Nach Sicherheitsleck: Google zieht bei Google Plus den Stecker
Google Plus wird für Privatanwender nach einer Datenpanne abgeschaltet. Die Nutzer erfuhren nichts von dem Leck. Das ruft Hamburgs Datenschutzbeauftragten auf den Plan.
Im Konkurrenzkampf der Social Networks gibt sich Google geschlagen. Die Plattform Google Plus wird für Privatanwender geschlossen, von August 2019 an steht sie nur noch für die interne Kommunikation in Unternehmen zur Verfügung, wie Google am Montag mitteilte. Gegenüber anderen sozialen Netzwerken wie Facebook und Twitter war Google Plus weit abgeschlagen. Doch dies war nicht der Hauptgrund, warum die Entscheidung jetzt getroffen wurde. Google berichtete zugleich von einer weitreichenden Sicherheitslücke bei Google Plus, über die App-Entwickler über Jahre in unzulässiger Weise auf Nutzerdaten zugreifen konnten. Die zögerliche Informationspolitik hat in Deutschland inzwischen den für Google zuständigen Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Johannes Caspar, auf den Plan gerufen.
Für einen konkreten Datenmissbrauch gibt es Google zufolge keinen Hinweis, auszuschließen sei dies jedoch nicht. Nicht bekannt sei zudem, wie viele Nutzer von der Lücke betroffen waren, potentiell könne es sich um bis zu 500 000 Profile handeln, erklärte der Internetkonzern. Bei diesen Daten handelte es sich nach Unternehmensangaben um die E-Mail-Adresse der Nutzer, deren Geschlecht, Alter und Beschäftigung. Da jedoch Passwörter offenbar nicht zu den Daten gehörten, die von den Entwicklern abgerufen werden konnten, hält sich der unmittelbare Schaden für die Nutzer in Grenzen. Für den Zugang zu Google Plus werden die gleichen Anmeldedaten verwendet wie für alle übrigen Google-Dienste, einschließlich dem mobilen Betriebssystem Android, das den Smartphone-Markt mit über 85 Prozent dominiert. Anders als bei anderen Sicherheitslecks ist es somit nicht nötig, die Zugangsdaten zu ändern.
Datenpanne seit März bekannt
Entdeckt hat Google das Sicherheitsleck im März, es sei umgehend beseitigt worden. Das „Wall Street Journal“ berichtete indes, dass die Lücke bereits 2015 bestand. Der Wirtschaftszeitung zufolge hat sich das Google-Management im Frühjahr gegen die sofortige Information der Nutzer entschieden, um nicht in den Sog des Cambridge-Analytica-Datenskandals bei Facebook zu geraten. Facebook-Chef Mark Zuckerberg hatte zu den Vorgängen im US-Kongress und im EU-Parlament Rede und Antwort stehen müssen. Die Offenlegung zu diesem Zeitpunkt hätte das „sofortige Interesse der Regulierer“ nach sich gezogen, hatte man bei Google befürchtet. Google-CEO Sundar Pichai sei informiert gewesen.
„Offenbar hat Google den Vorfall bewusst verschwiegen, damit Gras über die Sache wächst. Zentrale Frage wird sein, wann die Lücke durch Google geschlossen wurde“, kommentierte der für Google zuständige Datenschutzbeauftragte von Hamburg, Johannes Caspar, den Vorgang. Google habe über den Datenschutzverstoß offenbar weder die Aufsichtsbehörden noch die Betroffenen benachrichtigt. „Eine Untersuchung hierüber durch unsere Aufsichtsbehörde wurde eingeleitet“, teilte Caspar dem Tagesspiegel mit.
Kompliziert wird die Beurteilung des Vorgangs durch die seit Mai gültige EU-Datenschutzgrundverordnung. „Bei Verstößen, die vor dem Inkrafttreten der DSGVO liegen, gilt das sogenannte Rückwirkungsverbot. Hier müssen die Behörden das Recht zur Tatzeit anwenden, was für die Unternehmen natürlich sehr willkommen ist“, erläutert Caspar. Das alte Bundesdatenschutzgesetz sah bei Verstößen Strafen bis zu 300 000 Euro vor, jetzt können sie bis zu vier Prozent des Jahresumsatzes ausmachen. „Hatte Google den Fehler bereits im März 2018 nach dessen Entdeckung ausgeräumt, so ist noch das alte Recht des Bundesdatenschutzgesetzes einschlägig.
"Verschleierung des Tathergangs"
Letztlich erschwert die Verschleierung des Tathergangs und der zeitliche Ablauf die Möglichkeiten, Inhalt und Umfang des Verstoßes aufzuklären“, erklärt der Hamburger Datenschützer. „Die Situation ist hier durchaus vergleichbar mit dem Fall von Facebook und Cambridge Analytica, bei dem bereits für die Masse der einzelnen Fälle Verjährung eingetreten war und eine nachträgliche Ahndung nur nach dem alten Recht möglich gewesen war.“
Als eine weitere Reaktion auf das Datenleck schränkt Google die Zugriffsmöglichkeiten von App-Entwicklern auf Nutzerdaten beim Smartphone-Betriebssystem Android ein. Dazu gehören Anruflisten, SMS-Daten sowie der Zugang zu Googles Gmail-Dienst. Die Nutzer von Android-Geräten sollen künftig noch weitreichender darüber bestimmen können, welche Daten sie teilen wollen.
Mit den Google-Plus-Daten umziehen
Bis zur Abschaltung von Google Plus für Privatanwender will Google die Nutzer mit Informationen versorgen, ob und wie sie mit ihren Daten zu anderen Diensten umziehen könnten. Das Herunterladen der Inhalte ist jetzt schon über Googles Datenexport-Funktion möglich, wenn man sich mit dem Konto der entsprechenden Google-Plus-Seite angemeldet hat. Gesichert werden können Daten aus verschiedenen Bereichen wie Kreisen, Communities oder Stream, die jeweils separat heruntergeladen werden müssen.