Google Transparenzbericht: Google gibt umfangreiche Verarbeitung von Nutzerdaten durch Geheimdienste zu

Kategorien: Datenschutz und Recht

Immer wieder wird behauptet, die Daten von hunderten Millionen von Nutzern sind „bei Google“ sicher und werden gemäß DSGVO verarbeitet. Das ist objektiv falsch. Außerdem wird die IP-Adresse, die Google von Nutzern erhält, von amerikanischen Geheimdiensten ausgewertet (und nicht nur von Google).

Einleitung

In einem halbwegs aktuell gehaltenen Transparenzbericht veröffentlicht Google weltweite Auskunftsersuchen zu Nutzerdaten. Dazu gehören insbesondere Zugriffe durch Behörden, zu denen auch Geheimdienste gehören. Ein neues Datenschutzabkommen zwischen der EU und den USA wird es nicht geben, und falls doch, wäre es rechtswidrig. Lesen Sie dazu meine Analyse zur Executive Order von Präsident Biden. Anscheinend müssen Internetkonzerne solche Transparenzberichte veröffentlichen, wie auch Facebook, Microsoft und Apple zeigen.

Zum 23.03.2023 enthielt der Transparenzbericht die Daten über Zugriffe bis zum Juni 2022. Allerdings waren umfassende konkrete Angaben nur bis Dezember 2021 enthalten. Der Berichtzeitraum bis Juni 2022 war mit der Bemerkung, dass die Daten einer sechsmonatigen Berichtsverzögerung unterliegen, ohne konkrete Angaben zu Geheimdienstzugriffen. Die sechs Monate sind für Juni 2022 bereits um nahezu drei Monate überschritten.

Im Transparenzbericht ist auch der Detailbericht „Ersuchen um Nutzerdaten aus Gründen der nationalen Sicherheit in den USA enthalten. Dieser Bericht beweist, dass amerikanische Geheimdienste auf Daten zugreifen, die Google über Nutzer wie Sie und mich gesammelt hat.“

Auch gibt Google zu, dass amerikanische Geheimdienste die IP-Adresse auswerten.

Somit sind und bleiben die USA ein unsicheres Drittland. Auch deutsche Nutzer werden von den USA (über Google bzw. zuvor wahrscheinlich auch schon durch Google selbst) ausspioniert.

Podcast

Die Podcast-Folge, in der wir das Thema besprechen, finden Sie hier:

Neben der Audio-Version finden Sie auch ein Transkript zur Folge, welches mit meinem KI-Programm generiert und nur minimal nachbearbeitet wurde.

Beweise

Anhand der Angaben, die Google selbst veröffentlicht hat, beweise ich die oben genannten Aussagen.

Geheimdienste greifen auf Nutzerdaten zu

Aus Gründen der nationalen Sicherheit, so heißt es von Google, greifen Behörden auf Grundlage des Foreign Intelligence Surveillance Act (FISA) auf Nutzerdaten zu. Ferner verkündet Google: „Darüber hinaus haben sie [die amerikanischen Behörden] die Möglichkeit, mithilfe von National Security Letters (NSLs) eingeschränkte Informationen über die Identität eines Nutzers zu verlangen.“

Ob die Behörden nun nur Stellen sind, die keine Geheimdienste sind, ist erstens unwahrscheinlich und zweitens auch irrelevant. Denn eine Behörde, die Nutzerdaten ausspäht, handelt wie ein Geheimdienst. Zudem sind Fragen der nationalen Sicherheit der USA durch Geheimdienste zu beurteilen. Mir fällt hier insbesondere die NSA ein, die National Security Agency. Wahrscheinlich gibt es noch weitere US-Geheimdienste, die nationale Interessen vertreten.

FISA ist eine Rechtsvorschrift, die von der Auslandsaufklärung handelt, die (aus der Logik heraus) entweder vom Militär oder vom Geheimdienst oder von beiden vorgenommen wird.

Das FBI wiederum ist laut Wikipedia vor allem zuständig, wenn es um Angelegenheiten geht, die über National Security Letters „legitimiert“ wurden. Soweit ich es verstehe, können mit NSLs Daten von potentiell sämtlichen Google-Nutzern ausspioniert werden (nachdem Google sie selbst schon spioniert hat), wohingegen mit FISA wohl nur Nutzer ausspioniert werden können, die entweder US-Amerikaner sind oder dumme Ausländer, die sich gerade auf dem Territorium der USA aufhalten. Ein Glück, denn wirklich niemand von uns fliegt jemals in seinem Leben in die USA.

In einem der vielen von Google aufgelisteten NSLs ist am Ende die Unterschrift von „Special Agent in Charge David Sundberg“ zu sehen. Ein Special Agent arbeitet üblicherweise wohl bei einem Geheimdienst (wie auch die Kopfzeile „Federal Bureau of Investigation“ (FBI) verrät):

Soviel zur Privatsphäre, im Englischen auch als Privacy bezeichnet.

Die IP-Adresse wird ausgewertet

Google gibt selbst zu, dass laut amerikanischem Recht die IP-Adresse von Google Nutzern ausspioniert werden darf: „FISA-Ersuchen können Metadaten wie beispielsweise die Felder „Von“ und "An" in E-Mail-Headern oder die einem bestimmten Konto zugeordneten IP-Adressen betreffen." Nebenbei werden auch Daten zu Absender und Empfängern von E-Mails ausspioniert.

Neben diesen Metadaten können aber auch Inhaltsdaten abgegriffen werden, wie Google zugibt (selbe Quelle wie eben): „Ein FISA-Ersuchen kann die Offenlegung von Nutzerdaten wie Gmail-Nachrichten, Dokumenten, Fotos und Videos verlangen.“

Somit können aufgrund des FISA Auslandsüberwachungsgesetzes sämtliche Daten eines Nutzers ausspioniert werden, die Google zuvor erhalten hat und entweder selbst schon ausspioniert hat oder durch andere hat ausspionieren lassen (etwa durch Webseitenbetreiber, die Google-Dienste in rechtswidriger Weise einbinden, was aufgrund der umfassend möglichen Spionageaktivitäten auf Google-Nutzerdaten bei jeglicher Einbindung von Google-Diensten der Fall sein dürfte).

Über NSLs hingegen können wiederum andere, aber ebenfalls sehr umfangreiche Daten von Google-Nutzern ausspioniert werden: „Mit einem National Security Letter (NSL) kann das FBI von Anbietern kabelgebundener und elektronischer Kommunikationsdienste Name, Adresse, Dauer des Dienstes und Abrechnungsunterlagen für die Orts- und Ferngespräche eines Nutzers anfordern.“

Google gibt Daten an Geheimdienste weiter

Für den Berichtszeitraum Januar bis Juni 2022 (neuere Daten liefert Google aktuell nicht) ist als Anzahl für Zugriffe aufgrund von NSLs der Wertebereich 500–999 genannt. Somit ist der Beweis schon erbracht.

Um Ausreden zu eliminieren, dass aufgrund von FISA womöglich keine Daten von Google an Spionageeinrichtungen weitergegeben werden: Google nennt als Zugriffsanzahl für FISA-Ersuchen im genannten Zeitraum den Wertebereich 0–499. Es könnten theoretisch also 0 Zugriffe sein. Erstens ist die 0 sehr unwahrscheinlich, denn dann würde Google überall 0 schreiben, wo null drin ist.

Wenn es bei „irgendwas“ um 95.000 Konten (von Google Nutzern) geht, dann ist dieses "irgendwas" doch größer als 0, oder? Mathematisch exakter: Das Irgendwas ist größer als die Epsilon-Umgebung von 0.

Jedenfalls ist dieses Irgendwas dann zahlenmäßig nicht nur 0–499, sondern mindestens 1–499.

Google verkauft alle Menschen für dumm, indem Google so tut, als könnte Google nicht zählen und kennt den Unterschied zwischen „Nichts“ (0) und „Etwas“ (1 oder mehr) nicht.

Bezieht sich auf die von Google ausgewiesene Anzahl von Anfragen von amerikanischen Behörden für die Herausgabe von Daten über Nutzer von Google-Diensten. Google spricht hier gerne von „0-499“ Anfragen statt von „1-499“ oder von „400-499“ oder, ganz konkret, von „499“.

Allerdings sind es mehr als 0 Zugriffe, wie die Spalte „Anzahl der Konten“ im FISA-Bericht beweist. Dort steht nämlich für Metadaten die Wertespanne 28000 – 28499 Konten und für Inhaltsdaten der Wertebereich 95500 – 95999 Konten (für den Vorzeitraum, da für den neuesten, der schon 9 Monate zurückliegt, noch keine Daten angegeben sind). Wenn also, sagen wir, für 95000 Konten Inhaltsdaten angefordert wurden, dann handelt es sich bereits um mindestens eine Anforderung. Ob 95000 Anfragen zur Herausgabe von 95000 Nutzerprofilen führten oder ob es eine Anfrage war, spielt überhaupt keine Rolle. Spionage ist Spionage.

Die DSGVO gilt für die USA nicht

Laut Schrems II-Urteil sind die USA ein unsicheres Drittland. Gründe sind insbesondere die Geheimdienstbefugnisse aus EO12333, FISA 702 und Cloud Act. Die o.g. Spionageaktivitäten auf Nutzerdaten von Ihnen und mir sind ein konkreter Beleg.

Auch die Executive Order von Präsident Biden ändert daran nichts. Jedenfalls kann ich dort nicht sehen, dass die Geheimdienstbefugnisse abgeschafft werden.

Die USA spionieren deutsche Nutzer über Google aus.

Dass Nutzer von den USA über Google ausspioniert werden, wurde oben bereits bewiesen (außer, man glaubt den Aussagen von Google nicht, was durchaus ein valider Denkansatz ist).

Hier die Statistik von Google für Deutschland und Nutzer aus Deutschland, also Nutzer wie Sie (außer, Sie nutzen keine Google-Dienste und besuchen keine Webseiten oder Apps, die Google-Dienste einbinden oder Daten an Google weiterreichen) und ich:

Wie zu sehen ist, gibt es zahlreiche Auskunftsersuchen (Spionageersuchen) an Google durch US-Behörden, damit Google den US-Behörden Nutzerdaten offenlegt, die vorher von Google eingesammelt wurden. Wie gut, dass nur ganz wenige Ersuchen in Notfällen oder um Aufbewahrung stattfanden, was auch immer das alles bedeuten mag.

Serverstandort ist egal

Wahrscheinlich gibt es weitere Belege, aber hier sei nur einer genannt: Der Cloud Act. Im Google Papier Government Requests for Cloud Customer Data weist Google selbst darauf hin, dass der Standort der Datenhaltung (Serverstandort) egal ist: „As a final point, the CLOUD Act clarifies that the U.S. government can compel production of data where the data is under the “possession, custody, or control” of a provider subject to US jurisdiction, regardless of where that data is physically stored".

Auch in der DSGVO gibt es nicht ohne Grund einen Mechanismus, der (diesmal im Sinne des Datenschutzes und nicht amerikanischer Geheimdienste) den Standort von Unternehmen egalisiert. Die DSGVO gilt für alle Unternehmen, die entweder in der EU residieren oder die sich an den EU-Markt richten (Marktortprinzip).

In Art. 3 DSGVO steht nämlich: „Diese Verordnung [DSGVO] findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten … b) das Verhalten betroffener Personen zu beobachten …"

Google Irland ist ein Placebo

Wie Google (nur unter Druck der österreichischen Datenschutzbehörde) zum Dienst Google Analytics selbst mitteilte, werden sämtliche Analyse-Daten immer in den USA verarbeitet. In der Google Datenschutzerklärung wird nicht direkt zugegeben, dass „Google“ an „Google“ Daten weitergibt (Was „Google“ ist, weiß „Google“ anscheinend selbst nicht ganz genau). Dort steht aber „Wir geben personenbezogene Daten an Unternehmen, Organisationen oder Personen außerhalb von Google nur in folgenden Fällen weiter: …“. Der fett gedruckte Textteil sagt dem skeptischen Leser alles. Ganz oben in der Datenschutzerklärung steht es auch noch einmal: „Wir geben personenbezogene Daten außerhalb von Google weiter, wenn wir Ihre Einwilligung dazu haben.“ Ob Google Irland Weisungen von Google, LLC oder anderen Google-Konzernteilen aus den USA empfangen kann, wird Google sicher auf Anfrage mitteilen bzw. gerne bestätigen. Vorher wird man eventuell bei Business Analysten fündig.

Werden Daten von Google Irland mal (aus meiner Sicht ausnahmsweise) nicht zu Google USA geschickt oder an Google USA zugänglich gemacht, so sind wir trotzdem die Dummen gegenüber amerikanischen Geheimdiensten. Denn die Google Serverstandorte sind weltweit verteilt, auch und besonders in den USA. Somit ist ein Zugriff durch US-Behörden wiederum direkt gegeben. Aber auch sonst werden umfangreiche Nutzerdaten von Google gespeichert. Dies findet sogar anlasslos in Server Logs statt. Wie gut, dass IP-Adresse frühestens bereits nach 9 Monaten „anonymisiert“ werden. Anonymisiert heißt, dass Google den Personenbezug immer noch kennen kann, alle anderen (wie Geheimdienste) aber nicht mehr, außer, sie fragen bei Google und insistieren auf eine Datenherausgabe.

Google bedeutet: Google Ireland Limited, Google LLC sowie weitere verbundene Unternehmen. So steht es in den allgemeinen Google-Nutzungsbedingungen, die für recht viele Google-Dienste gelten: „Wenn wir über „Google“, „wir“, „uns“ und „unser(e)“ sprechen, meinen wir Google Ireland Limited und deren verbundene Unternehmen.“ Klickt man auf „verbundene Unternehmen“, erscheint: „Verbundenes Unternehmen: Ein Unternehmen, das zur Google-Unternehmensgruppe gehört, also der Google LLC und deren Tochtergesellschaften, einschließlich der folgenden Unternehmen, die Verbraucherdienste in der EU anbieten: Google Ireland Limited, Google Commerce Limited und Google Dialer Inc.“

Zudem verarbeitet Google erhaltene Nutzerdaten weltweit (Nutzer stellt Google eine Lizenz seiner Daten aus, Google „darf“ diese Daten dann weltweit nutzen). Auch nutzt Google Nutzerdaten unter anderem zur Personalisierung von Suchergebnissen, Inhalten und Werbeanzeigen. Jeder, der sich mal mit Real-Time Bidding beschäftigt hat, weiß, dass Google selbst und auch andere Teilnehmer von solchen Werbenetzwerken nicht mehr wissen, wo die Daten landen (Kontrollverlust). Ich hatte das mal im Rahmen mehrerer Gutachtens untersucht und zum Cookie Sharing ernüchternde Erkenntnisse gewonnen. Siehe auch Podcast # 43 zu Real-Time Bidding.

Fazit

Google ist ein Unternehmen, das Datenschutz selbst nicht ernst nimmt. Google sammelt extrem viele Daten über Nutzer und ihre Gewohnheiten.

Somit ist Google ein optimaler Datenlieferant für amerikanische Behörden. Diese Behörden aus den USA machen regen Gebrauch davon, Daten auch von deutschen Nutzern über Google auszuspionieren.

Es ist erstaunlich, dass Google endlich einmal etwas zugibt, was aus Perspektive der DSGVO in den Bereich der rechtswidrigen Datenverarbeitung einzuordnen ist. Zu Google Fonts beispielsweise hält Google es anders und täuscht die Leser. IP-Adressen würden nicht gespeichert, heißt es von Google zu Google Fonts. Ob ein eindeutiger Hash-Wert zur IP-Adresse oder – im für Google einfachsten Fall, um die Wahrheit zu verdrehen – die IP-Adresse rückwärts gespeichert wird, steht auf einem anderen Blatt. Zum Google Tag Manager verwirrt Google sich beim Versuch, die Wahrheit zu verdrehen, sogar selbst so sehr, dass die Angaben rein logisch auf darauf hinauslaufen, dass der Google Tag Manager komplett nutzlos ist. Was wie ein Aprilscherz klingt, erschließt sich dem aufmerksamen Leser von Google Märchentexten tatsächlich so!

Wer Google-Dienste auf seiner Webseite einbindet, sollte wissen, dass die Daten für unlautere Zwecke verwendet werden. Wer seine Privatsphäre schützen möchte, sollte Werbeblocker wie Ghostery oder uBlock Origin einsetzen, die als Browser-Plugin erhältlich sind. Ein ent-Google-tes Smartphones auf Basis von Android ist das Fairphone. Es funktioniert und kann genutzt werden. Als Suchmaschine kann DuckDuckGo, ecosia oder Startpage verwendet werden (Hauptsache, nicht Google oder Bing). Als Browser empfiehlt sich beispielsweise Brave, auch auf dem Handy. Das GPS-Signal auf dem Google Phone sollte fast immer ausgeschaltet sein. Statt Google Maps können andere Dienste wie Graphhopper verwendet werden. Statt dem Google Maps Plugin kann mein datenschutzfreundliches Karten-Plugin verwendet werden. Statt Google Analytics tut es Matomo. Auch das Conversion Tracking ist ohne Google Dienste möglich. Die Liste der Empfehlungen könnte endlos fortgesetzt werden und ist einen eigenen Beitrag wert.