Google antwortet EU-Datenschützern

In seinem 20-seitigen Schreiben erklärt Googles Datenschutzbeauftragter Peter Fleischer den EU-Datenschützern höflich, aber bestimmt, dass sie für Google überhaupt nicht zuständig seien. Die eigentliche Datenverarbeitung finde nämlich in den USA statt. Als Zeichen guten Willens halbiert Google die Speicherfrist der IP-Adressen seiner Nutzer auf neun Monate. Ansonsten bewegt sich der Konzern kaum.

Wie Fleischer im offiziellen Google-Weblog und in einem Schreiben an die Artikel-29-Gruppe der EU-Datenschützer am Dienstag mitgeteilt hat, wird Google ab sofort die in seinen Systemen gespeicherten IP-Adressen seiner User nach neun Monaten anonymisieren. Bisher speicherte der Suchmaschinengigant die IP-Adressen der Nutzer 18 Monate lang.

Fleischer hatte bisher behauptet, diese lange Speicherdauer sei nötig, um die Funktionsweise der Google-Systeme zu verbessern. Auch in der neuen Mitteilung beschwert er sich über den "Verlust an Qualität und Sicherheit", den die Verkürzung der Speicherfrist bringen würde.

Datenschützer hatten die lange Speicherfrist für die IP-Adressen bei Google stets kritisiert. Für den Betrieb einer Suchmaschine ist es keineswegs notwendig, die IP-Adressen der User zu speichern, wie etwa die deutsche Metasuchmaschine MetaGer beweist. Anders als der US-Suchanbieter Ask.com bietet Google den Nutzern auch keine Möglichkeit, die eigenen Spuren im System selbst zu löschen.

Mehr zum Thema:

• Google-Brief an Artikel-29-Gruppe [PDF]

• Peter Fleischer im Google-Blog

• Online-Medien: Google liest mit

• EU-Hearing zu Google

• Datenschutzdesaster im YouTube-Prozess

Streit über die IP-Adressen

Im April hatten die Datenschützer ein kritisches Positionspapier zu Google veröffentlicht. EU-Datenschützer hatten, beispielsweise anlässlich einer Anhörung im EU-Parlament im Jänner 2008 zum Thema Google, auch immer wieder kritisiert, dass der Suchmaschinenbetreiber die IP-Adressen seiner Nutzer nicht als personenbezogene Daten betrachtet.

Genau diese Auffassung hat Google Anfang Juli im Prozess, den der US-Medienkonzern Viacom gegen die Google-Tochter YouTube führt, in arge Bedrängnis gebracht. Ein New Yorker Gericht zwang Google, die IP-Adressen seiner User an Viacom herauszugeben - diese seien ja schließlich keine schützenswerten personenbezogenen Daten. Viacom und Google, die beide das Vertrauen ihrer Kunden zu verlieren hatten, einigten sich schließlich auf die Anonymisierung der übertragenen Logfiles.

• Datenschutzdesaster im YouTube-Prozess

Das Schreiben an die Datenschützer

In seinem 20-seitigen Schreiben an die EU-Datenschützer schlägt Google vor, den irischen Datenschutzbeaufttragten Billy Hawkes als Schnittstelle zu den anderen EU-Datenschützern zu benutzen. Google hat sein EU-Hauptquartier in Irland und unterhält dort auch seine größte Niederlassung - und hat entsprechendes politisches Gewicht. Man könne sich schließlich nicht ständig mit 30 verschiedenen Datenschutzbeauftragten abstimmen, heißt es in dem Schreiben.

Als Zeichen der Kooperationsbereitschaft sieht Google seine Verkürzung der Speicherfrist für IP-Adressen seiner User sowie die Platzierung eines Links zur Datenschutzerklärung auf seiner Startseite. Um seine Dienste finanzieren zu können, sei Google allerdings darauf angewiesen, Daten seiner User zu sammeln, um Geld über Werbung hereinholen zu können.

Die EU-Datenschützer haben in ihrem Positionspapier vom April Google auch als Inhalteanbieter bezeichnet. Google weist das zurück, man sei ein reiner Diensteanbieter und werte nur "automatisch und algorithmisch die Inhalte aus, die andere publiziert haben".

Dem IP-Problem ausgewichen

Das Problem, ob IP-Adressen nun persönliche Daten seien, umtänzelt Fleischer allerdings nur. "Google war schon immer der Ansicht, dass IP-Adressen als vertrauliche Informationen betrachtet werden sollten, die Schutz verdienen", schreibt Fleischer. Man behandle bei Google die IP-Adressen mit "größtmöglicher Sorgfalt". Ob sie nun aber persönliche Daten seien oder nicht, das müsse man im Rahmen einer tiefgehenden rechtlichen Analyse klären.

Fleischer wirft den Datenschützern "Schwarz-Weiß-Denken" vor, wenn sie darauf bestünden, dass IP-Adressen immer persönliche Daten seien. Das seien sie nur, wenn sie mit anderen Daten wie der Nutzeradresse verknüpft seien. Diese Rechtsmeinung taucht übrigens auch in den Amendments des konservativen britischen EU-Abgeordneten Malcolm Harbour zum Telekompaket auf.

EU nicht zuständig

Weiters sieht sich Google als US-Anbieter, der dem Safe-Harbour-Agreement zwischen der EU und den USA unterliege. Diesem Abkommen zufolge ist es Google erlaubt, in seinen US-Rechenzentren die Daten von EU-Bürgern zu verarbeiten. Zentraler Datenverarbeiter und Ansprechpartner sei damit die US-Zentrale von Google.

Google teilt den EU-Datenschützern in dem Abschnitt zur Anwendbarkeit der EG-Datenschutzrichtlinie 94/46/EC durch die Blume mit, dass sie eigentlich gar nicht zuständig seien. Schließlich würden die lokalen Niederlassungen von Google in der EU, etwa die Serverfarmen, nur Daten speichern, diese aber nicht verarbeiten. Auch würden die lokalen Niederlassungen nur Werbung verkaufen, diese aber nicht mit persönlichen Daten verknüpfen und an den Mann bringen. Verarbeitet würden die Daten nur von Google Inc. - in den Vereinigten Staaten.

Der Schlüsselsatz: "Da die EU-Niederlassungen von Google nicht die persönlichen Daten aus den EU-Datencentern von Google kontrollieren und diese von einer anderen Niederlassung aus - wie Google Inc. - gesteuert werden, welche festlegt, wie die Nutzerdaten verarbeitet werden, gelten die EU-Datenschutzgesetze nicht für die Niederlassungen in den EU-Staaten." Man werde sich dennoch an die Datenschutzregeln der EU halten.

Die Vorratsdatenspeicherung

Was die EG-Richtlinie zur Vorratsdatenspeicherung angeht, die auch E-Mail-Zugangsprotokolle betrifft, so schreibt Google, es sei "fraglich", ob Googles Webmail-Dienst Gmail als elektronischer Kommunikationsdienst im Sinne der Richtlinie gelte.

Protokolle von Suchabfragen seien nicht Gegenstand der Data-Retention-Richtlinie. Hier sei man sich mit den Datenschützern einig.

Die Werbung

Fleischer schreibt, Google würde einen "minimalen" Satz von persönlichen Daten für seine Werbedienste benötigen. Beispielsweise würde man Geolocation-Daten nutzen, um Anzeigen passend zum Aufenthaltsort des Users anzeigen zu können - eine Funktion, die mit Googles Mobiltelefonsystem Android erst richtig interessant werden wird.

Um Klickbetrug zu vermeiden und die richtigen Anzeigen an die User schicken zu können, sei man darauf angewiesen, ausreichend viele Nutzerdaten speichern und verarbeiten zu können.

Die Logdateien der Suchsysteme würden auch dazu verwendet werden, um Phishing-Attacken, Spam und andere Bedrohungen zu analysieren.

Fleischer schließt damit, dass Google auf das Vertrauen seiner Anwender angewiesen sei. Man werde daher weiter mit den Datenschützern diskutieren, um die richtige Balance zwischen Datenschutz und Datenverarbeitung zu finden. Man hoffe darauf, dass die Artikel-29-Gruppe Googles Maßnahmen als Beitrag zur Datenschutzdebatte im Internet zu schätzen wisse.

(futurezone | Günter Hack)