Hamburger Datenschützer ermittelt zu Datenleck bei Google+

Der Hamburger Datenschutz-Beauftragte Johannes Caspar hat Ermittlungen zum jahrelangen Datenleck im Online-Netzwerk Google Plus eingeleitet. "Offenbar hat Google den Vorfall bewusst verschwiegen, damit Gras über die Sache wächst", erklärte Caspar der dpa am Dienstag. "Zentrale Frage wird sein, wann die Lücke durch Google geschlossen wurde", betonte der Datenschützer mit Blick auf die EU-Datenschutzgrundverordnung (DSGVO), die seit dem 25. Mai greift und hohe Strafen bei Verstößen vorsieht.

Habe Google den Fehler wie am Montag mitgeteilt noch im März ausgeräumt, gelte dafür das alte Recht des Bundesdatenschutzgesetzes. "Dies setzt bei der Informationspflicht hohe Hürden und greift nur für den Fall, dass besonders sensible Daten von der Lücke betroffen waren", erläuterte Caspar. Auch seine Behörde habe von dem Datenleck aus den Medien erfahren. "Letztlich erschwert die Verschleierung des Tathergangs und der zeitliche Ablauf die Möglichkeiten, Inhalt und Umfang des Verstoßes aufzuklären", kritisierte der Datenschützer.

Datenleck verschwiegen

Google hatte am Montag mitgeteilt, dass durch eine Software-Panne in dem Online-Netzwerk Basis-Profilinformationen wie Name, E-Mail-Adresse, Geschlecht oder das Alter von Nutzern jahrelang für App-Entwickler ohne Erlaubnis abrufbar waren. Der Internet-Konzern habe keine Hinweise darauf, dass die Lücke ausgenutzt wurde – habe aber auch keine Daten, um das rückwirkend zu prüfen. Die Lücke sei im März entdeckt und umgehend geschlossen worden. Zugleich entschied sich der Konzern damals, weder die potenziell Betroffenen noch die Öffentlichkeit zu informieren.

Potenziell könnten Profile von bis zu 500.000 Konten bei Google Plus betroffen sein, erklärte der Internet-Konzern unter Verweis auf eine Analyse der Daten von zwei Wochen im März. Der Konzern könne aber keine weitergehenden Angaben machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden. Bis zu 438 Apps könnten auf die Schnittstelle mit der Datenlücke zugegriffen haben, hieß es.

Vergleichbar mit Cambridge-Analytica-Skandal

Für Caspar ist die Situation vergleichbar mit dem Facebook-Datenskandal um Cambridge Analytica, "bei dem bereits für die Masse der einzelnen Fälle Verjährung eingetreten war und eine nachträgliche Ahndung nur nach dem alten Recht möglich gewesen war". Die Weitergabe der Informationen von Facebook-Nutzern an die Datenanalyse-Firma war erst mehrere Jahre später bekannt geworden, obwohl das Online-Netzwerk seit Ende 2016 davon wusste. Entsprechend stellte Caspars Behörde vergangene Woche das Bußgeldverfahren gegen Facebook ein.

Abgesehen vom potenziellen Ärger mit Datenschützer will Google sein soziales Netz sowieso einstellen: Google Plus werde derzeit von Verbrauchern kaum genutzt – und 90 Prozent der Interaktionen dauerten weniger als fünf Sekunden, führte der Konzern weiter aus. Die Einstellung der Verbraucherversion solle nach einer zehnmonatigen Übergangszeit Ende August kommenden Jahres abgeschlossen werden. Damit gesteht Google auch offiziell die bereits klare Niederlage im Wettstreit der Online-Netzwerke mit Facebook ein. Für die interne Kommunikation in Unternehmen soll Google Plus aber weiterbetrieben werden. (axk)