, das Risiko zu verringern, dass Ihre persönlichen Daten in unserer zunehmend datengesteuerten Welt nach außen dringen und missbraucht werden.