Internetgiganten wie Google, Facebook oder Amazon sind nicht die ersten Anlaufstellen, wenn es um Datenschutz und Privatsphäre geht. Der Facebook-Skandal rund um die Themen Mikro-Targeting und Ausspähen von Nutzerdaten sprechen hier Bände. Schlagworte wie personalisierte Werbung oder Datenlecks sind hier Probleme, die im Bereich der Internet-Giganten immer wieder auftauchen.

Die Datenschutz-Grundverordnung (kurz DSGVO) sollte hier etwas Ordnung ins Daten-Wirrwarr jenes großen unübersichtlichen Raumes bringen, der sich World Wide Web nennt. Mit dieser Verordnung will die Europäischen Union einheitliche Regeln zum Umgang mit Daten bereitstellen. Der Schutz der Individuen und ihrer Daten steht hier – zumindest theoretisch – im Mittelpunkt. Wie sich nun herausstellt, halten sich jedoch nicht alle daran.

Brave, Google und die DSGVO

Denn wie der Browser-Anbieter Brave in einem Blogpost mitteilt, sieht er beim Suchmaschinenanbieter Google Hinweise für eine Verletzung der DSVGO. Dementsprechend teilt Brave mit, dass Google sensible Daten über den Brave CPO Dr. Johnny Ryan ohne Erlaubnis verwendet habe:

Neue von Brave gesammelte Beweise geben dem irischen DPC [Regulator von Google] einen konkreten Hinweis darauf, dass Googles Ad-System personenbezogene Daten über Dr. Ryan übertragen hat, die gegen die DSGVO verstoßen. Darüber hinaus hat Brave einen scheinbaren DSGVO-Workaround aufgedeckt, der Googles eigene, öffentlich erklärte DSVGO-Datenschutzbestimmungen umgeht.

Wie Brave weiter berichtet, hat das Unternehmen offenbar Beweise an die Irische Datenüberwachungsbehörde weitergeleitet, dass Google die sensiblen Daten an eine „unbekannte Anzahl an Unternehmen“ weitergegeben habe:

Man kann nicht wissen, was diese Unternehmen dann damit gemacht haben, weil Google die Kontrolle über die Daten verliert, sobald sie sie gesendet haben. Ihre Richtlinien sind kein Schutz,

so Ryan weiter.

Wie Google offenbar die DSGVO umgeht

Wie Brave mitteilt, nutzt Google sein Werbenetzwerk „DoubleClick/Authorized Buyers“, um die DSGVO zu umgehen. Ein System, das auf 8,4 Millionen Webseiten aktiv ist. Während Google vorgebe, Unternehmen daran zu hindern, sensible Daten mit echten Identitäten zu verknüpfen, so der Vorwurf, geschehe ebendies auf mehreren Ebenen:

[…] Braves neue Beweise zeigen, dass Google nicht nur einer zusätzlichen Partei, sondern vielen erlaubt hat, mit Google [Identitäten abzugleichen].

Über so genannte Push Pages soll es Google ferner Unternehmen ermöglichen, „Identifikatoren“ über Personen zu laden, sobald sie eine Webseite laden. Jene Identifikatoren ordnen den IP-Adressen letztlich Identitäten zu.

Push Pages und die DSGVO

Wie Brave weiter berichtet, gibt es für jeden Menschen eine solche Push Page:

Jede Push-Seite ist durch einen Code von fast zweitausend Zeichen gekennzeichnet, den Google am Ende hinzufügt, um die Person, über die Google Informationen weitergibt, eindeutig zu identifizieren. Dies, in Kombination mit anderen von Google bereitgestellten Cookies, ermöglicht es Unternehmen, die Person pseudonym zu identifizieren, wenn dies sonst nicht möglich wäre.

Google stelle Unternehmen diese Daten wiederum zur Verfügung, was ihnen erlaube, die Daten untereinander zu sammeln und zu tauschen. Push Pages, so die Schlussfolgerung von Brave, dienen letztlich dazu, die DSVGO zu umgehen.

Das ermöglicht wiederum unkontrollierten Daten-Handel zwischen Unternehmen:

Trügerischer und unkontrollierter Profilabgleich ist der Widerspruch zu den Grundsätzen der Fairness und Transparenz des Datenschutzes. Leider hat die Gesetzlosigkeit im Herzen von AdTech eine Kultur der Datenverwertung über den Datenschutz hinaus hervorgebracht,

so Ravi Naik, Datenschutzbeauftragter bei Brave.

Welche Daten gibt Google weiter?

Das betreffende Real Time Bidding ad System (RTB), zieht Webseiten-Besucher im wahrsten Sinne des Wortes aus. So Brave weiter:

Jedes Mal, wenn eine Person eine Website besucht, die RTB verwendet, werden Daten über sie an Dutzende oder Hunderte von Tracking-Firmen übertragen, die Anzeigenkunden um die Möglichkeit konkurrieren lassen, ihnen Werbung zu zeigen. Die Daten können die Kategorie dessen beinhalten, was sie lesen – was ihre sexuelle Orientierung, politische Ansichten, ihre Religion, und Gesundheitszustände einschließlich AIDS, Geschlechtskrankheiten, und Depressionen enthüllen kann. [Die Daten] beinhalten, was die Person liest, beobachtet und hört. Dazu gehört auch ihr Standort. Und sie beinhalten einzigartige, pseudonyme ID-Codes, die spezifisch für diese Person sind […].

Unternehmen erhalten dadurch die Möglichkeit, passgenaue Kundenprofile zu erstellen und mit diesen zu handeln. Das „passiert hundert Milliarden Male am Tag.“ Sobald die Daten weitergegeben werden, so schließt der Bericht, verliere Google jegliche Kontrolle darüber.

Googles Datenhandel im Überblick

Diese Fakten präsentiert Brave im weiteren:

  • Google DoubleClick/Authorized Buyers ist auf über 8,4 Millionen Webseiten installiert
  • Es überträgt persönliche Daten über Nutzer an über 2.000 Unternehmen, hundert Milliarden Male am Tag
  • Die Daten können den Standort, religiöse, sexuelle, politische Charakteristika sowie was sie lesen, sehen und hören, umfassen
  • Es gibt keine Kontrolle darüber, was mit den Daten passiert, sobald sie weitergegeben werden
  • Es handelt sich dabei um die größte Weitergabe an Daten, die jemals erfasst wurde
  • Googles einziges Mittel zum Schutz von RTB-Daten nach der Übertragung ist eine schwache Richtlinie, die die Tausenden von Unternehmen, mit denen sie Daten austauschen, auffordert, sich selbst zu regulieren.

Google Statement zu DSVGO-Vorwürfen

Auf eine Anfrage von BTC-ECHO gab Google an, keine Kundendaten ohne deren Einwilligung weiterzugeben:

Wir liefern keine personalisierten Anzeigen und senden keine Gebotsanfragen an Bieter ohne die Zustimmung der Nutzer. Die irische Datenschutzkommission (DPC) – als verantwortliche Datenschutzbehörde von Google  – und das britische Information Commissioner’s Office (ICO) prüfen bereits Real Time Bidding, um die Einhaltung der DSGVO zu überprüfen. Wir begrüßen diese Überprüfung und arbeiten uneingeschränkt zusammen.

Ein Statement der Deutschen Vereinigung für Datenschutz steht indes aus.

 
Source: BTC-ECHO

Der Beitrag Google: Schwere Vorwürfe zu Datenschutz-Verstößen erschien zuerst auf BTC-ECHO.