Die Woche begann mit einem Paukenschlag aus Sicht von Google. Nicht nur Facebook kann Daten seiner Nutzer „verlieren“, auch Google hat hier offenbar Fehler begangen. So wurde eine Schwachstelle gefunden, die über 500.000 Nutzeraccounts betraf. Wie viele es genau waren, kann Google angeblich nicht sagen – denn die Zugriffe über die API werden nur für wenige Wochen protokolliert. Am Ende gab es vor allem eine Konsequenz: Das ohnedies nicht besonders erfolgreiche Netzwerk wird eingestellt.

Die Entscheidung wirkt etwas befremdlich. Bevor der Konzern wieder Daten verlieren kann, macht er das Netzwerk lieber dicht. Damit ist alles geklärt, oder? Nein – ganz so einfach ist es dann doch nicht. Kurz nach der Bekanntgabe des Leaks wurden die ersten Stimmen aus der EU laut. Deutschland möchte den Fall näher untersuchen.

Der Hauptgrund ist hier die verstrichene Zeit. Google gibt selbst an, dass der Fehler seit März bekannt war. Dennoch gab der Konzern die Information erst jetzt heraus. Die Begründung ist äußerst dünn: Es gibt keine Informationen darüber, dass die Daten auch tatsächlich genutzt wurden. Ein Schelm wer Böses denkt – vielleicht war auch die Sorge über schlechte Presse ausschlaggebend für die Entscheidung. Google teilte den Fall just einen Tag vor der Bekanntgabe des Pixel 3 mit, seitdem dominiert der Konzern die Medien vor allem mit der neuen Hardware.

Jetzt möchte Johannes Caspar von der deutschen Datenschutzbehörde den Fall näher untersuchen. Bisher soll er keine weiteren Daten von Google bekommen haben. Auch die irische Datenschutzbehörde, die bisher eher durch einen laxen Umgang mit Regeln bekannt war, soll weitere Daten einholen wollen.

Im Rahmen der DSGVO muss Google aber wahrscheinlich keine Strafe fürchten. Der Fehler wurde vor Inkrafttreten der neuen Verordnung gefunden und geschlossen – damit dürfte er nicht unter die neue Judikative fallen.

Auch in den USA wird das Datenschutzproblem von Google jetzt Teil der Politik. Senator Richard Blumenthal forderte im Kongress die weitere Untersuchung des Vorfalls – und sandte zusammen mit Kollegen eine Anfrage an die FTC (Federal Trade Comission). Auch hier steht vor allem die verstrichene Zeit bis zur Bekanntgabe im Vordergrund.

“Ich denke, diese Art der absichtlichen Tarnung ist absolut unerträglich.”. In dem Schreiben weist der Gesetzgeber darauf hin, dass Google bereits zweimal mit solchen Fällen auffällig wurde, unter anderem im Jahr 2011 nach dem Start des ersten sozialen Netzwerks, Google Buzz. Google stimmte damals einem Vergleich zu, der eine Einverständniserklärung enthielt, die dem Unternehmen verbot, “die Privatsphäre persönlicher Daten falsch darzustellen”. Der Umgang mit dem Fehler von Google+ soll gegen diese Auflagen verstoßen.

Natürlich sind die Vergehen auch weiteres Wasser auf den Mühlen der Datenschützer – Google steht hier, neben Facebook und Twitter, ohnedies schon auf der Beobachtungsliste des Senats. “Dieser Vorfall unterstreicht weiter die Notwendigkeit eines genaueren Blicks auf die Frage, wie wir die Benachrichtigung über Datenschutzverletzungen in der Bundesgesetzgebung strukturieren könnten”, sagte Senator Maggie Hassan, “da es wirklich darum geht, sich zu vergewissern, dass ein Vorfall, der so viele Menschen betrifft, nicht öffentlich bekannt gegeben werden musste.”.

Das ging kräftig schief. Der Versuch, das Datenleck des eigenen Netzwerks unter den Teppich zu kehren, geht offenbar nach hinten los. Die Zeiten mit „Don’t be evil“ sind lange vorbei – da hilft auch die Ablehnung des Projekt Jedi nichts. Glück im Unglück: Der Fehler passierte vor der DSGVO, damit muss Google, im Unterschied zu Facebook, zumindest keine finanziellen Folgen fürchten. Wie eklatant der Schaden am Ruf des Konzerns ist, wird sich erst in den nächsten Monaten zeigen.

Via Engadget und TheVerge