Hamburgs Datenschützer Caspar ermittelt gegen Google

Hamburgs Datenschutzbeauftragter Johannes Caspar © dpa | Maja Hitij

New York/Hamburg. Der US-Internetkonzern verschwieg monatelang ein Leck im Netzwerk Plus. Nun drohen hohe Geldstrafen.

Im Online-Netzwerk Google Plus gab es jahrelang ein Datenleck: App-Entwickler konnten seit 2015 ohne Erlaubnis auf private Nutzerdaten zugreifen. Der Internet-Riese entdeckte und schloss die Lücke zwar im März dieses Jahres – verschwieg das aber zunächst. Nun wird das Netzwerk für Verbraucher geschlossen. Zudem werden die Möglichkeiten von App-Entwicklern eingeschränkt, auf Nutzerdaten auf Smartphones mit dem Google-System Android zuzugreifen. Google Plus war 2011 als Konkurrenz zu Facebook gestartet, hatte sich aber nie durchsetzen können.

Durch die Software-Panne hätten App-Entwickler auf den Namen, die E-Mail-Adresse sowie Informationen über Beschäftigung, Geschlecht und Alter von Nutzern zugreifen können, räumte Google ein. Um andere Daten gehe es nicht. Zugleich kann Google den Kreis der betroffenen Nutzer nicht genau eingrenzen. Das Unternehmen hat zwar keine Hinweise auf einen Datenmissbrauch, aber auch nicht genug Informationen aus der Vergangenheit, um ihn auszuschließen. Der Konzern hatte sich im März dagegen entschieden, die Öffentlichkeit umgehend über die Entdeckung zu informieren.

Es könnten Profile von bis zu 500.000 Konten bei Google Plus betroffen sein

Der Hamburger Datenschutz-Beauftragte Johannes Caspar leitete deswegen Ermittlungen ein. „Offenbar hat Google den Vorfall bewusst verschwiegen, damit Gras über die Sache wächst“, sagte Caspar am Dienstag. „Zentrale Frage wird sein, wann die Lücke durch Google geschlossen wurde.“

Denn die EU-Datenschutzgrundverordnung (DSGVO), die strikt vorschreibt, Betroffene zu informieren, und mit Strafen von bis zu vier Prozent des Jahresumsatzes droht, greift erst seit Ende Mai. Wenn Google allerdings die Lücke tatsächlich noch im März schloss, gilt dafür noch das alte Recht des Bundesdatenschutzgesetzes. „Dies setzt bei der Informationspflicht hohe Hürden und greift nur für den Fall, dass besonders sensible Daten von der Lücke betroffen waren“, sagte Caspar.

Potenziell könnten Profile von bis zu 500.000 Konten bei Google Plus betroffen sein, erklärte der Internet-Konzern unter Verweis auf eine Analyse von Daten aus dem März. Google Plus werde derzeit von Verbrauchern kaum genutzt. Die Einstellung der Verbraucherversion solle Ende August 2019 abgeschlossen werden. Damit gesteht Google nun auch offiziell seine Niederlage im Wettstreit der Online-Netzwerke mit Facebook ein.

Dem „Wall Street Journal“ zufolge wiesen Googles Juristen das Top-Management nach Entdeckung der Schwachstelle darauf hin, dass eine Offenlegung vermutlich „sofortiges Interesse von Regulierern“ und Vergleiche mit dem Facebook-Datenskandal um Cambridge Analytica auslösen würde. Ein internes Gremium habe entschieden, nicht an die Öffentlichkeit zu gehen, Google-Chef Sundar Pichai sei informiert gewesen. Ein Google-Sprecher sagte der Zeitung, ausschlaggebend bei solchen Entscheidungen sei, ob es Hinweise auf Missbrauch gebe und ob man betroffene Nutzer identifizieren könne.

Schnittstellen für App-Entwickler hatten auch eine zentrale Rolle im Facebook-Datenskandal um Cambridge Analytica im März dieses Jahres gespielt. Das Netzwerk erlaubte es Entwicklern zeitweise, auch auf Daten von Freunden eines Nutzers zuzugreifen.