Google+: Datenschützer werden wegen verschwiegener Lücke hellhörig


Vor zwei Tagen gab Google bekannt, dass Google+ eingestellt wird. Geschuldet sei dies nicht nur den wenigen Nutzern, sondern vor allem auch einer Sicherheitslücke. Diese hatte Google lange Zeit verschwiegen, seit März um genau zu sein. Zu lange? Könnte sein, denn laut Bloomberg wird dieser Vorfall nun von Datenschutzbehörden untersucht. Betroffen sollen laut Google bis zu 500.000 Accounts sein, allerdings liegen Google keine Hinweise vor, dass die Lücke auch ausgenutzt wurde.

Für Vera Jourova (Kommissarin für Justiz, Grundrechte und Bürgerschaft der EU) ist dieser Vorfall nur ein weiterer Beweis dafür, dass die EU wieder mit Datenschutzregeln vorangehen muss. Sie ist der Ansicht, dass einige der großen Tech-Unternehmen kein faires Spiel spielen. Für mich nicht nachvollziehbar – anders wäre das, wenn Google die Lücke entdeckt und dann bewusst offen gelassen hätte.

Auch sind die Daten, die durch den Fehler einsehbar waren, nicht unbedingt allzu sensibel. Name, E-Mail-Adresse, Alter und Beruf wären maximal auslesbar gewesen, auch wenn die Einstellungen dies eigentlich nicht zulassen sollten. Finde ich persönlich nicht allzu schlimm, aber da tickt jeder anders. Und natürlich darf so etwas nicht passieren.

Passiert aber. Wo gearbeitet wird, da passieren Fehler. Dass nun aber gleich wieder nach Strafen Ausschau gehalten wird? Schlimme Sache. Man muss das mal aus einer anderen Sicht betrachten. Bei allen neuen Dingen passieren Fehler. Facebook, Google, Yahoo, alle hatten sie ihre großen Datenskandale und sie werden sie auch in Zukunft haben. So ist das, wenn man neue Dinge probiert, in ständiger Veränderung lebt. Das erste Flugzeug war auch keine Boeing 747.

Wenn es dann noch so glimpflich ausgeht, wie im Fall des Google+-Bugs, warum sollte man da direkt bestrafen? Sollte man als Nutzer nicht vielmehr mit der Sicht an die Sache gehen, dass eben alles, was man irgendwo angibt, auch der Gefahr ausgesetzt ist, entdeckt oder gestohlen zu werden? Das soll freilich nicht heißen, dass man hier schützend die Hand über Google halten sollte.

Aber vielleicht wieder einmal ein bisschen Menschenverstand walten lassen. Eine Absicht ist hier nicht zu erkennen, ein Schaden entstand offenbar auch nicht. Dasselbe gilt für Facebook. Klar machen die großen Netzwerke Fehler und natürlich verdienen die großen Unternehmen Geld mit unseren Daten.

Zumal eine etwaige Strafe dem betroffenen Nutzer, dem eigentlichen Opfer, nichts bringt. Es macht weder den Datenverlust rückgängig, noch wird dadurch ein künftiger Fehler verhindert. Da der Vorfall aber noch vor Inkrafttreten der DSGVO geschehen ist, wird es wohl auch so aussehen, dass etwaige Strafen gar nicht so hoch ausfallen werden, falls denn überhaupt welche kommen.

Wie seht Ihr das denn? Die Unternehmen generell bestrafen, sobald irgendwelche Daten abhanden kommen? Wo zieht man die Grenze bei einem ausgeklügelten Datendiebstahl? Liegt die Schuld dann immer noch beim Unternehmen? Sollte auch die Qualität der Daten (Lieblingshaustier vs. Bankverbindung) bei solchen Regeln bedacht werden? Oder sind Daten einfach Daten und alle gleich zu behandeln?

Ich finde das generell ein sehr spannendes Thema, auch wenn ich mit meiner Meinung, die eher Richtung „so ist das halt“ tendiert, wieder auf viel Gegenwind treffen werde.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

35 Kommentare

  1. Strafen sind hier richtig und wichtig. Diese Unternehmen arbeiten mit den Daten ihrer Nutzer – verkaufen diese sogar (ob nun direkt oder indirekt – an Werbetreibende). Nach Deinem Beispiel: „Flugzeuge stürzen ab, ist halt so.“ – Eine Strafe bringt dem Nutzer sehr viel, dass sehr viel sorgsamer mit den Daten und etwaigen Lücken umgegangen wird. Sorry, aber Deine „Laissé faire“ und „ist doch egal“ Einstellung kann ich absolut nicht teilen.

    • Sascha Ostermaier says:

      Es ist keine „ist doch egal“-Einstellung. Es ist nur eine realistische Betrachtung der Entwicklung. Und klar stürzen Flugzeuge ab, ist halt so, weil auch da passieren Fehler. Sei es technisch oder menschlich. Und keiner muss meine Meinung teilen, dazu sind Meinungen nämlich da, jeder darf seine eigene haben.

      • Warum so angefasst, Sascha? Du fragtest explizit nach Lesermeinungen und bekamst hier eine, die eben nicht deine ist. Das musst du dann auch aushalten, oder sogar vielleicht mal den eigenen Standpunkt hinterfragen.

        • Sascha Ostermaier says:

          Ich bin nur auf die falsche Auslegung „meiner Meinung“ eingegangen. Und natürlich frage ich nach Meinungen, weil nur so kann man seinen eigenen Horizont erweitern.

      • Jeder hat das Recht seine Meinung frei zu äußern. Jedenfalls in DE. Ich habe Deine zur Kenntnis genommen, mit dem Kopf geschüttelt und meine kundgetan. Das Leben ist nicht schwarz und weiß, das ist mit klar. Aber es gibt Themen, die muss man hinterfragen. Und Deine Einstellung ist in der Tat eine „Egal“ Einstellung, da du nichts in Frage stellst, sondern versuchst nicht nur neutral zu sein, sondern Dich hinzulegen, während die Welt um Dich weiterläuft. Wenn das für Dich der richtige Weg ist, ist es doch erstrebenswert. Für Dich.

        • Sascha Ostermaier says:

          Und das ist eben nicht richtig, Du unterstellst mir quasi eine andere Meinung als ich sie im Artikel vertreten habe. Es ist mir nicht egal. Aber Bestrafung sehe ich als einen falschen, da nicht zielführenden Weg.

  2. Zum Glück kommt es nicht auf Deine oder irgendeine subjektive Meinung an, welche Daten sensibel sind. Es ist ziemlich klar gesetzlich geregelt, dass personenbezogene Daten sensibel sind und sie besonderen Schutzbedarf genießen.

  3. Peter Brülls says:

    Entschuldigung, aber was ist das für eine apologetische scheisse? „Wo gearbeitet wird, passieren Fehler“. Soweit stimmt es noch. Nur: Die Geschichte zeigt, dass Fehlerquellen nicht behoben werden, wenn keine Konsequenzen, vulgo Strafen, drohen.

    DDT sorgte für das Aussterben von Greifvögeln und Fledermäusen. Hat die Hersteller und Verwender nicht interessiert. Das Zeug wird übrigens immer noch da verkauft, wo es nicht bestraft wird.

    Contergan? Genau die gleiche Sache. In den USA von der Behörde einkassiert, hier wurde es munter weitverkauft. Entschädigungen? Wieso denn, war ja alles rechtens, da nicht mit Strafe bedroht.

    Und wenn ich unter den Firmen meine klare Favoriten haben: Apple, Google, Facebook, etc sind allesamt keinen Schlag besser.

    • Sascha Ostermaier says:

      Mal anders herangegangen. Warum schreit ein Datenschützer nach Strafen, anstatt zusammen mit den betroffenen Unternehmen Lösungen zu erarbeiten? Gilt auch für deine genannten Beispiele. Warum wird bestraft anstatt eine Alternative gesucht? Scheint ja auch nicht wirklich zu funktionieren, wenn nicht alle an einem Strang ziehen.

      • Zwar weiß ich nicht, wonach Frau Jourová (sie ist übrigens Kommissarin für Justiz, Verbraucher und Gleichstellung) im konkreten Fall „schreit“, da leider keine Quelle angegeben ist. Aber sicherlich fragt sich so mancher, ob Google diese Panne jemals zugegeben hätte, wenn nicht das Wall Street Journal zuvor auf sie hingewiesen hätte. Das WSJ vermutet ja, dass Google vermeiden wollte, im „Kontext“ von Cambridge Analytica schlecht da zu stehen, und deshalb lieber geschwiegen hat …

  4. Firmen müssen DATENVERLUSTE melden, also wenn bewiesen oder der Verdacht besteht das dritte Daten sich angeeignet haben. Hier bestand NUR eine Lücke, für deren Ausnutzung es noch keinen Anhaltspunkt gibt. Lücken haben viele Systeme, jederzeit und werden jederzeit auch mal behoben. Sollte Microsoft für jede Lücke die sie im Service-Pack beheben einen Datenverlust melden? Potentiell hätte die Lücke genutzt werden können…. die Frage ist aber OB.

    • Das ist natürlich falsch. Sie müssen melden wenn es ein Datenschutzproblem gibt und zwar innerhalb 72 Stunden. Ob das schon ausgenutzt wird ist unwichtig, zumal die das nicht wissen können.

      Google hat nur 2 Wochen Logs und wissen nicht mal wieviele Nutzer wirklich betroffen sind, Angeblich aber nur maximal 50.000. Das dürfte reine Fantasie sein, hört sich aber irgendwie niedrig an und das macht sich gut.

      Genau wegen solchen Fällen, wo Unternehmen einfach behaupten es wäre nicht nichts passiert oder nicht so schlimm, gibt es genaue Massnahmen in der DSGVO. Das ist offensichtlich auch notwendig.

      Bisher hatten nur kleine Shopbetreiber Ärger, ich hoffe das die EU das Google und FB nicht durchgehen lässt.

  5. ein-nun-exleser says:

    Wow! Arbeitest du für Google? Haben sie dir Geld für diesen Artikel gegeben?
    Ich bin hier weg und hoffe sehr das es andere ebenso machen. „Passiert halt“

  6. In Zeiten, in denen die Verbraucher deutlich sensibler reagieren auf das, was mit ihren Daten geschieht, werden die Anbieter schon im eigenen Interesse darauf achten, dass es möglichst nicht zu solchen Pannen kommt. Aber Fehler können nun mal immer und überall passieren. Und auch die, die dann gleich lauthals nach Strafen schreien, haben sicher schon Fehler gemacht, sehr wahrscheinlich auch welche mit deutlich schwerwiegenderen Folgen. Hier hat es jedenfalls nach jetzigem Stand keinen Missbrauch und entsprechend auch keinen Nachteil für die Betroffenen gegeben. Aber gut, für Datenschützer ist sowas natürlich immer eine gute Gelegenheit, sich zu profilieren.

    • Welche Folgen meinst Du genau? Dass personenbezogene Daten von Privatleuten frei im Netz aufspürbar sind? Sagen wir so: nein. Ich finde es erschreckend, dass „Datenschützer“ für Dich „ein Klotz am Bein“ darstellen, während Unternehmen wie Google/Apple/Facebook und Co. offenbar Leuchttürme bei nächtlicher See. Das ist schon fast erschreckend. Ich finde „die Guten“ gibt es hier nicht (weder die Anwender, noch die Unternehmen), aber Erstere gilt es trotzdem zu schützen!

      Aber überlassen wir das doch den Unternehmen und sehen dann wohin es geht.

      • Ich denke nicht, dass es keinen Datenschutz geben sollte. Aber dieses Gefühl vom „Klotz am Bein“ kommt auch auf, weil der Datenschutz, wie wir ihn heute haben, die tägliche Arbeit einfach sehr schwer macht, Kapazitäten bindet und damit letztlich auch viel Zeit und Geld kostet. Und das betrifft ja nicht nur Google, Facebook u.ä., sondern auch viele andere (Klein-) Unternehmen. Datenschutz finde ich durchaus richtig und wichtig, aber wie es aktuell läuft, nämlich dass der Verbraucher alles darf, die Unternehmen dagegen im Grunde gar nichts, ist m.E. einfach unausgewogen und überreguliert.

        • Sagen wir so: in meinem Unternehmen hatte ich die dankbare Aufgabe mich um die sachgemäße Umsetzung der DSGVO (oder GDPR) in meinen Zuständigkeitsbereichen zu kümmern, zu dokumentieren & Verbesserungen am Workflow zu finden, die damit in Einklang zu bringen sind. Diese Aufgabe hat mich und andere fast ein Jahr beschäftigt (ich will gar nicht wissen, wie das bei SAP & Co. ausgesehen haben muss) und gebe Dir Recht: es ist anstrengend. Aber Wichtig.

          Ich bin nicht bereit mein digitales Leben mit allen zu teilen – aber genau da geht es eben ohne Regulierung und entsprechende Strafen – oder besser: Konsequenzen – hin. Und das Schlimme ist doch, dass es jeder sieht, aber keinen interessiert.

          Kein Problem, wenn jemand (wie meine Freundin) sich dafür entscheidet, dass es ihr egal ist und überall auf „LIKE“, „+1“ Buttons klickt und fleißig Payback Punkte sammelt – sich dann aber wundert (besser: aufregt), warum magischerweise überall personenbezogene Werbung aufpoppt. Und wir sprechen hier nur von Daten, die jemand freiwillig (!) zur Verfügung stellt.

          Reden wir nun von Datenlecks (oder vermeintlichen, wie diesem hier), dann bin ich auf einmal ungewollt auch im Fokus. Vielleicht eben nicht nur der Werbeindustrie. Aber es hat ja keiner etwas zu verbergen. Sorry, mich regt sowas maßlos auf. Vor allem die Ignoranz andere mit nach unten zu ziehen.

  7. „War ja keine Absicht“ ist ja großartig, das muss ich mir merken. Verbraucherschutz? Schnickschnack, wer braucht sowas denn schon. Im Ernst: schon mal was von fahrlässigem Verschulden gehört? Dein Rechtsverständnis ist schon eine Sache für sich.

  8. Das schöne an der Sache ist ja, dass Google behauptet aus „Datenschutzgründen“ die Logs zur betroffenen API jeweils nur zwei Wochen lang vorgehalten zu haben.
    Das bedeutet, sie KÖNNEN gar nicht sicher sagen ob es jemals zu Missbrauch und Datenabfluss kam.
    Quelle: https://blog.google/technology/safety-security/project-strobe/
    Also ja, Google bitte mal ordentlich eins auf den Deckel geben.

  9. Ja ich denke durch meine E-Mail-Adresse, Alter und Beruf kennt mich jetzt jemand in und auswendig *rolleyes*

    Also ganz ehrlich, wenn mal „richtige“ und verwertbare Daten entwendet werden, dann kann ich die Aufregung vielleicht verstehen aber so…*kopfschüttel*

    Außerdem sollte man vielleicht mal erwähnen, dass so gut wie niemand da draußen auf Daten von Einzelpersonen aus ist, es geht um Daten die man mit anderen Daten verknüpfen kann, um dann vielleicht irgendwelche Rückschlüsse ziehen kann. Bei den oben genannten Daten reicht es vielleicht gerade mal so, dass man demnächst ne Mail von nem reichen Saudi bekommt, der nur mal kurz was überweisen will.

    In diesem Sinne tief durchatmen und einfach auf das nächste (richtige) Leck warten^^

    • Dir ist schon klar, dass es heutzutage sehr feine Heuristiken gibt, die Daten aus mehreren Töpfen schnell zusammenfassen können, um daraus ein ganzheitliches Bild zu erzeugen?

  10. Das ist in der DSGVO klar geregelt, Google hätte das Problem innerhalb 72 Stunden melden müssen. Das haben sie natürlich nicht getan. Ob jemand die Lücke ausgenutzt hat ist unerheblich.

    >> Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde … Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen … <<

    Die ganzen Datenkraken FB, Google, etc sind ja der eigentliche Grund für die DSGVO. Insofern ist zu hoffen das es da auch Konsequenzen wie Strafen geben wird. Die ignorieren das neue Gesetz bisher in weiten Teilen komplett.

    • >> Im Falle einer _Verletzung_ des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde … ……..<<

      Verletzt wurden Daten nur, wenn sie 3. unerlaubterweise zugänglich waren, nicht weil die Chance bestand das…. und die Lücke wurde ja nach bekannt werden sofort geschlossen. Dazu kommt das selbst das Risiko eines UNBEMERKTEN Zugriffs extrem unwahrscheinlich war: https://www.theverge.com/2018/10/9/17957312/google-plus-vulnerability-privacy-breach-law

      • Es geht um die Verletzung des Schutzes, nicht um Verletzung der Daten – es ist unerheblich ob diese dritten zugänglich waren. Die bloße Möglichkeit dazu reicht aus, die Strafe hier zwingend wichtig.

        • Es geht darum wann es bekannt gemacht wird – nicht ob sie ausgenutzt wurden. Der bloße Bestand einer Lücke ist doch gar nicht das Thema.
          Hier reden echt einige völlig am Thema vorbei – auch Sascha, im Artikel und in den Kommentaren…

          • Die meisten haben sich wohl auch nicht wirklich mit dem Thema beschätigt und schwafeln lieber rum statr sich zu informieren.

            Der Fall ist durch die DSGVO klar geregelt und Google hätte das melden müssen.

  11. Kann deine Meinung absolut nicht teilen. Du verachtest meiner Meinung sogar mit deinem Artikel die Personen, denen der Schutz ihrer Daten wichtig ist. Zu sagen „da tickt jeder anders“ klingt sehr abwertend.
    Das Daten an 3rd Parties weitergeben werden, dass ist ganz klar in den Nutzungsbedingungen bzw. AGB hinterlegt. Hier ist aber der Unterschied! Weitergeben und Entnehmen! Eine Weitergabe ist nachvollziehbar, andrängst und wurde durch den „Datensatz“ genehmigt. Ein Diebstall von Daten wird wohl kaum in den AGB etc. erwähnt.

    Es handelt sich ja nur um Daten die einen Nutzer eindeutig identifizieren… Pille palle….

    Bekomm echt das würgen bei so einer billigen Meinung.

  12. Dann ach alle Blitzer und Alkoholkonzrollen abschaffen, denn solange es glimpflich abläuft, muß ja niemand bestamraft werdrn.

  13. API-Logs werden aus „Privatsphäregründen“ nur zwei Wochen aufgehoben. Musste lachen. Die ganze Liste mit abgreifbaren Infos ist hier: https://developers.google.com/+/web/api/rest/latest/people

    Warum werden Datenschützer hier aktiv wenn die „Lücke“ bei bekanntwerden geschlossen wurde? Warum nicht schon als Google die eigenen Daten mit denen von Mastercard verknüpft hat, weil Nutzerdaten mit Werbetreibenden geteilt werden, Aktivitäten in einem Chrome Incognito-Fenster trotzdem geloggt werden wenn man in einem Google-Account eingeloggt ist, usw? Also wenn man offensichtlich Absicht unterstellen kann (wie Sascha schon schreibt)…

  14. Sascha, ich glaube Du hast einen ganz entscheidenden Punkt bei der Sache nicht richtig verstanden, es geht nicht darum, *dass* es eine Sicherheitslücke gab, es geht darum, *wie* Alphabet/Google nach der Entdeckung der Lücke damit umgegangen ist.

    Dein „Wo gearbeitet wird, passieren Fehler“ und erst Recht Dein „Eine Absicht ist hier nicht zu erkennen“ greifen hier überhaupt nicht. Die Lücke mit potenziellem Verlust persönlicher Daten einfach unter den Teppich zu kehren, war eine ganz bewusste und absichtliche Entscheidung von Google und gehört IMHO als solche selbstverständlich untersucht und ggf. sanktioniert.

  15. RegularReader says:

    Strafen sind wichtig, damit sich das entsprechende Unternehmen dazu veranlasst fühlt, bessere Sicherungsmaßnahmen durchzuführen, damit sich das ganze nicht wiederholt.
    Unternehmen arbeiten in unserem System rein kapitalistisch. Warum sollte ein Unternehmen übermäßig große Anstrengungen in dem Bereich vornehmen (= Kosten), wenn ein Fehler kaum Konsequenzen hat? Je größer die Auswirkung auf den nächsten Geschäftsbericht ist, desto intensiver wird man diese Lücke für die Zukunft schließen.
    Klingt traurig, ist aber Realität.

    • Dem würde ich zustimmen, wenn das Thema nachlässig behandelt oder gar vorsätzlich nicht behandelt wird. Aber gerade Unternehmen wie Google, die einen großen Teil ihres Umsatzes mit der Bereitstellung von Diensten für Businesskunden generieren, werden, wie oben schon gesagt, schon von sich aus darauf bedacht sein, dass solche Dinge nicht passieren.
      Ein weiteres Problem ist m.E. die Frage, wo die Grenze zu ziehen ist, wann eine Strafe fällig wird oder vielleicht auch nicht. Was sind denn „bessere Sicherungsmaßnahmen“? Selbst die besten Sicherheitskonzepte schützen nicht zu 100%, und tatsächlich jede Datenpanne, die sich nun mal auch bei größter Sorgfalt nicht gänzlich vermeiden lässt, zu sanktionieren, geht weit über das hinaus, was sinnvoll ist.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.