By Markus Dreesen Posted on

Stell Dir vor, es gibt einen Google Datenskandal und keiner schaut hin

Square

Seit dem 25. Mai 2018 erfreut sich die EU einer neuen Verordnung, genau, die Datenschutzgrundverordnung, kurz DSGVO, ist gemeint. Einer der vielen Punkte, die dort geregelt werden, ist der Punkt Datenleck und die Verpflichtung, dieses im Falle eines Falles auch zu vermelden. Und gerade sieht es so aus, als gäbe es einen Google Datenskandal, der nicht als solcher gehandelt werden soll. In meinem Fall wäre das so, dass wenn es einen Hack meiner Seite gäbe, dadurch die auf meinen Server gespeicherten Emailadressen meiner Newsletterabonnenten einsehbar für den Hacker wären. Dann müsste ich das melden. Und zwar subito. Damit Nutzer benachrichtigt werden und damit diese dann eventuell darauf reagieren könnten. Zum Beispiel indem sie ihr Passwort änderten.

In meinem Falle wäre das jetzt überhaupt nicht von Belang, weil ich nur Emailadressen von Newsletter Abonnenten speichere, die mir durch ein Double Opt In Verfahren die Erlaubnis dazu gegeben haben. Es gibt da keine Kombination mit Vorlieben, Namen, Adressdaten oder ähnlichem. Im Falle der Online-Community Knuddels war das allerdings nicht so trivial. Nutzerdaten konnten im Klartext eingesehen werden. Deswegen wurde auch ein – in der DSGVO angekündigtes – Strafgeld verhängt. Das war moderat, weil das Unternehmen sich vorbildlich verhalten hatte. Das Datenleak war aufgetreten, man hatte es bemerkt und sofort gemeldet. Das moderate Bußgeld ist auch ein Signal an alle anderen Unternehmen: Schaut, wenn Ihr Euch dran haltet, dann sind wir auch lieb.

Ist dieser Google Datenskandal relevant?

Oben sieht man einen Screenshot der Mail. In dieser Mail wird das Datenleak kurz beschrieben, bei dem es sich ausschließlich um ein Leak in der Api von Google Plus handelt:

  1. Wenn Sie einer App die Berechtigung erteilt haben, bestimmte Profildaten wie Name, E-Mail-Adresse oder Beruf abzurufen, konnte sie unbeabsichtigt auch weitere Profilfelder abfragen und darauf zugreifen.

  2. Wenn eine Person, für die Sie Profildaten freigegeben haben, einer App die Berechtigung erteilt hat, Ihre öffentlich zugänglichen Profilfelder abzufragen und darauf zuzugreifen, konnte die App auch auf alle Profildaten zugreifen, die Sie nur für diese Person und nicht öffentlich freigegeben haben.

Das muss man sich mal auf der Zunge zergehen lassen, was hier so lapidar erklärt wird: Bei erteilter Erlaubnis auf ausgewählte Daten, die man einer App, einer Webseite, einem XY gegeben hat, kann dieser Jemand erstens mal auf alle Daten zugreifen, die man im Profil von Google + gespeichert hat – auch diejenigen, die nicht für ihn bestimmt sind. Aber, er kann diese Erlaubnis einfach auch so weitergeben an Dritte. Und die können dann auch munter in den Profildaten herumschnüffeln. Einfach so.

Wobei, hier verpflichtet mich die Sorgfaltspflicht, KONNTEN! Denn Google weisst in seiner Mail aus, dass dieser Fehler schon behoben wurde:

das durch ein Softwareupdate ausgelöst wurde und zwischen dem 7. November 2018 (UTC -8) und dem 13. November 2018 (UTC -8) Google+ APIs betraf

Und ein wenig später heisst es in der Mail auch …

und am 13. November 2018 (UTC -8) behoben.

Die Jetpack Einstellungen für das Autoposting – inkl. des Google + Zugriffs

Also, wir rekapitulieren noch mal – am besten ganz praktisch: Ich hab z.B. in diesem Blog mein Google + Konto mit dem Jetpack PlugIn verbunden – das Jetpack PlugIn veröffentlicht also automatisch auf Google + einen Beitrag, wenn ich hier einen Beitrag veröffentliche. Praktisch. ABER zwischen dem 7. und 13. November 2018 konnte Jetpack darüber hinaus ungestört auf meine Profildaten zugreifen. Und konnte diesen Zugriff auch weiter geben. Punkt!

Jetzt kann man natürlich sagen, hey, Jetpack, das sind doch die Guten von Automattic und überhaupt, Google + hat sowieso keiner. Hat keine Relevanz. Und Google selbst beschwichtigt in der Mail

Uns liegen keine Anzeichen dafür vor, dass die App-Entwickler den Zugriff, der ungewollt sechs Tage lang bestand, in irgendeiner Weise missbraucht haben.

Und weiter im Text wird drauf hingewiesen, dass sicher keine Kontodaten mit ausgelesen werden konnten. Also alles halb so wild?

Ein Google Datenskandal, der keinen interessiert

Es ist eigentlich total irrelevant, was wirklich mit den Daten passiert ist. Relevant ist, dass es passiert ist. Denn der reine Datenleak wäre schon ein Google Datenskandal. Und besondere Relevanz bekommt es, wenn es auch noch beim größten Datensammler weltweit passiert ist. Will sagen, wenn der Installateur einen schlechten Kuchen backt, ist das nicht ganz so schlimm, wie wenn der Bäcker das tut.

Und was noch viel wichtiger ist: In der DSGVO steht eindeutig, dass ein Datenleak sofort zu melden ist. Bei Knuddels (s.o.) war man gnädig bei der Strafe, weil es wirklich sofort passiert ist. In diesem Fall schreibt Google es schwarz auf weiß:

Das Problem wurde bei automatischen Tests erkannt und am 13. November 2018 (UTC -8) behoben.

Ich bin nicht gut in Mathe, aber ist das nicht schon 2 1/2 Monate her? Und auch Deutsch ist nicht meine Stärke, aber heißt sofort nicht spätestens am 14. November? Und ich möchte meine 4 Buchstaben drauf verwetten, wir werden von diesem mutmaßlichen Google Datenskandal nichts mehr hören, weil …

Der Google Datenskandal keinen Deutschen Politiker oder Promi offensichtlich betrifft

Denn dann wären die Gazetten und Newsmagazine voll mit Horrormeldungen. Den Verdächtigungen, dass Russland dahinter steckt, vielleicht China oder sonst welche Schurken. Wir hatten das Anfang des Jahres. Aber in diesem Fall ist es ja nur Google +, eine Community, die im Jahr 2017 nur 3,36 Milliarden Nutzer hatte … Und ja, damit hat man Zugriff auf mein Google Konto, da ist eine Kreditkarte hinterlegt. Aber, da beruhigt mich Google:

Die Entwickler haben dadurch keinen Zugriff auf Bankdaten, Ausweisnummern, Passwörter oder weitere Daten erhalten, die üblicherweise für Betrug oder Identitätsdiebstahl verwendet werden.

Klar, da fällt mir natürlich sofort ein Stein vom Herzen. Wenn die das sagen … Und außerdem hat man das ja auch in einem Blogpost am 10. Dezember 2018 schon alles mal aufgeschrieben – natürlich in Englisch. Klar, ich Dummie, dass ich auch nicht im Dezember da vorbei geschaut habe. Und auch klar, der Google Blog ist bestimmt wichtiger als die zuständige Datenschutzbehörde, bei der solche Ereignisse meldepflichtig sind. Is klar …

Google Datenskandal
Ein Screenshot von Twitterperlen. Bei Klick gelangt man auf die entsprechende Seite

Ich will mich nicht aufspielen, aber Informationspolitik und gesetzeskonformes Verhalten von Unternehmen geht anders. Und man kann verstehen, dass beim normalen Menschen – auch – in Hinsicht auf die DSGVO die Einstellung herrscht, dass es – mal wieder – die Kleinen trifft und die Großen davon kommen. Und das stimmt eigentlich nicht, denn die DSGVO schützt auch durchaus die Normalbürger. Jetzt hätten die Behörden die Möglichkeit, das zu beweisen! Und nicht wieder einfach mit sich machen lassen …

 

Teilen (Verbindung zu den Plattformen erst bei Klick - DSGVO konform)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.