Wie mobilsicher.de gestern berichtete, lässt sich der Internetkonzern Google in seiner Datenschutzerklärung von Android-Nutzern das Recht einräumen, „Telefonnummer, die Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe“ zu erfassen.
Welche Daten tatsächlich erfasst und weiter geleitet werden, kann derzeit nicht festgestellt werden, da sie vor dem Versenden verschlüsselt werden. Die Redaktion von mobilsicher.de hat jedoch fest gestellt, dass in direktem zeitlichen Zusammenhang mit Anrufen Android-Geräte Kontakt zu Googles Servern aufnehmen.
Google geht nach eigener Aussage davon aus, die genannten Daten sammeln und verarbeiten zu dürfen, weil eine Einwilligung der Nutzer vorliege. Dem widerspricht der ehemalige Bundesdatenschutzbeauftragte und heutige Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz Peter Schaar im Interview mit mobilsicher.de.
mobilsicher.de: Herr Schaar, Datenschutzprinzipien sehen vor, dass Nutzer per Einwilligung entscheiden können, welche Daten private Firmen erheben und verarbeiten dürfen. Google gibt an, „Telefonnummer, die Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe“ zu erfassen und zu speichern, wenn man mit einem Android-Gerät telefoniert. Ist damit nicht alles in Ordnung?
Schaar: Nein. Unternehmen brauchen entweder eine gesetzliche Befugnis oder eine Einwilligung, wenn sie personenbezogene Daten verarbeiten wollen. Eine gesetzliche Befugnis zur umfassenden Verarbeitung der Verbindungsdaten kann ich nicht erkennen. Verwendet werden dürfen allenfalls diejenigen Angaben, die notwendig sind, um eine Verbindung herzustellen. Dazu müssen diese Daten aber nicht an einen Google-Server übertragen werden.
Und in der zitierten Erklärung sehe ich auch keine wirksame Einwilligung in eine generelle Übermittlung der Verbindungsdaten an Google. Zum einen rechnen die meisten Nutzer nicht damit, dass alle ihre Daten und die Daten Ihrer Gesprächspartner von Google verwendet werden.
Schon mangels Klarheit würde die Formulierung eine generelle Übermittlung der Daten nicht rechtfertigen. Zum anderen kann auch nicht von Freiwilligkeit ausgegangen werden, denn die Alternative wäre ja, dass man sein Telefon nicht zum Telefonieren nutzen kann, wenn man nicht einverstanden ist, dass diese Daten bei Google landen.
mobilsicher.de: Wie schätzen Sie den Passus ein, mit dem sich Google auch das Recht einräumen lässt, Nummer, Zeitpunkt und Dauer derjenigen zu speichern, die nicht selbst mit einem Android-Gerät telefonieren, sondern ein Android-Handy anrufen?
Schaar: Wenn das wirklich so gemeint ist, und es sieht danach aus, dann ist es nur ein weiterer Grund dafür, dass diese vermeintliche Einwilligung so nicht wirksam sein kann. Denn hier geht es um die Daten Dritter, also in diesem Fall der Anrufenden. Mit denen könnte man beispielsweise eine Netzwerk-Analyse vornehmen.
Aber ich kann nicht wirksam im Namen Dritter einwilligen, dass deren Daten an Google übertragen und dort gespeichert und verwendet werden – dasselbe gilt übrigens auch bei abgehenden Telefonaten für die Telefonnummern derjenigen, die ich von meinem Smartphone aus anrufe.
mobilsicher.de: Wenn aber keine wirksam Einwilligung vorliegt, was folgt daraus?
Schaar: Das kommt natürlich erstmal darauf an, welche Daten erhoben und verarbeitet werden. Wissen Sie denn, welche das sind?
mobilsicher.de: Wir konnten das bisher nicht herausfinden, weil die Daten auf dem Gerät verschlüsselt werden. Es werden Daten übertragen, aber wir wissen nicht, welche. Auf unsere Frage an Google, welche Daten tatsächlich erhoben und verarbeitet werden, haben wir keine Antwort bekommen.
Schaar: Wenn Google tatsächlich sämtliche Verkehrsdaten, die beim Telefonieren anfallen, sammeln und verwenden sollte, dann würde dies gegen die Datenschutzvorschriften verstoßen. Es könnte sogar eine Straftat vorliegen.
So muss geprüft werden, inwieweit Google an das Telekommunikationsgeheimnis gebunden ist, weil das Unternehmen durch seine Infrastruktur an der Erbringung von Telekommunikationsdienstleistungen mitwirkt.
Dann könnte die Datenverwendung abseits der gesetzlichen Zweckbestimmung ein strafbarer Verstoß gegen das Fernmeldegeheimnis sein. Zudem wäre zu klären, inwieweit eine unzulässige Datenverarbeitung mit Gewinnerzielungsabsicht hinter dem Rücken des Betroffenen vorliegt. Das wäre ein strafbarer Datenschutzverstoß.
mobilsicher.de: Was würde das alles für die Nutzer bedeuten?
Schaar: Ich sehe das Unternehmen in der Pflicht, hier rasch für vollständige Aufklärung zu sorgen. Google muss mitteilen, welche Daten für welchen Zweck aus dem Smartphone übertragen, für welchen Zeitraum und wo sie gespeichert und wie sie genutzt werden. Nur so kann das Unternehmen dem Vorwurf begegnen, erneut einen enormen Vertrauensbruch zu begehen.
Eine Salamitaktik, bei der jeweils nur das zugegeben wird, was ohnehin nicht mehr zu bestreiten ist, wie sie das Unternehmen bei der verdeckten Erfassung von WLAN-Daten bei Google Street View betrieben hat, wäre unerträglich. Der Vorwurf, der hier im Raum steht, hat eine neue, wesentlich größere Dimension, denn es geht um vertrauliche, durch das Telekommunikationsgeheimnis geschützte Informationen und nicht – wie beim WLAN-Scan – um Signale, die jeder auf der Straße aufsammeln könnte.
Wenn sich herausstellen würde, dass Google tatsächlich erfährt, wer wann mit wem telefoniert, dann hätte dies weitere Folgen. So sind Berufsgeheimnisträger – also etwa Ärzte, Mitarbeiter von Suchtberatungsstellen, Anwälte und Sozialarbeiter – zur Geheimhaltung der ihnen anvertrauten Informationen verpflichtet. Sie würden sich strafbar machen, wenn sie geschützte Angaben unbefugt Dritten offenbaren.
Geschützt ist dabei auch die Tatsache, dass jemand Mandant oder Patient ist. Wenn Google aber vom Anruf des Patienten erfahren sollte, wenn der Arzt ein Smartphone verwendet, beginge der Arzt eine unzulässige Offenbarung. Wenn sich die Vermutungen bewahrheiten sollten, dann wäre eine weitere Nutzung von Android-Smartphones durch Berufsgeheimnisträger eine Straftat. Anwälte, Ärzte, Priester und Journalisten dürften keine Android-Telefone mehr nutzen.
mobilsicher.de: Wer ist denn Ihrer Einschätzung nach jetzt gefordert? Die Aufsicht in Hamburg? Oder die Bundesdatenschutzbeauftragte, die für den Datenschutz bei Telekommunikationsdiensteistungen zuständig ist?
Schaar: Natürlich ist das ein Thema für die Datenschutzbehörden – nicht allein in Deutschland. Man muss jetzt erstmal herausfinden, welche Daten tatsächlich verarbeitet wurden und werden. Und wenn stimmt, was Sie auf Basis der vorliegenden Informationen vermuten, dann hätte das eine Dimension, die auch die EU-Kommission auf den Plan rufen muss.
Google handelt mit Android aus einer sehr starken, womöglich dominanten Marktposition heraus. Darum läuft auch schon ein Wettbewerbsverfahren der EU-Kommission gegen Google. Wenn mithilfe von Android umfassend vertrauliche Daten europäischer Bürgerinnen und Bürger gesammelt und in die USA übermittelt werden, dann verstieße dies gegen das Telekommunikationsgeheimnis und andere EU-Grundrechte.
Da hier auch die Auseinandersetzung um Safe Harbor und Privacy Shield herein spielt, also die Vereinbarungen darüber, welche Daten in die USA übermittelt und dort verarbeitet werden dürfen, muss sich die EU-Kommission so schnell wie möglich ein Bild davon verschaffen, was hier passiert. Außerdem sind die US-Behörden gefordert, insbesondere die Federal Trade Commission.