XI. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2011- 31.03.2013

Im Januar 2012 gab Google bekannt, seine bisherigen über 70 Datenschutzerklärungen zu den einzelnen Google-Diensten in einer einzigen für alle Dienste geltenden Datenschutzerklärung zusammenfassen zu wollen. Seit dem 1. März 2012 gelten für Google-Nutzer die neuen Datenschutzbestimmungen, d. h. jeder, der einen Account bei Gmail, Google Docs, Google+, Picasa, Youtube oder einem der vielen anderen Dienste hat, ist von der Änderung betroffen. Alle Accounts eines Nutzers werden in einem zentralen Google-Account unter einem Namen und einem Profil zusammengefasst.

In den Nutzerprofilen sammelt Google Daten aus verschiedenen Quellen. Einerseits geben Nutzer bei der Erstellung eines Accounts oft persönliche Daten wie Name, Adresse oder Kreditkartennummer an. Andererseits werden aber auch Daten gesammelt, die bei der Nutzung der Google-Dienste anfallen. Welche konkreten Nutzungsdaten zu welchem Zweck erfasst werden, sollte in den neuen Bestimmungen zum Datenschutz eindeutig festgelegt sein. Das ist jedoch nicht der Fall. Die Formulierungen sind stattdessen sehr vage und beinhalten Begriffe wie „beispielsweise“, „gegebenenfalls“ und „möglicherweise“, sodass der Nutzer auch nach dem Lesen der Datenschutzerklärung nicht genau weiß, welche seiner Daten für welche Zwecke und wie lange gespeichert werden.

Die französische Datenschutzbehörde CNIL hat seit Anfang Februar 2012 im Auftrag der Artikel-29-Gruppe der Europäischen Datenschutzbehörden untersucht, inwieweit die neue Datenschutzerklärung von Google den Anforderungen des europäischen Datenschutzrechts genügt. Die Untersuchung der CNIL kam zu dem Ergebnis, dass die Datenschutzerklärung gegen die Verpflichtung des Unternehmens zu umfassender Transparenz bezüglich des Umgangs mit personenbezogenen Nutzerdaten verstoße. Zudem ist die pauschale Ermächtigung zur Erstellung umfassender diensteübergreifender Nutzerprofile und die fehlende Festlegung der Speicherdauer nicht mit den Anforderungen der EU-Datenschutzrichtlinie 95/46/EG vereinbar.

Die Bitte der CNIL, das Inkrafttreten der Datenschutzerklärung auszusetzen, wurde abgelehnt. Daraufhin forderte die CNIL Google Mitte März 2012 zu einer Stellungnahme bezüglich der Konformität der Datenschutzerklärung mit den Vorgaben der Europäischen Datenschutzrichtlinie auf. Die insgesamt 69 Fragen wurden jedoch nach Ansicht der Artikel-29-Gruppe nur unzureichend beantwortet.

Aufgrund der fehlenden Bereitschaft Googles, Maßnahmen zur Behebung der bestehenden Verstöße zu ergreifen, hat der Hamburgische Datenschutzbeauftragte Anfang Juli 2013 ein offizielles Verfahren gegen Google eingeleitet. Dieses ist Teil einer durch die CNIL koordinierten Aktion, an der Datenschutzbehörden mehrerer EU-Länder beteiligt sind. Ziel des Verfahrens ist die datenschutzkonforme Ausgestaltung der derzeitigen Verarbeitungspraxis bei Google.

In einem anderen Verfahren gegen Google hat der Bundesgerichtshof am 14. Mai 2013 entschieden, dass Nutzer die Löschung automatischer Suchvorschläge verlangen können, wenn sie ihre Persönlichkeitsrechte verletzt sehen (NJW 2013, 2348). Bei der automatischen Vervollständigung von Suchanfragen (Autocomplete-Funktion) werden die Begriffe ergänzt, die zuvor von anderen Nutzern im Zusammenhang mit dem gesuchten Begriff eingegeben wurden. Das birgt jedoch auch die Gefahr von Manipulationen, da so ganz bewusst positive wie negative Begriffe mit einem Suchwort verknüpft werden können.