Ein Mitarbeiter des Open-Source-Browsers Brave hat eine DSGVO-Beschwerde gegen Google erhoben: Das Unternehmen verstoße gegen die Datenschutz-Grundverordnung.

Brave-Mitarbeiter Johnny Ryan hat eine DSGVO-Beschwerde bei der für Google verantwortlichen Datenschutz-Behörde eingereicht, der Irish Data Protection Commission. Darin beschwert sich Ryan im Namen von Brave, dass Google den Artikel 5(1)b der DSGVO verletze. In diesem steht: “Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden”.

Sechs Monate lang habe Ryan versucht, herauszufinden, was Google mit seinen Daten anstellt. Dazu habe er dem Unternehmen eine einfach Frage gestellt: “Was macht Ihr mit meinen Daten?” Laut Ryan habe Google trotz einiger Korrespondenzen nur unzureichend auf seine Nachfragen reagiert. Sein Hauptvorwurf: Google verwende die Daten eben nicht zweckgebunden für nur einen Dienst, sondern leite sie an sämtliche anderen internen Dienste weiter. Damit verstoße das Unternehmen aber gegen die Vorgaben der DSGVO.

In der Blackbox Google

Um Googles Verstöße zu dokumentieren, hat sich Ryan durch hundert Datenschutz-Erklärungen der verschiedenen Google-Dienste geklickt und die seiner Meinung nach unklaren Passagen heraus gearbeitet. Seine Fundstücke listet er in dem 59-seitigen Dokument mit dem Namen “Inside the Black Box” auf. Das Hauptproblem: In den meisten Fällen bleibt die rechtliche Basis unklar, unter der Google die Daten verarbeiten möchte. Zudem, auch das zeigt das Dokument anhand von Screenshots, biete Google häufig nur Opt-Out-Optionen für die Nutzer an. So sei etwa die Option “Save my YouTube History in my Google Account” standardmäßig aktiviert.

Die DSGVO durchzusetzen, würde laut dem Blogpost zur Beschwerde für Google vier Konsequenzen haben:
1) Google würde seine Nutzer nicht länger automatisch für all seine Produkte und Datensammlungen anmelden dürfen.
2) Google würde nicht mehr verschiedene Bitten um Einwilligung miteinander kombinieren dürfen, die verschiedene Datenverarbeitungsziele verfolgen
3) Google würde so die enormen, aber unrechtmäßigen Vorteile verlieren, die es erhält, indem es die persönlichen Daten der Nutzer kombiniert
4) Nutzer der Google-Produkte könnten Googles Dienste funktional aufsplitten und nur bestimmten Diensten ihre Zustimmung erteilen. Dies führe zu einer Consumer-bestimmten funktionalen Aufteilung von Google

Dass Brave die Beschwerde nicht ganz uneigennützig führt, dürfte auf der Hand liegen. Immerhin wirbt der Browser, wie auch Firefox, mit dem Schutz der Privatsphäre. Dennoch ist die David-gegen-Goliath-Inszenierung kein reiner PR-Stunt: Googles bisherige Datenschutzeinstellungen überfordern einfache Nutzer und wirken aufgrund ihrer Komplexität und der Menge der angebotenen und miteinander verwobenen Dienste intransparent. Ob allerdings die irische Datenschutzbehörde bereit ist, der Beschwerde nachzugehen und ernsthafte Schritte gegen Google einzuleiten, steht auf einem anderen Blatt.