Google muss 392 Millionen Dollar für die Irreführung von Nutzer:innen über Geotracking zahlen

Google hat sich bereit erklärt, eine Rekordsumme von 392 Millionen Dollar zu zahlen, um einen Rechtsstreit über den Schutz der Privatsphäre — einen der größten seiner Art — beizulegen. Die Klage wurde von den Generalstaatsanwälten von 40 US-Bundesstaaten eingereicht, die Google beschuldigten, die Menschen über die Standortverfolgung in die Irre zu führen. In der Klage wird behauptet, dass Google „von mindestens 2014 bis mindestens 2019 wesentliche Informationen zu den Einstellungen für das Standortprotokoll und die Web- und App-Aktivitäten falsch dargestellt und ausgelassen hat“. Diese „falschen Darstellungen und Auslassungen“ ließen die Nutzer glauben, dass Google nach der Deaktivierung des Standortprotokolls ihren Aufenthaltsort nicht mehr verfolgte und die gesammelten Informationen für personalisierte Werbung nicht nutzte. Die Untersuchung hat gezeigt, dass dies weit von der Wahrheit entfernt ist.

Die Illusion der Kontrolle

Unabhängig davon, ob Nutzer:innen ihr Standortverlauf ein- oder ausgeschaltet hatten, konnte Google ihren Standort über die Einstellung Web & App Activity verfolgen, die standardmäßig aktiviert ist. Google hat bis mindestens Mitte 2018 nicht offengelegt, dass es Web & App Activity verwendet, um Standortdaten zu sammeln.

„Google kann die Standortdaten sammeln, speichern und verwenden, wenn Nutzer:innen bestimmte Google-Produkte wie den Google Play Store, Musik, Suche und Karten nutzen.“

Ads Personalization ist eine weitere Einstellung, die von vornherein als irreführend gekennzeichnet ist. Die Einstellung impliziert, dass Nutzer:innen sich gegen personalisierte Werbung entscheiden und die Verwendung ihrer Standortdaten durch Google „kontrollieren“ können. In Wirklichkeit verhindert das Deaktivieren der Einstellung Ads Personalization nicht, dass Google Standortdaten für personalisierte Werbung verwendet, wie die Untersuchung ergab. Selbst wenn die Einstellung deaktiviert ist, zeigt Google weiterhin Anzeigen, die auf dem Standort des Nutzers basieren — sowohl auf Google-Produkten als auch außerhalb davon.

Und wenn ein/e Nutzer/in beschließt, sich vom Google-Konto für Datenschutz-Zwecke abzumelden, wird er/sie eine weitere Überraschung erleben. Den Anwälten zufolge erhebt und speichert Google die gleiche Art von Standortinformationen von abgemeldeten Nutzer:innen von Google-Produkten wie von registrierten Nutzer:innen. Der einzige Unterschied besteht darin, dass Google den Nutzer:innen, die sich aus dem Konto abgemeldet haben, „eindeutige pseudonyme Kennungen“ zuweist. Erst im Mai 2018 gab Google bekannt, dass es die Standortinformationen von abgemeldeten Nutzer:innen speichern kann.

Foto: Henry Perks/Unsplash

Doch auch wenn Google seine Datenschutzbestimmungen seitdem überarbeitet hat, sind sie immer noch so kompliziert, dass Nutzer:innen über die Methoden des Geotrackings im Unklaren gelassen werden, so die Anwälte.
„Selbst heute“ erklärt Google nicht, dass es „auch die Standortinformationen von Nutzern speichert und verwendet, die nicht in einem Google-Konto angemeldet sind, wenn sie Google-Produkte verwenden“, schreiben sie.

Diese Konfliktlösung kommt nicht einem Schuldeingeständnis gleich. Sie kommt dem jedoch so nahe wie möglich. Als Teil der Vereinbarung hat Google zugestimmt, den Nutzern mehr Informationen zu zeigen, wenn sie die Standort-Einstellungen ein- und ausschalten, und sie mit Details über die Arten von Standortdaten zu versorgen, die es über sie sammelt.

Die Geldbuße brach auch den Rekord für den höchsten Betrag, den Google jemals in einem Datenschutzvergleich gezahlt hat. Der bisherige Rekord wurde 2019 aufgestellt, als Google von der US-Bundeskommission eine Geldstrafe in Höhe von 170 Mio. USD für das Tracking von Kindern auf YouTube erhielt.

Was hat Google dazu zu sagen?

Wie so oft bei großen Technologieunternehmen, die bei Verstößen gegen Datenschutzgesetze ertappt werden, stellte Google seine jüngsten und laufenden Praktiken als ein Relikt der Vergangenheit dar. Und versprach (natürlich), sich zu bessern.

In einem Blog-Beitrag vom 14. November erklärte Google, dass es bereits viele Tools eingeführt hat, die seine Fähigkeit zur Datensammlung „minimieren“. Einige dieser Tools ermöglichen es den Nutzer:innen, ein Zeitlimit festzulegen, wie lange ihre Daten von Google gespeichert werden, den Inkognito-Modus in Google Maps zu verwenden und ihre Daten in Maps und in der Suche zu löschen, ohne die Apps zu verlassen.

„Im Einklang mit diesen Verbesserungen haben wir eine Untersuchung mit 40 Generalstaatsanwälten von US-Bundesstaaten beigelegt, die auf veralteten Produktrichtlinien beruhte, die wir vor Jahren geändert haben“, erklärte das Unternehmen.

Google versprach außerdem, die Löschung von Standortdaten zu erleichtern, und kündigte an, seine Methoden zur Standortverfolgung bei der Einrichtung von Google-Konten zu erläutern.

Bei der Vorstellung der neuen Funktionen rückte Google die Standortverfolgung in ein positives Licht. So versprach es zum Beispiel, „Nutzern, die neue Konten einrichten, eine genauere Erklärung darüber zu geben, was Web- und App-Aktivitäten sind, welche Informationen sie enthalten und wie sie ihr Google-Erlebnis verbessern.“ Während der Vorteil für den/die Nutzer/in aus einem Schwarm personalisierter Anzeigen, die vom Meistbietenden bezahlt werden, fraglich ist, profitiert Google selbst stark von der Standortverfolgung. Über 80% seiner Einnahmen stammen aus der digitalen Werbung. Und, wie es in der Klage heißt, „Googles Fähigkeit, die physischen Standorte der Nutzer:innen zu verfolgen, nachdem sie auf digitale Anzeigen geklickt haben, ist sein Alleinstellungsmerkmal.“

Auf den ersten Blick macht es keinen Sinn, dass Google freiwillig seinen Wettbewerbsvorteil aufgibt, d.h. die eigene Standortdatenerfassung einstellt oder stark einschränkt. Dennoch betont Google seinen angeblichen Respekt für die Privatsphäre und verspricht, in dieser Hinsicht mehr zu tun. Die Einigung ist nur „ein weiterer Schritt auf dem Weg, mehr sinnvolle Wahlmöglichkeiten zu bieten und die Datenerfassung zu minimieren, während hilfreichere Dienste angeboten werden“, so Google. Die verwendeten Formulierungen sind eher unscheinbar und lassen Google viel Spielraum. Aber heißt das, dass wir nicht an die guten Absichten des Unternehmens glauben sollten? Haben Tech-Giganten ihre Versprechen immer eingehalten, oder etwa nicht?

Versprechen gemacht, Versprechen nicht gehalten

Google, Meta und andere Big Tech-Unternehmen haben eine schlechte Bilanz, wenn es darum geht, Versprechen zum Schutz der Daten von Menschen einzuhalten. Es ist schwer, den Überblick über all die Fälle zu behalten, in denen große Unternehmen beschuldigt wurden, gegen ein Datenschutzgesetz verstoßen zu haben. Manchmal sagten sie, was falsch gelaufen war (oder vielmehr, was jemand an ihrer Politik falsch verstanden hatte). Manchmal machten sie zusätzliche Versprechen, die sie später brachen. Ihre Verstöße gegen den Datenschutz haben längst ihren Schockwert verloren; heute wären wir eher schockiert, wenn sie nicht mehr vorkämen.

Google

Im Juni 2016 brach Google sein Versprechen, persönlich identifizierbare Informationen (PII), die es von Google Mail und anderen Diensten sammelt, getrennt von den Browsing-Daten zu halten. Das Unternehmen löschte buchstäblich eine Zeile in seinen Datenschutzrichtlinien, die versprach, dass sich die beiden Datenpools nicht vermischen würden. Alte Nutzer:innen wurden mit einer vagen Aufforderung „einige neue Funktionen für Ihr Google-Konto“ aufgefordert, während neue Nutzer:innen standardmäßig angemeldet wurden. Ein Unternehmenssprecher erklärte, Google passe sich lediglich der Smartphone-Revolution an und die Änderung sei „zu 100 % freiwillig“. „Wir haben die Nutzer:innen in leicht verständlicher Sprache über diese Änderung informiert und einfache Tools bereitgestellt, mit denen die Nutzer:innen ihre Daten kontrollieren oder löschen können“, so Google damals. Kehren wir zum 2022 zurück — diese „einfachen Tools“ sind noch nicht vollständig umgesetzt.

Was die Löschung der Daten angeht, so ist bekannt, dass Google seine Versprechen zur Löschung der Daten nicht immer eingehalten hat. In einem Schreiben an die britische Aufsichtsbehörde aus dem Jahr 2012 räumte Google ein, dass es zwei Jahre nach dem Versprechen noch nicht alle personenbezogenen Daten gelöscht hatte, die im Rahmen seines Street-View-Programms gesammelt worden waren. Zu den Daten gehörten Passwörter, rechtliche und medizinische Informationen aus ungesicherten WLAN-Netzwerken, die eigentlich gar nicht erfasst werden sollten. Damals erklärte Google, es habe sich um einen „Fehler“ gehandelt, und entschuldigte sich.

Im Januar 2019 verhängte die französische Aufsichtsbehörde eine Geldstrafe in Höhe von 50 Millionen Euro gegen Google, weil es für die Nutzer:innen schwierig war, herauszufinden, was das Unternehmen mit ihren persönlichen Daten macht, z. B. welche Daten zur Personalisierung von Werbung verwendet werden. Die Aufsichtsbehörde stellte außerdem fest, dass Google es versäumt hatte, die ausdrückliche Zustimmung der Nutzer:innen zum Ad Targeting einzuholen.

Google erklärte: „Die Menschen erwarten von uns einen hohen Standard an Transparenz und Kontrolle. Wir sind fest entschlossen, diese Erwartungen und die Zustimmungsanforderungen der Datenschutz-Grundverordnung zu erfüllen.“

Im Januar 2022 wurde Google (zusammen mit Facebook) von der französischen Aufsichtsbehörde mit einer weiteren Geldstrafe in Höhe von 150 Millionen Euro belegt, weil sie es den Nutzer:innen schwer machen, die als Cookies bekannten Online-Tracker abzulehnen.

Wie schon beim letzten Mal war die Antwort von Google genauso blass: „Die Menschen vertrauen darauf, dass wir ihr Recht auf Privatsphäre respektieren und für ihre Sicherheit sorgen. Wir sind uns unserer Verantwortung bewusst, dieses Vertrauen zu schützen, und verpflichten uns zu weiteren Änderungen und einer aktiven Zusammenarbeit mit der CNIL im Lichte dieser Entscheidung.“

Diese Aussagen klingen wie etwas, das eine künstliche Intelligenz schreiben könnte, wenn sie aufgefordert wird, einen grammatikalisch korrekten, aber nichtssagenden Wortsalat einer Entschuldigung zu produzieren. An diesem Punkt klingt die Rhetorik des Unternehmens immer mehr wie eine kaputte Schallplatte. Und trotz seines angeblichen Respekts für die Privatsphäre, den es jetzt angeblich wiederentdeckt hat, gibt es wenig Vertrauen, dass Google eine Kehrtwende im Umgang mit Nutzerdaten vollzieht, es sei denn, es ändert sein Umsatzmodell. Es scheint unwahrscheinlich, dass irgendjemand von Google noch „hohe Transparenzstandards“ oder „Respekt für die Privatsphäre“ erwartet. Aber wir würden uns freuen, wenn wir uns irren.

Google ist keineswegs der einzige Tech-Gigant, der sich lahmer Entschuldigungen für seine Datenschutzverstöße und Versprechungen schuldig gemacht hat.

Facebook & Instagram

Im Jahr 2018 gab Facebook zu, dass die Politikberatungsfirma Cambridge Analytica die Daten von bis zu 87 Millionen Nutzern über eine Quiz-App eines Drittanbieters abgegriffen hatte. Der Skandal versetzte dem Ruf von Facebook einen schweren Schlag und veranlasste das Unternehmen, die Datenmenge, die es mit Drittanbieter-Apps teilt, zu begrenzen. In den Tagen nach Bekanntwerden des Skandals versprach Facebook-CEO Mark Zuckerberg, die Nutzerdaten künftig zu schützen.

„Wir haben eine grundlegende Verantwortung, die Daten der Menschen zu schützen, und wenn wir das nicht können, dann verdienen wir es nicht, die Möglichkeit zu haben, den Menschen zu dienen“, Zuckerberg sagte.

Zuckerberg schwört jedoch offenbar auf ein Konzept des Datenschutzes, das sich deutlich von dem unterscheidet, was normale Menschen normalerweise mit Datenschutz in Verbindung bringen. Facebook (jetzt Meta) war in unzählige datenschutzbezogene Kontroversen verwickelt, nachdem es eine 5 Milliarden Dollar Strafe im Zusammenhang mit dem Cambridge Analytica-Fiasko gezahlt hatte.

Im Jahr nach dem Cambridge Analytica-Debakel wurden die Telefonnummern von etwa 419 Millionen Facebook-Nutzer:innen in einer offenen Online-Datenbank veröffentlicht. Mit Hilfe der Datenbank konnte jeder eine Telefonnummer mit der eindeutigen Facebook-ID eines Nutzers verknüpfen. Einige der Einträge enthielten auch Namen und Länder. Facebook erklärte, der Datensatz sei „alt“ und wurde zusammengetragen, bevor das Unternehmen es unmöglich machte, eine Person auf Facebook über ihre Telefonnummer zu finden. Ein Unternehmenssprecher behauptete auch, dass die Hälfte der Telefonnummern Duplikate seien.

Anfang dieses Jahres wurde Instagram beschuldigt, rechtswidrig „Millionen biometrischer Identifikatoren“ durch bestimmte Arten von Filtern ohne Zustimmung der Nutzer zu speichern. Meta wies die Anschuldigung zurück, machte die Filter aber in Texas, wo die Klage eingereicht wurde, nicht verfügbar. Vor einem Jahr kündigte Facebook an, dass es sein Gesichtserkennungsprogramm einstellen und „mehr als eine Milliarde individueller Gesichtserkennungsvorlagen“ aufgrund wachsender Datenschutzbedenken löschen würde.

Im September wurde Meta (zusammen mit Google) von der südkoreanischen Aufsichtsbehörde zu einer Geldstrafe von 22 Millionen Dollar verurteilt. Die Aufsichtsbehörde warf dem Unternehmen vor, Nutzer:innen außerhalb seiner eigenen Plattformen, d. h. Facebook und Instagram, ohne Zustimmung zu verfolgen. Die gesammelten Daten wurden dann für gezielte Werbung verwendet. Meta erklärte, es sei „zuversichtlich“, dass es auf „rechtskonforme Weise“ arbeite, und drohte, das Urteil vor Gericht anzufechten.

Kürzlich wurde Meta beschuldigt, Apples Datenschutzbestimmungen zu umgehen, die es den Nutzern ermöglichen, das Tracking durch Dritte unter iOS zu unterbinden. Meta wehrte sich gegen diese Anschuldigung: „Diese Anschuldigungen sind unbegründet und wir werden uns energisch verteidigen“, sagte ein Unternehmenssprecher. Apples Politik, bekannt als App Tracking Transparency (ATT), wird Meta voraussichtlich südlich von 10 Milliarden Dollar kosten. Die Funktion schränkt Metas Möglichkeiten ein, persönliche Daten zu sammeln und darauf basierende personalisierte Werbung zu verkaufen. Wie Google ist auch Meta vollständig von Werbeeinnahmen abhängig, so dass es nur logisch ist, dass das Unternehmen nach Umgehungsmöglichkeiten sucht.

Foto: Niv Singer/Unsplash

Meta mag bestreiten, dass es die Menschen vor den Profit stellt, aber seine Taten sprechen weiterhin lauter als Worte. Letztes Jahr wurde aufgedeckt, dass Facebook Werbetreibenden erlaubte, Kinder im Alter von 13 Jahren mit Werbung für Rauchen, Glücksspiel und extremes Abnehmen anzusprechen. Das Unternehmen hat diese Praxis erst mehrere Monate nach dem ersten Bericht eingestellt.

Die Liste ist bei weitem nicht erschöpfend, aber sie zeigt, dass Meta beim Schutz der Daten und der Privatsphäre der Menschen weiterhin versagt. In Zuckerbergs eigenen Worten: Wenn Meta dazu nicht in der Lage ist, dann verdient es nicht zu existieren. Wir würden jedoch nicht erwarten, dass der CEO von Meta dieses Versprechen (oder überhaupt ein Versprechen) einhält.

Wenn Geld das Wort führt

Man sollte meinen, dass die Unternehmen keine Ausreden mehr haben, warum sie weiterhin die Privatsphäre der Nutzer verletzen. Technologieunternehmen, deren wichtigstes Produkt der Benutzer ist, zeigen ein Interesse am Schutz der Privatsphäre — von sanften Entschuldigungen und dem Versprechen „nie wieder“ bis hin zu kategorischen Absagen. In der heutigen, zunehmend datenschutzbewussten Gesellschaft können es sich diese Unternehmen nicht leisten, sich offen gegen den Trend zu stellen. Aber ihr gesamtes Modell basiert auf der Verwertung von Nutzerdaten, und es gibt keine Anzeichen dafür, dass sich dies jemals ändern wird.

Es spielt keine Rolle, wie viele herzliche oder lauwarme Versprechen, Entschuldigungen und klug formulierte Erklärungen ihre PR-Abteilungen abgeben. Die Realität ist, dass es nicht in ihrem Interesse liegt, die Sammlung Ihrer persönlichen Daten zu stoppen. Solange die Aufsichtsbehörden nicht anfangen, den Schutz der Privatsphäre ernsthaft durchzusetzen, wird Big Tech wahrscheinlich keinen Finger rühren.

Es mag so aussehen, als gäbe es keine Alternative zu einem auf digitaler Werbung basierenden Einnahmemodell und folglich auch keine Alternative zum Verwenden von Nutzerdaten für Profit. Im Jahr 2018 sagte die damalige Chief Operating Officer von Facebook, Sheryl Sandberg, dass es keinen Opt-out-Button für alles auf der Website geben würde, weil in diesem Fall Facebook ein „bezahltes Produkt“ wäre. Doch während einige Plattformen sich scheuen, ihren Ansatz zu ändern, gehen andere zum Freemium-Modell über. Twitter, das inzwischen zugegebenermaßen ein Chaos ist, hat sich zum Ziel gesetzt, sein kostenpflichtiges Twitter Blue-Abonnement zu erweitern. Und diese Versuche, neue Funktionen in Twitter Blue einzuführen, könnten Twitter auf lange Sicht gut tun.

Das heiße neue soziale Mediennetzwerk BeReal, das seine Nutzer:innen dazu auffordert, ihre unretuschierten — „echten“ — Fotos zu posten, erwägt Berichten zufolge auch die Einführung kostenpflichtiger Funktionen. Die große Frage ist, ob die Nutzer:innen bereit sein werden, ein Produkt mit ihrem eigenen, hart verdienten Geld zu unterstützen, aber hier beginnt der eigentliche Wettbewerb, das Streben nach Innovation und Mehrwert.