Mit dem 2011 gestarteten Google+ wollte Google eine ernsthafte Konkurrenz zu Facebook aufbauen, konnte dieses Netzwerk jedoch trotz aller Anstrengungen nie wirklich etablieren. Man entschied sich nun, Google+ einzustellen und musste nebenbei noch ein erhebliches Datenleck eingestehen, durch das persönliche Daten abgegriffen werden konnten. Weil das erst mit Verspätung geschah, ermittelt jetzt der Hamburger Datenschutzbeauftragte.

Nutzung von Google + trotz massiver Anschubhilfen nicht etabliert

Google unternahm zwar Versuche, die Akzeptanz zu erhöhen, indem Nutzern von Googles populärem E-Mail-Dienst Gmail und dem zu Google gehörenden YouTube ein Konto bei Google+ quasi aufgezwungen wurde, doch auch diese drastischen Maßnahmen halfen nicht weiter und nach Protesten nahm man diese Zwangsbeglückung wieder zurück. Schon seit längerem investierte man bei Google kaum noch etwas in das Angebot und so kam das jetzt angekündigte Aus für Google+ nicht mehr wirklich überraschend.

Unerwünschte Datenzugriffe entdeckt

Als einen Grund für die Einstellung führt der zuständige Google-Manager in einem Blog-Eintrag an, dass es erhebliche Schwierigkeiten bei der Gestaltung des Netzwerks im Hinblick auf Datenschutz und Wahrung der Privatsphäre gegeben habe.

  • So habe man im Rahmen einer Überprüfung von Anwendungen und Schnittstellen im Frühjahr dieses Jahres festgestellt, dass es durch einen Fehler in einer Programmierschnittstelle möglich gewesen sei, dass Apps einen Zugriff auf nicht-öffentliche Nutzerdaten bekommen konnten.
  •  Angaben zum Alter, Geschlecht, E-Mail-Adresse oder der Beschäftigung konnten hierüber ausgelesen werden.
  • Nach Angaben von Google sollen weitere sensiblere Daten aus dem Nutzerkonto von dieser Lücke jedoch nicht betroffen gewesen sein.

Die Schwachstelle will Google bereits umgehend nach der Entdeckung im März dieses Jahres geschlossen haben. Über das Ausmaß, in dem diese Lücke ausgenutzt wurde, kann Google keine Angaben machen, da die Log-Dateien der API-Zugriffe nur kurzfristig gespeichert werden. Man geht davon aus, dass rund eine halbe Million Nutzer betroffen sein dürften.

Anwender haben ein knappes Jahr Zeit, ihre Daten zu sichern 

Auch aufgrund dieser Panne hat man sich bei Google entschlossen, das soziale Netzwerk für Anwender zu schließen. Diese haben noch ein knappes Jahr Zeit haben, ihre Daten zu sichern, bevor Google+ dann für Konsumenten endgültig abgeschaltet wird.

Datenschutzbeauftragte will zögerliche Meldung der Datenpanne untersuchen

Der für Google zuständige Hamburger Datenschutzbeauftragte Johannes Caspar hat nach dem Bekanntwerden der Datenpanne umgehend Ermittlungen eingeleitet. Gegenüber der Nachrichtenagentur dpa äußerte Caspar den Verdacht, dass Google den Vorfall bewusst verschwiegen habe, um Gras über die Sache wachsen zu lassen.

  • Im Hinblick auf möglich Konsequenzen werde es darauf ankommen, wann Google die Lücke geschlossen habe,
  • denn bei Verstößen vor Inkrafttreten der DSGVO am 25. Mai gelte noch das alte Datenschutzrecht, 
  • das nur dann greife, wenn besonders sensible Daten betroffen seien.

Der Datenschützer vergleicht den neuen Fall daher auch mit dem Cambridge-Analytica-Skandal bei Facebook. Hier musste seine Behörde das Bußgeldverfahren gegen Facebook kürzlich einstellen, weil die meisten Fälle bereits verjährt waren und das Verfahren nur nach dem alten Datenschutzrecht hätte durchgeführt werden können.

Weitere News zum Thema:

Datenschutzskandal bringt Facebook in Schwierigkeiten

Meldepflicht für Cyberattacken wird oft ignoriert

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Hintergrund:

Datenpanne sind gem. der DSGVO innerhalb von 72 Stunden zu melden

Bezüglich der Sanktionen für die Einhaltung der Meldepflicht von Datenlecks gegenüber den Behörden bewirkt die DSGVO eine echte Zeitenwende: Hat eine Datenpanne stattgefunden, muss diese unverzüglich und innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden. Ein Überschreiten der Frist ist nur in begründeten Fällen möglich. Wer eine Meldung unterlässt, riskiert ein Bußgeld von bis zu 10 Mio. Euro.

Meldepflichten für Datenpannen gibt es schon seit Längerem

Auch vor der neuen Datenschutz-Grundverordnung gab es schon Meldepflichten wie u. a.

  • die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten gemäß § 42a des Bundesdatenschutzgesetzes (BDSG),
  • die Informationspflichten gemäß § 15a des Telemediengesetzes (TMG),
  • die Informationspflichten der TK-Diensteanbieter gemäß § 109a des Telekommunikationsgesetzes (TKG) sowie
  • spezielle Meldepflichten aus einzelvertraglichen Vereinbarungen mit Kunden. 
Schlagworte zum Thema:  Social Media, Datenpanne