31. März 2011

Bisher konnte man davon ausgehen, dass Google für den misslungenen Start von Google Buzz mit einem Klaps auf die Finger davongekommen ist. Doch jetzt hat die US-Handelsaufsicht ein "Agreement" mit Google getroffen, dessen Inhalte für die Suchmaschine vielleicht folgenreicher sind als jetzt absehbar. Es ist nach Einschätzung der FTC das erste Mal, dass ein US-Unternehmen dazu verpflichtet wird, ein umfassendes Datenschutzprogramm einzuführen. Vielleicht noch viel wichtiger: Es ist das erste Mal, dass die Handelsaufsicht einem US-Unternehmen die Verletzung des mit der EU vereinbarten Safe Harbor-Abkommens vorwirft.

Schon alleine das wäre eine fette Schlagzeile wert, wenn es denn wirklich Konsequenzen nach sich zieht. Ob und in welchem Ausmaß das geschieht, bleibt abzuwarten.Google hat allerdings mit Buzz eine Steilvorlage für die angekündigten Maßnahmen geliefert.

Als das Unternehmen das neue soziale Tool Google Buzz für die Google Mail-Nutzer freigab, erhielten diese beispielsweise beim Aufruf des Freemailers die Optionen “Sweet! Check out Buzz” und “Nah, go to my inbox”. Doch selbst dann, wenn sich ein User für "Nein" entschied, wurden einige Buzz-Funktionen aktiviert. Wer sich für die Option "Sweet!" entschied, musste danach beispielsweise feststellen, dass die Mail-Kontakte zu anderen Personen zum Allgemeingut wurden.

Was in der Praxis bedeuten konnte, dass der aggressive Ex einer in Scheidung lebenden Frau gemeinsam mit ihrem neuen Lebensgefährten gemeinsam zum Follower der Ehefrau wurden. Denn beide tauschten Mails mit der Frau aus, wenn auch mit sehr unterschiedlichen Intentionen.

10 Datenbeauftragte aus aller Welt - nicht nur aus dem angeblich vom Datenschutz besessenen Deutschland - beschwerten sich bitterlich bei Google. Ihr Hauptvorwurf war, dass Google das neue Produkt mit der Absicht startete, "die Probleme erst zu lösen, wenn sie entstanden sind". Dabei beteiligt das Unternehmen nach eigenen Angaben eigene Datenschutz-Experten in allen Phasen der Produktentwicklung. Doch die Experten waren im Fall der Buzz-Entwicklung wohl alle in Urlaub oder mit ihren 20%-Projekten beschäftigt.

Google selbst, ansonsten ähnlich entschuldigungslüstern wie beispielsweise Apple oder Microsoft, musste danach Fehler eingestehen. Wenngleich diese Entschuldigung im Fall der beiden Google-Verantwortlichen Jane Horvath und Peter Fleischer nur auf wenig Einsicht schließen ließ.

In der Schlichtung der unvermeidbar folgenden Sammelklage wurde (wie üblich) jede Schuldanerkenntnis ausgeschlossen und Google kam mit der Zahlung von 8,5 Millionen Dollar davon.

Doch die Folgen der aktuellen Schlichtung könnten unterm Strich viel bedeutsamer sein, denn sie haben das Potential, sich auf die Werbegeschäfte der Suchmaschine auszuwirken. Das betrifft nicht zuletzt den Vorwurf der Behörde, Google habe es "falsch dargestellt, dass die Informationen aus der Europäischen Union in Übereinstimmung mit dem Safe Harbor Rahmenabkommen behandelt werden" ("Finally, the agency alleges that Google misrepresented that it was treating personal information from the European Union in accordance with the U.S.-EU Safe Harbor privacy framework").

Es dürfte sich bei dieser Aussage um das erste Mal handeln, dass eine US-Behörde die Nichteinhaltung dieser Selbstverpflichtung bestätigt. Dabei haben die deutschen Datenschützer schon im letzten Jahr beschlossen, dieser Selbstzertifizierung keinen Glauben mehr zu schenken und selbst auf EU-Ebene ist inzwischen offiziell angekommen, dass das Safe Harbor-Abkommen von US-Unternehmen regelmäßig verletzt wird.

Das soll sich zumindest im Fall Googles jetzt ändern, denn die FTC-Schlichtung verpflichtet Google dazu, künftig das Safe Harbor-Abkommen und damit die Mindest-Standards des europäischen Datenschutzes einzuhalten. Außerdem wird Google verpflichtet, selbst ein umfassendes Datenschutz-Programm zu entwickeln, dessen Einhaltung in den kommenden 20 Jahren alle zwei Jahre durch einen unabhängigen Auditor überprüft wird. Wobei der Schlichtungstext sich in Zusammenhang mit dem Audit nur auf Googles eigene Policy bezieht und nicht auf die Einhaltung des Safe Harbor-Abkommens.

Dennoch werden europäische Datenschützer in dem Schlichtungsabkommen noch einige erfreuliche Punkte finden. Bemerkenswert ist beispielsweise, dass die FTC sich in einem wichtigen Punkt auf die Seite der Europäer stellt: Die IP-Adresse wird neben Name, Adresse, Mail-Adresse und anderen persönlich identifizierenden Informationen ausdrücklich als Gegenstand der Vereinbarung genannt. Eine Position, die Google und inbesondere der ehemalige Microsoft-Mann Fleischer als oberster Datenschützer des Unternehmens immer eher verneint haben.

Doch es bleibt wie gesagt abzuwarten, zu welchen konkreten Auswirkungen die FTC-Schlichtung tatsächlich führt. Ignorieren kann Google die Forderungen der FTC auf keinen Fall und diese Forderungen sind in weiten Teilen klar genug, dass sie nicht fehlinterpretiert werden können. Dennoch gibt es in mancher Hinsicht Interpretations-Spielraum, denn ein Bezug auf die strengen europäischen Datenschutzbestimmungen wird gerade hinsichtlich des von Google verlangten eigenen Datenschutz-Programms vermieden.

Absehbar ist auf jeden Fall, dass Google in Zukunft mehr Wert darauf legen muss, die Zustimmung der Benutzer zur Datensammlung, Datenverarbeitung und Datenweitergabe zu erhalten. Das ist am einfachsten möglich, wenn die angemeldeten Benutzer dazu gebracht werden, eingeloggt zu bleiben. Es ist von daher vielleicht kein Zufall, dass Google schon wenige Stunden nach dem eigenen Posting zur FTC-Entscheidung ("An update on Buzz") ein neues Tool zur Personalisierung der Suchergebnisse "+1" vorstellt. Ein Tool, das nur funktionieren kann, wenn der Google-Nutzer eingeloggt ist.

Links:

• FTC Pressemitteilung 
• FTC Schlichtung 
• Google: An update on Buzz 
• Google +1