Ratgeber

Enormer Vertrauensbruch – oder sogar Straftat?

Ein Artikel von , veröffentlicht am 01.07.2016

Google speichert offenbar Telefonnummern, Dauer und Art von Anrufen und weitere Daten bei Gesprächen mit Android-Geräten. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar bezweifelt im Interview, dass das mit Grundrechten vereinbar ist und fordert die EU-Kommission auf, einzuschreiten.

This article in English

Wie mobilsicher.de gestern berichtete, lässt sich der Internetkonzern Google in seiner Datenschutzerklärung von Android-Nutzern das Recht einräumen, „Telefonnummer, die Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe“ zu erfassen.

Welche Daten tatsächlich erfasst und weiter geleitet werden, kann derzeit nicht festgestellt werden, da sie vor dem Versenden verschlüsselt werden. Die Redaktion von mobilsicher.de hat jedoch fest gestellt, dass in direktem zeitlichen Zusammenhang mit Anrufen Android-Geräte Kontakt zu Googles Servern aufnehmen.

Google geht nach eigener Aussage davon aus, die genannten Daten sammeln und verarbeiten zu dürfen, weil eine Einwilligung der Nutzer vorliege. Dem widerspricht der ehemalige Bundesdatenschutzbeauftragte und heutige Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz Peter Schaar im Interview mit mobilsicher.de.

mobilsicher.de: Herr Schaar, Datenschutzprinzipien sehen vor, dass Nutzer per Einwilligung entscheiden können, welche Daten private Firmen erheben und verarbeiten dürfen. Google gibt an, „Telefonnummer, die Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe“ zu erfassen und zu speichern, wenn man mit einem Android-Gerät telefoniert. Ist damit nicht alles in Ordnung?

Schaar: Nein. Unternehmen brauchen entweder eine gesetzliche Befugnis oder eine Einwilligung, wenn sie personenbezogene Daten verarbeiten wollen. Eine gesetzliche Befugnis zur umfassenden Verarbeitung der Verbindungsdaten kann ich nicht erkennen. Verwendet werden dürfen allenfalls diejenigen Angaben, die notwendig sind, um eine Verbindung herzustellen. Dazu müssen diese Daten aber nicht an einen Google-Server übertragen werden.

Und in der zitierten Erklärung sehe ich auch keine wirksame Einwilligung in eine generelle Übermittlung der Verbindungsdaten an Google. Zum einen rechnen die meisten Nutzer nicht damit, dass alle ihre Daten und die Daten Ihrer Gesprächspartner von Google verwendet werden.

Schon mangels Klarheit würde die Formulierung eine generelle Übermittlung der Daten nicht rechtfertigen. Zum anderen kann auch nicht von Freiwilligkeit ausgegangen werden, denn die Alternative wäre ja, dass man sein Telefon nicht zum Telefonieren nutzen kann, wenn man nicht einverstanden ist, dass diese Daten bei Google landen.

mobilsicher.de: Wie schätzen Sie den Passus ein, mit dem sich Google auch das Recht einräumen lässt, Nummer, Zeitpunkt und Dauer derjenigen zu speichern, die nicht selbst mit einem Android-Gerät telefonieren, sondern ein Android-Handy anrufen?

Schaar: Wenn das wirklich so gemeint ist, und es sieht danach aus, dann ist es nur ein weiterer Grund dafür, dass diese vermeintliche Einwilligung so nicht wirksam sein kann. Denn hier geht es um die Daten Dritter, also in diesem Fall der Anrufenden. Mit denen könnte man beispielsweise eine Netzwerk-Analyse vornehmen.

Aber ich kann nicht wirksam im Namen Dritter einwilligen, dass deren Daten an Google übertragen und dort gespeichert und verwendet werden – dasselbe gilt übrigens auch bei abgehenden Telefonaten für die Telefonnummern derjenigen, die ich von meinem Smartphone aus anrufe.

mobilsicher.de: Wenn aber keine wirksam Einwilligung vorliegt, was folgt daraus?

Schaar: Das kommt natürlich erstmal darauf an, welche Daten erhoben und verarbeitet werden. Wissen Sie denn, welche das sind?

mobilsicher.de: Wir konnten das bisher nicht herausfinden, weil die Daten auf dem Gerät verschlüsselt werden. Es werden Daten übertragen, aber wir wissen nicht, welche. Auf unsere Frage an Google, welche Daten tatsächlich erhoben und verarbeitet werden, haben wir keine Antwort bekommen.

Schaar: Wenn Google tatsächlich sämtliche Verkehrsdaten, die beim Telefonieren anfallen, sammeln und verwenden sollte, dann würde dies gegen die Datenschutzvorschriften verstoßen. Es könnte sogar eine Straftat vorliegen.

So muss geprüft werden, inwieweit Google an das Telekommunikationsgeheimnis gebunden ist, weil das Unternehmen durch seine Infrastruktur an der Erbringung von Telekommunikationsdienstleistungen mitwirkt.

Dann könnte die Datenverwendung abseits der gesetzlichen Zweckbestimmung ein strafbarer Verstoß gegen das Fernmeldegeheimnis sein. Zudem wäre zu klären, inwieweit eine unzulässige Datenverarbeitung mit Gewinnerzielungsabsicht hinter dem Rücken des Betroffenen vorliegt. Das wäre ein strafbarer Datenschutzverstoß.

mobilsicher.de: Was würde das alles für die Nutzer bedeuten?

Schaar: Ich sehe das Unternehmen in der Pflicht, hier rasch für vollständige Aufklärung zu sorgen. Google muss mitteilen, welche Daten für welchen Zweck aus dem Smartphone übertragen, für welchen Zeitraum und wo sie gespeichert und wie sie genutzt werden. Nur so kann das Unternehmen dem Vorwurf begegnen, erneut einen enormen Vertrauensbruch zu begehen.

Eine Salamitaktik, bei der jeweils nur das zugegeben wird, was ohnehin nicht mehr zu bestreiten ist, wie sie das Unternehmen bei der verdeckten Erfassung von WLAN-Daten bei Google Street View betrieben hat, wäre unerträglich. Der Vorwurf, der hier im Raum steht, hat eine neue, wesentlich größere Dimension, denn es geht um vertrauliche, durch das Telekommunikationsgeheimnis geschützte Informationen und nicht – wie beim WLAN-Scan – um Signale, die jeder auf der Straße aufsammeln könnte.

Wenn sich herausstellen würde, dass Google tatsächlich erfährt, wer wann mit wem telefoniert, dann hätte dies weitere Folgen. So sind Berufsgeheimnisträger – also etwa Ärzte, Mitarbeiter von Suchtberatungsstellen, Anwälte und Sozialarbeiter – zur Geheimhaltung der ihnen anvertrauten Informationen verpflichtet. Sie würden sich strafbar machen, wenn sie geschützte Angaben unbefugt Dritten offenbaren.

Geschützt ist dabei auch die Tatsache, dass jemand Mandant oder Patient ist. Wenn Google aber vom Anruf des Patienten erfahren sollte, wenn der Arzt ein Smartphone verwendet, beginge der Arzt eine unzulässige Offenbarung. Wenn sich die Vermutungen bewahrheiten sollten, dann wäre eine weitere Nutzung von Android-Smartphones durch Berufsgeheimnisträger eine Straftat. Anwälte, Ärzte, Priester und Journalisten dürften keine Android-Telefone mehr nutzen.

mobilsicher.de: Wer ist denn Ihrer Einschätzung nach jetzt gefordert? Die Aufsicht in Hamburg? Oder die Bundesdatenschutzbeauftragte, die für den Datenschutz bei Telekommunikationsdiensteistungen zuständig ist?

Schaar: Natürlich ist das ein Thema für die Datenschutzbehörden – nicht allein in Deutschland. Man muss jetzt erstmal herausfinden, welche Daten tatsächlich verarbeitet wurden und werden. Und wenn stimmt, was Sie auf Basis der vorliegenden Informationen vermuten, dann hätte das eine Dimension, die auch die EU-Kommission auf den Plan rufen muss.

Google handelt mit Android aus einer sehr starken, womöglich dominanten Marktposition heraus. Darum läuft auch schon ein Wettbewerbsverfahren der EU-Kommission gegen Google. Wenn mithilfe von Android umfassend vertrauliche Daten europäischer Bürgerinnen und Bürger gesammelt und in die USA übermittelt werden, dann verstieße dies gegen das Telekommunikationsgeheimnis und andere EU-Grundrechte.

Da hier auch die Auseinandersetzung um Safe Harbor und Privacy Shield herein spielt, also die Vereinbarungen darüber, welche Daten in die USA übermittelt und dort verarbeitet werden dürfen, muss sich die EU-Kommission so schnell wie möglich ein Bild davon verschaffen, was hier passiert. Außerdem sind die US-Behörden gefordert, insbesondere die Federal Trade Commission.

Der Autor

E-Mail

m.spielkamp@mobilsicher.de

PGP-Key

0xB74607E9E490C6C5

Fingerprint

BC7C 68E4 B6CE CF17 573F 2F27 B746 07E9 E490 C6C5

Matthias Spielkamp

Matthias Spielkamp ist geschäftsführender Redakteur bei mobilsicher.de. Er berichtet seit langem über Themen an der Schnittstelle von Recht und Digitalisierung und versucht seit 15 Jahren, Menschen davon zu überzeugen, ihre E-Mails zu verschlüsseln.

Weitere Artikel

Ratgeber 

Sicherheits-Desaster: Mail-Apps übertragen Passwörter

In eine Mail-App kann man seine E-Mail-Konten einbinden, in dem digitalen Briefkasten finden sich dann alle Mails auf einen Blick. Unsere Tests ergaben: Die Apps Blue Mail, TypeApp und MyMail übermitteln die Zugangsdaten für die verknüpften Konten an ihre Hersteller. Das ist so unnötig wie skandalös.

Mehr
App-Test 

Instagram im Test: Es bleibt in der Familie

Mit der App von Instagram lassen sich Bilder und Videos bearbeiten und veröffentlichen. Wie alle Facebook-Dienste sammelt auch Instagram viele Daten und gibt sie an andere Dienste von Facebook weiter. Allerdings ganz offen - wie ein Blick unter die Haube zeigt.

Mehr
YouTube-Video 

YouTube Kids: Gut, aber nicht perfekt

YouTube Kids ist eine angepasste Version der Youtube-App. Alle Inhalte werden hier gefiltert, und Eltern können Einstellungen vornehmen, beispielsweise ein Zeitlimit einrichten. Unser Fazit: Nicht perfekt, aber für Kinder besser als die normale Youtube-App.

Ansehen
YouTube-Video 

Teures Online-Abo kündigen – so geht’s

Beim Surfen mit dem Handy ein Werbefenster weggeklickt, und zack - teures Abo abgeschlossen? Wir erklären Ihnen, was Sie jetzt tun können, damit die Kosten überschaubar bleiben. Im Video empfehlen wir außerdem die Einrichtung einer "Drittanbieter-Sperre", die Sie zukünftig vor Betrüger*innen schützt.

Ansehen