Die Bürgerrechtsorganisation Privacy International hat eine Rangliste der größten und wichtigsten Web-Unternehmen und dessen Datenschutz-Praktitken erstellt. Dabei geht es darum wieviele Daten von den Usern gesammelt, verarbeitet und eventuell weiter genutzt werden. Dass Google dabei nicht gut abschneidet kann man sich sicherlich denken, aber dass es gleich den letzten Platz belegt gibt dann doch ein wenig zu denken…
Erst einmal die Punkte die Privacy International an Google kritisiert:
» Google sammelt und speichert haufenweise IP-Adressen, ist aber nicht der Meinung dass daraus ein User-Profil erstellt oder Informationen gesammelt werden können.
» Lückenhafte, ungenaue und beinahe nutzlose Datenschutzbestimmungen. In den Bestimmungen wird kaum erwähnt welche Daten genau gesammelt, gespeichert und später verarbeitet werden.
» Google kümmert sich nicht um die Datenschutz-Sorgen seiner User. Um bestimmten Content von Googles Servern entfernen zu lassen der die eigenen Persönlichkeitsrechte verletzt dauert es viel zu lange. Außerdem werden neue Angebote ohne Vorankündigung veröffentlicht die wieder einmal die Privatsphäre verletzen könnten (z.B. Street View)
» Durch die DoubleClick-Übernahme kann Google noch mehr Profilinformationen über jeden einzelnen Internet-User anlegen.
» Jeder der einen Google-Account besitzt muss es einfach in Kauf nehmen dass das Unternehmen jeden Klick, jede eingehende Information auswertet und auf unbestimmte Zeit abspeichert und zum Aufbau eines Profils nutzt. User haben keine Möglichkeit die aufgezeichneten Daten einzusehen oder diese im einzelnen zu löschen.
» Google speichert alle Suchanfragen, die dazugehörigen IP-Adressen und den genauen Zeitpunkt für 18 bis 24 Monate und gibt den Usern nicht die Möglichkeit diese Aufzeichnung zu unterbinden. Diese Informationen werden zum jetzigen Zeitpunkt zwar noch nicht ausgewertet, aber könnten später genutzt werden – und der User hat wieder einmal keine Möglichkeit diese Daten zu entfernen. 18 bis 24 Monate sind einfach viel zu lang.
» Google hat über seine vielen Dienste Zugang zu zusätzlichen Informationen die den Google Account komplettieren und kann so ein Profil über jeden seiner User anlegen. Insbesondere mit Orkut werden jede Menge persönliche Informationen gesammelt die demnächst ausgewertet werden könnten. Selbst wenn ein User sein Orkut-Profil löscht, bleiben diese Daten weiterhin gespeichert.
» Es werden alle Suchanfragen die über die Google Toolbar durchgeführt werden abgespeichert und ausgewertet. Durch einen eigens dafür angelegten Cookie kann der User anhand der Toolbar jederzeit identifiziert werden, außerdem werden alle besuchten Webseiten mit protokolliert – sofern der User diese Option aktiviert hat. Google gibt nicht an wie lange diese Log-Daten abgespeichert werden.
» Es werden soviele Suchanfragen abgespeichert dass alleine schon daraus ein Profil erstellt werden kann. Es gibt keine Möglichkeit bestimmte Suchanfragen daraus zu löschen. Beachte: Der Suchverlauf ist nicht gleich das Logging der Suchanfragen.
» Google gibt keinerlei Informationen darüber welche Daten bei Angeboten wie Google Maps, Google Video, Google Talk, Google Reader, Blogger und andere gesammelt und ausgewertet werden können.
Das sind erst einmal jede Menge Punkte die inhaltlich alle korrekt sind, aber subjektiv gesehen fast schon unumgänglich sind. Das erstellt eines möglichst genauen Profils ist nun einmal das Geschäftsmodell dass Google wohl kaum aufgeben wird und auch nicht kann. Der Zugang und das löschen der einzelnen Daten wird derzeit nach und nach über die History-Funktion hinzugefügt – obwohl natürlich auch in diesem Punkt fraglich ist, ob hier gelöschte Informationen nicht auch weiterhin ausgewertet werden.
Die verteilte Speicherung der Daten, was einen Datenverlust zu 99,9% ausschließt, bringt es nun einmal mit sich dass die Daten nicht sofort von allen Servern gelöscht werden können. Ich stimme der PI zu, dass Google eine Möglichkeit anbieten sollte einzelne Daten aus dem Profil entfernen zu können oder den Usern wenigstens einen genauen Einblick zu geben welche Daten genau gespeichert und auf welchem Wege sie ausgewertet werden. Ich denke darum wird Google auch in der Zukunft nicht mehr drumherum kommen.
Google selbst ist über diese Liste natürlich „not amused“
» Wir sind sehr enttäuscht über diesen Report, der größtenteils auf Missverständnissen unserer Dienste basiert.
» Es ist schade dass PI entschieden hat den Report zu veröffentlichen und uns keine Möglichkeit gegeben hat auf diese Liste zu reagieren oder ihr in Einzelheiten zu widersprechen.
» PI dagegen sagt, dass Google kontaktiert worden ist – aber nicht geantwortet hat. Was nun stimmt steht in den Sternen… Ich denke dass Ding ist auf irgendeinem Google-Schreibtisch einfach liegen geblieben.
Garett Rogers hat übrigens noch einen interessanten Titel zu diesem Thema eingeschoben: Wenn Google all diese Punkte einhalten und verbessern will gibt es nur eine Möglichkeit: Close all Google Accounts
Übrigens ist Google auch in Deutschland sehr zögerlich damit, Angaben und Informationen rund um die Datensammlung zu machen, wie Lawblogger Udo Vetter in einer Rede angedeutet hat.
» Die Liste
» Artikel bei heise
» Artikel bei Google OS
» Offener Brief an Eric Schmidt von PI
Nachtrag:
» Datenschutz-Topliste: Googles Antwort und Änderungen