Werbung ist das Hauptgeschäftsfeld des US-amerikanischen IT-Konzerns Google, sein Anteil am weltweiten digitalen Werbemarkt liegt bei mehr als 30 Prozent. Demnach sind alle Produkte und auch die Datenschutzbedingungen darauf zugeschnitten, dieses Geschäftsmodell zu unterstützen.

Mit der Zustimmung zur Datenschutzerklärung überträgt man Google das Recht, die eigenen Inhalte zu durchsuchen, um möglichst passgenaue Werbung auszuspielen.

Ausnahme: Nach der europäischen Datenschutz-Grundverordnung ist die Verarbeitung bestimmter sensibler Personeninformationen untersagt. Dazu gehören beispielsweise Angaben zur Religion und sexueller Orientierung. Entsprechend schneidet Google personalisierte Werbung auf diese Merkmale nicht zu und gibt sie nicht an Partnerfirmen weiter.

Bei allen anderen Daten behält sich Google diese Möglichkeit vor.

Daten, die man selbst mitteilt

Jede Person, die einen Dienst von Google nutzt, muss zunächst der Datenschutzerklärung des Konzerns zustimmen. Das gilt sowohl für Nutzer*innen, die ein Google-Konto anlegen, als auch für alle, die nur einige Online-Dienste wie zum Beispiel die Suchmaschine nutzen.

Dort steht, welche Daten das Unternehmen aufgrund dieser Zustimmung legal sammeln darf. Google bemüht sich darin um Verständlichkeit. Trotzdem bleibt die Erklärung an wichtigen Stellen undurchsichtig.

Google sammelt zunächst die Daten, die jede*r selbst mitteilt. Zum Beispiel die Profilinformationen, die man in seinem Google-Konto angibt, etwa E-Mail-Adresse, Telefon- und Kreditkartennummer.

Auch alle Inhalte, die in anderen Google-Apps und Diensten eingegeben werden, landen beim Konzern: Kalendereinträge, Kontakte, Fotos, E-Mails, Notizen, Sprachbefehle, eingetippte Suchanfragen und mehr.

Einige Google-Apps lassen sich so konfigurieren, dass Inhalte lokal gespeichert werden, zum Beispiel die Fotos-App. Wer neue Dienste einrichtet, wird in der Regel aufgefordert, die Synchronisation mit Google-Servern zu erlauben oder aber sie ist bereits voreingestellt.

Daten, die Google nebenbei erfasst

Und dann sind da noch die Daten, die Google ohne Zutun seiner Nutzer*innen ausliest. Zum Beispiel wird das verwendete Gerät, sein Betriebssystem, das Modell und die Bildschirmgröße erfasst.

Das ist grundsätzlich sinnvoll, um etwa Webseiten in der richtigen Form an das verwendete Gerät auszuliefern. Google erfasst aber auch explizit die IP-Adresse, SIM-Karten-Informationen des Smartphones und eindeutige Gerätekennungen. Das kann bei Smartphones zum Beispiel die IMEI-Nummer sein, mit der sich das Gerät dauerhaft und eindeutig Identifizieren lässt.

Mit Hilfe solcher eindeutigen Kennnummern kann Google alle Daten, die von diesem Gerät vorliegen, zusammenführen.

Das Smartphone als Datenschatz

Handelsübliche Android-Geräte kommunizieren ständig mit Google. Viele Google-Dienste wie der Play-Store sind darauf schon vorinstalliert und schicken bei jeder Nutzung Informationen an Google.

Der Konzern kann erfassen, wie häufig Sie Ihr Gerät nutzen, wie der Akku-Stand ist, welche WLAN-Verbindungen es gibt und ob der Bildschirm gesperrt ist. Außerdem protokolliert er, welche Apps mit dem Play-Store geladen und wann sie genutzt wurden.

Besonders heikel ist Googles Zugriff auf die Telefon-Funktion. Eine Studie des Trinity College in Dublin stellte Anfang 2022 fest, dass Google über die vorinstallierten Telefon- und Textnachrichten-Apps  weiterhin Metadaten abgriff – obwohl ein entsprechender Passus seit 2016 nicht mehr in der Datenschutzerklärung zu finden war. mobilsicher.de hatte damals über Googles private Vorratsdatenspeicherung berichtet.

Zu den weiterhin erhobenen Daten gehören der aktuellen Studie zufolge Zeitpunkt und Dauer des Anrufs sowie die beteiligten Telefonnummern. Die Messages-App griff ebenfalls Daten ab, aus denen sich die beteiligten Telefonnummern entnehmen lassen. Da die Apps für dieses Verhalten keine Einwilligung von Nutzer*innen einholten, dürfte es sich um einen Verstoß gegen die Datenschutzgrundverordnung handeln.

Widerspruchsmöglichkeiten

Viele der gesammelten Informationen sind im Google-Konto für Nutzer*innen zugänglich. Das betrifft die Daten von allen Geräten, die mit einem Google-Konto verknüpft sind.

Diese Daten können Sie selbst einsehen und löschen. Google erklärt hier, wie das geht.

An manchen Stellen können Sie die Datenerhebung auch direkt untersagen. Dies gilt zum Beispiel für den Standortverlauf sowie für die Web- und App-Aktivitäten. Ist die Speicherung dieser Daten deaktiviert, dann werden die Informationen gar nicht erst gespeichert.

Laut Medienberichten erfasste Google den Standort in der Vergangenheit auch unabhängig von den Standortdiensten. Mehr dazu in unseren Texten Google wegen unerlaubter Standortermittlung verklagt (2018) und Google betreibt heimlich Funkzellenortung (2017).

Zweifelhafte Anonymisierung

Viele Informationen werden auch dann von Nutzer*innen erfasst, wenn sie kein Google-Konto nutzen. Wenn Sie etwa die Google-Suche oder Google Maps verwenden und nicht bei Google eingeloggt sind, werden einige Daten trotzdem verarbeitet. Dazu gehören die IP-Adresse, die Suchbegriffe, sowie Browserinformationen und Betriebssystemversion.

Zu den Löschfristen dieser Daten bleibt Google in der Datenschutzerklärung schwammig.

Es ist außerdem unklar, inwieweit diese Daten für so genanntes Fingerprinting genutzt werden. Beim Fingerprinting können Besucher*innen von Webseiten anhand verschiedener Merkmale der verwendeten Hardware, Software oder anderer Variablen identifiziert werden – weil die individuelle Kombination dieser Merkmale so eindeutig sein kann wie ein Fingerabdruck.