Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Bußgeld gegen Google aus Frankreich. Deutsche Google Nutzer müssen weiterhin fünfmal klicken, um abzulehnen.

Veröffentlicht am 12. Januar 2022 von Dr. DSGVO · Zuletzt aktualisiert am 17. November 2022
2

Kategorien: Datenschutz und Tracking

Jeder Nutzer der Google-Suche oder von Google Maps erhält zwangsweise ein Google Konto. Google Signals nutzt diese Informationen, um Nutzer auch geräteübergreifend nachzuverfolgen. Die Informationen über den Nutzer werden aufgrund einer wahrscheinlich mangelhaften Einwilligungsabfrage wohl rechtswidrig erhoben. Das meint auch die französische Datenschutzbehörde.

Am 31.12.2021 hat die französische Datenschutzbehörde, CNIL, Google eine Strafe von 150 Millionen Euro auferlegt. Grund war die aus Sicht der Franzosen unzulässig gestaltete Einwilligungsabfrage von Google. Kurz gesagt: Sie können ganz leicht mit einem Klick darin einwilligen, dass Google mit Ihren Daten macht, was es will. Wollen Sie das nicht, müssen Sie mindestens fünfmal klicken. Das hat nicht die CNIL, sondern das habe ich bereits selber vor längerem festgestellt.

Aber es kommt noch schlimmer.

Wussten Sie, dass beim „frischen“ Aufruf der Google-Suche automatisch ein Google-Nutzerkonto für Sie angelegt wird? Zumindest gilt das aus technischer Sicht, und die ist letztendlich ausschlaggebend, wenn es um die Möglichkeit geht, einen Nutzer nachzuverfolgen. Ein solcher „frischer“ Aufruf findet statt, wenn Sie alle Google-Cookies von Ihrem Endgerät gelöscht oder einen Browser wie den Firefox im Privatmodus aufgerufen oder einen Browser zum ersten Mal überhaupt genutzt haben.

Jeder Nutzer der Google-Suche erhält automatisch ein Google-Konto.

Mein Fazit aus technischer Sicht.

Wenn Sie übrigens mit einem gewünschten Google Konto angemeldet sind und sich von allen (explizit von Ihnen gewünschten) Konten abmelden, verpasst Ihnen Google zum Dank unsichtbar ein implizites (von Ihnen wohl eher nicht gewünschtes) Google Konto. Es kann so nützlich sein, ein Google Konto zu haben. Fragt sich nur, für wen.

Warum ist das aus Datenschutzsicht ein Problem und was hat das mit Google Signals zu tun? Google Signals wird im Deutschen auch als Google-Signale bezeichnet. Die Bezeichnung sagt bereits viel darüber, was der Zweck dieser verfügbaren Möglichkeit ist. Bevor hierauf eingegangen wird, ein Ausflug in Google Konten.

So erhalten Sie ein Google Konto

Ein Google Konto zu erhalten ist einfacher als gedacht und steht nicht in Ihrer Wahlfreiheit. Vielmehr hat Google entschieden, jedem Nutzer der Google Suche ein Google Konto zu verpassen. Dies leite ich aus den technischen Gegebenheiten ab. Denn folgenden Cookies werden von Google erzeugt, wenn Sie jeglicher Datenerhebung durch Google widersprechen:

Von Google bei Besuch der Google-Suche mindestens erzeugte Cookies (Stand: 19.08.2021).

Das Cookie namens CONSENT suggeriert durch den Wert „Yes…“, dass ich in irgendetwas eingewilligt hatte. Das war jedoch nicht der Fall. Das Cookie mit dem Namen NID „enthält eine eindeutige ID, über die Ihre bevorzugten Einstellungen und andere Informationen gespeichert werden“ (Quelle: Google Datenschutzerklärung unter https://policies.google.com/technologies/cookies?hl=de). Somit haben Sie einen Google Identifizierer erhalten, was mit dem Begriff „Konto“ bezeichnet werden kann (oder auch nicht, was datenschutzrechtlich allerdings auf die gleichen Probleme hinausläuft).

Zum SNID-Cookie konnte ich keine zuverlässige Quelle für dessen Bedeutung finden. Alleine deshalb wäre die Nutzung von Tools, die die Domäne google.de oder google.com ansprechen, auf eigenen Webseiten rechtlich problematisch.

Nach Aufruf der Google-Suche für den Suchbegriff „Datenschutz?“ über die Adresse https://www.google.de/search?q=datenschutz? erscheint folgendes Einwilligungsfenster:

Rechtswidrige Einwilligungsabfrage nach Aufruf der Google-Suche ohne Google-Konto.

Eine Einwilligung ist direkt mit einem Klick möglich ("Ich stimme zu"). Eine Ablehnung erfordert hingegen fünf Klicks (von mir zuerst am 19.08.2021 nachweisbar festgehalten, es war sicher vorher auch schon so und ist es am 08.01.2021 immer noch):

  1. Klick auf "Anpassen"
  2. Suchanpassung: Klick auf "Aus"
  3. YouTube-Verlauf: Klick auf "Aus"
  4. Personalisierte Werbung: Klick auf "Aus"
  5. Klick auf "Bestätigen" (erst möglich nach Aktivieren oder Deaktivieren der eben genannten Einstellungen)

Hier sehen Sie die Klicks 2 bis 4 im Bild:

Klicken Sie dreimal auf „Aus“ und dann noch auf „Bestätigen“, aber nur, wenn Sie nicht ausspioniert werden wollen.

Ich sehe aufgrund dieses krassen Missverhältnisses im Aufwand für eine Einwilligung versus Ablehnung, diese Consent Abfrage als rechtswidrig an. Vgl. hierzu Art. 7 DSGVO. Auch fehlt der in Abs. 3 ebd. genannte Hinweis auf die Widerrufsmöglichkeit („Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt.“). Wer auf „Ich stimme zu“ klickt, hat offensichtlich diese Information nicht erhalten (siehe den Screenshot). Auch Erwägungsgrund 42 verrät, dass das nicht im Sinne des Gesetzgebers ist. Eben dort steht:

Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.

– Erwägungsgrund 42 der DS-GVO (Auszug)

Ergänzend hierzu steht an anderer Stelle (müsste ich raussuchen), dass eine Einwilligung nur als vorliegend gilt, wenn Sie ohne jeden Zweifel vom Nutzer erteilt wurde. „Ohne jeden Zweifel“ bedeutet für mich, dass der Nutzer nicht genötigt wurde, um einzuwilligen.

Ebenfalls ist der ganz am Ende des Textes (direkt oberhalb der blauen Buttons, siehe Screenshot von eben) genannte Link in der Einwilligungsabfrage nicht anklickbar, weil als bloßer Text ausgeprägt („g.co/privacytools“). Insofern existiert der Link quasi nicht und ist unabhängig davon hier nicht hilfreich für die Heilung der Einwilligungsabfrage.

Somit kann Google also leicht eine Einwilligung erschleichen. Damit kann Google Nutzer umfangreich für eigene Zwecke nachverfolgen und deren Verhalten und deren Vorlieben kennenlernen. Vielleicht liest der amerikanische Geheimdienst mit, was gar nicht so unwahrscheinlich ist. Als Stichworte seien hier Transatlantikkabel und Spähsoftware genannt, wenn nicht sowieso aufgrund eines amerikanischen Gesetzes wie es Cloud Act ganz offiziell, aber insgeheim und DSGVO-widrig Auskünfte eingeholt werden.

Google Signals

Google ist gar nicht so böse. Denn Google möchte nicht nur alleine von dem Datenschatz profitieren, der wohl zu einem erheblichen Teil durch eine, meiner Meinung nach, rechtswidrige und respektlose Einwilligungsabfrage zustande kommt.

Nein, Google möchte auch andere profitieren lassen. Damit meine ich nicht amerikanische Behörden, die zwar auch profitieren, aber wohl nicht auf Wunsch von Google. Vielmehr meine ich Kunden von Google, wie potentiell uns alle, die an Google eigenes Geld oder Daten anderer senden.

Damit Sie als Google Kunde vom Google Datenschatz, nicht zu verwechseln mit dem nur in einem Buchstaben anderen Wort Datenschutz, profitieren können, müssen Sie Google Signals aktivieren. Das geht beispielsweise in einem Google Analytics Konto. Die Abfrage für Google Signals präsentierte sich mir bei meinem Test wie folgt:

Quelle: https://support.google.com/analytics/answer/7532985.

Mit Google Signals kann Google eine ganzheitliche Sicht darauf entwickeln, wie Nutzern in verschiedenen Browsern und auf verschiedenen Geräten mit einer Webseite oder App interagieren. Wesentliche Teile des vorigen Satzes sind der Google Dokumentation entnommen. Hier ein weiteres Zitat:

„In Analytics werden für E-Commerce-Transaktionen und Abschlüsse für Zielvorhaben auf Ihrer Website unterschiedliche benutzerdefinierte Modelle erstellt. Sie basieren auf Daten aus geräteübergreifenden Conversions von Nutzern, die in ihrem Google-Konto angemeldet sind und personalisierte Anzeigen aktiviert haben.“

Zur Erinnerung: Personalisierte Anzeigen hat quasi jeder Google Nutzer aktiviert, wie ich oben zeigte. Denn Google erschleicht sich nach meiner Meinung hierfür eine Einwilligung. Zur Erinnerung: Ein Klick, um ausspioniert zu werden und mindesten fünf Klicks, um hoffentlich nicht ausspioniert zu werden. Ich gehe allerdings davon aus, dass auch das Ablehnen nicht ganz zu keiner Nachverfolgung durch Google führen wird. Das kann ich bis jetzt nicht beweisen und vermute es nur.

Hier können Sie das mit den personalisierten Anzeigen direkt nachlesen. Es ist ja nicht so, als würde Google nicht überall (allerdings sehr weit verstreut) einen Hinweis darauf geben, wie extrem umfassend die Verarbeitung von Personendaten ist, die Google selber erhebt oder durch Dritte erhält.

Google verwendet Daten, die von Google Diensten erhoben wurden, auch für werbliche Zwecke. Quelle: https://policies.google.com/privacy?hl=de

Ladenbesuche

Wenn jemand einen Laden besucht und sein Standortsignal im Handy aktiviert hat, kann Google das mitbekommen. Das Standortsignal kann meiner Kenntnis nach entweder über GPS oder über ein WLAN-Signal gegeben werden. Google kann derartige Ladenbesuche von Personen nachverfolgen, wie man nachlesen kann.

Fazit

Frankreich hat nun schon mindestens zweimal ein Millionenbußgeld gegen Google erlassen. Deutschland halte ich für erbärmlich untätig und würde mich freuen, wenn mich jemand widerlegt. Es ist ja nicht so, dass die französische Webseite der Google Suchmaschine wesentlich anders gestrickt wäre als die deutsche. In Deutschland gilt, ebenso wie in Frankreich, die DSGVO. Allerdings gibt es in Frankreich auch andere Gesetze, wie etwa den French Data Protection Act. Nun gibt es in Deutschland aber seit 01.12.2021 das TTDSG. Es war dem Gesetzgeber und deutschen Datenschutzbehörden sicher schon vorher bekannt, dass das TTDSG im § 25 TTDSG eine strenge Cookie-Regelung vorhält. Umso mehr verwundert es mich, dass Deutschland nicht endlich mal ein Bußgeld gegen ein größeres Unternehmen erlässt, welches eine Webseite betreibt, die Datenschutzregeln nicht einhält.

Machen Sie sich die Mühe, die Datenerfassung durch Google mit fünf oder mehr Klicks abzulehnen, wenn Sie die Google Suchmaschine oder Google Maps besuchen und dort mit einer Abfrage genervt werden.

Noch besser: Nutzen Sie eine andere Suchmaschine als Google, beispielsweise Ecosia oder DuckDuckGo.

Wenn Sie ganz mutig sind, nutzen Sie ein Smartphone ohne Google. Weitere Schritte könnten das Löschen des Facebook Kontos beinhalten. Ich habe beides gemacht. Mein Leben ist nicht schlechter, sondern besser geworden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/bussgeld-gegen-google-aus-frankreich-deutsche-google-nutzer-muessen-weiterhin-fuenfmal-klicken-um-abzulehnen
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Anonymous

    Dass man die Verwendung der erhobenen Daten für diverse Zwecke einzeln abwählen kann ändert nichts daran, dass die Daten erhoben werden (wofür Google bereits einen Erlaubnistatbestand bräuchte), und wahrscheinlich auch mit dem Profil zusammengeführt. Dann für ungenannte Zwecke. Es wäre interessant zu erforschen, ob zukünftige Zustimmungen (bzw. ein Mal Ablehnen vergessen) bisher gesammelte Daten dafür freischalten oder nur solche verwendet werden, die ab diesem Zeitpunkt dazukommen.

    Antworten
    • Dr. DSGVO

      Ja, das ist ein guter Hinweis! Die Datenerhebung alleine (über das technisch notwendige Maß hinaus) ist bereits eine Verarbeitungstätigkeit, für die normalerweise eine Einwilligung erforderlich wäre (oder eine andere Rechtsgrundlage, aber sicher nicht das berechtigte Interesse).

      Die Forschungsfrage ist insofern interessant, als dass es nicht ganz so leicht sein dürfte, Google hier etwas nachzuweisen. Wenn jemand hier forschen will, unterstütze ich gerne.

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Ein Smartphone ohne Apple und Google: Testbericht des Fairphone mit /e/OS auf Android-Basis