gekennzeichnet. 
Google soll über 4 Milliarden Dollar bezahlen, weil der Inkognito-Modus von Chrome keiner sei und Tracking ermögliche. Der Datenschutz-Vorwurf an Google ist berechtigt, wie leicht bewiesen werden kann.
Einleitung
Eine Sammelklage in den USA nimmt Google in die Pflicht. Es geht um den sogenannten Inkognito-Modus des Chrome Browsers von Google. Der Inkognito-Betrieb stellt sich so dar:
Das Bild zeigt die Informationen an den Nutzer. Die rot eingerahmte Option ist beim Aufruf des Privatmodus deaktiviert. Ich habe sie für den Screenshot extra aktiviert, um damit zu testen, ob der Chrome Browser wenigstens dann das tut, was anzunehmen wäre.
Genau dies ist nämlich der Vorwurf der Kläger in den USA: Dass der Chrome Browser im Modus, der die Privatsphäre schützen soll, das Tracking auf Webseiten eben nicht verhindert, also das Nachverfolgen von Nutzern über mehrere Sitzungen oder mehrere Kontaktpunkte hinweg. Warum sonst sollte dieser Modus genutzt werden und warum sonst sollte es ihn sonst geben?
Der Faktencheck: Drittanbieter-Cookies
Der Faktencheck beschränkt sich auf Drittanbieter-Cookies, die laut der oben gezeigten Einstellung im Inkognito-Modus angeblich blockiert werden. Für den Test wurde die Option zur Deaktivierung solcher Cookies also aktiviert. Dass die Option anfangs deaktiviert ist, zeigt, wie wenig ernst Google den Datenschutz zu nehmen scheint. Die weiteren Versprechen bzw. Suggestionen des Inkognito-Modus sollen hier nicht untersucht werden, versprechen aber weitere negative Überraschungen.
Ein Drittanbieter ist offensichtlich jemand, der ungleich dem Anbieter einer besuchten Webseite ist und mit dem kein Auftragsverarbeitungsvertrag o. ä. geschlossen wurde. Ein Jurist mag dies gerne näher ausführen.
Testweise musste die Webseite von Twitter herhalten. Beim Aufruf des Twitter-Profils des Nachrichtenmagazins Der Spiegel werden folgende Dateien geladen:
Die Twitter-Seite wurde dabei aufgerufen, ohne dass eine Anmeldung bei Twitter stattfand! Auch wenn dies für die Untersuchung des Chrome Browsers egal ist, sei es hier hervorgehoben.
Google Analytics wird im Inkognito-Modus vollständig geladen
Wie in der eben gezeigten Netzwerkkonsole zu sehen, wird das Script analytics.js geladen. Es handelt sich um Google Analytics, wie eine weitere Inspektion zeigt:
Die Twitter Plattform erscheint alleine deswegen rechtswidrig, denn eine Einwilligung für irgendetwas wurde nicht gegeben. Die obigen Darstellungen zeigen den Zustand direkt nach Aufruf der Spiegel-Twitter-Seite, ohne etwas angeklickt zu haben.
Alleine der Abruf des Analytics-Scripts im Inkognito-Modus ist schon fragwürdig. Google Analytics ist das Gegenteil von Privatheit. Nur als ein Aspekt sei der damit immer einhergehende Datentransfer in die USA genannt.
Beim Laden der Twitter-Seite inklusive Google Analytics werden folgende Cookies gesetzt:
Die rot umrandeten Cookies namens _ga und _gid stammen von Google Analytics. Sie wurden der Domäne twitter.com zugeordnet, weil Google seit einiger Zeit sogenannte (technische) First-Party Cookies für das genannte Analyse-Tool ausspielt.
Zur Erinnerung: Der Inkognito-Modus wurde mit aktivierter Einstellung zur Unterdrückung von Drittanbieter-Cookies aufgerufen. Als kleine Unterstützung für Google habe ich hier die Anbieter der Twitter-Plattform, der Twitter-Profilseite, von Google Analytics und des Google Chrome Browsers gegenübergestellt.
| Dienst | Anbieter |
|---|---|
| Twitter-Plattform | Twitter International Company, Irland |
| Besuchte Twitter-Profilseite "Der Spiegel" | DER SPIEGEL GmbH & Co. KG, Deutschland |
| Google Chrome Browser | Google-Konzern, wohl Google LLC, USA |
| Google Analytics | Google Ireland Ltd., Irland |
Entweder bin ich intellektuell nicht in der Lage es zu verstehen, oder Google führt hier alle Nutzer des Chrome-Browsers gewaltig hinters Licht: Als Drittanbieter werden wohl nur die Anbieter angesehen, die sowohl ungleich dem Anbieter der besuchten Webseite als auch ungleich „Google“ sind.
Google ist kein Drittanbieter – egal auf welcher Webseite.
Scheinbare Ansicht von Google, wenn der Chrome Browser im Inkognito-Modus verwendet wird.
Dass dies nicht statthaft ist, wage ich zu behaupten. Ein Drittanbieter ist wohl nach dem Verständnis des Durchschnittsmenschen jemand, der ungleich dem Anbieter einer gerade besuchten Webseite ist. Ich bin sicher, dass dies vor Gericht auch so entschieden werden würde, ggf. mit kleinen, hier nicht besonders relevanten Einschränkungen, wie dem Privileg der Auftragsverarbeitung.
Google Cookies
Zusätzlich werden beim Besuch der Twitter-Plattform im Inkognito-Modus weitere Cookies geladen:
Diese Cookies sind einer Google-Domäne zugeordnet. Anscheinend greift auch hier die eben genannte Logik von Google, nämlich dass Google kein Drittanbieter ist, egal welche Webseite besucht wird.
Google sieht im Chrome Browser anscheinend sich selbst und den Anbieter der gerade besuchten Webseite nicht als Drittanbieter an.
Erklärungsversuch aus dem fragwürdigen Verhalten des Inkognito-Modus im Google Chrome Browser.
Weitere Beobachtungen
Auf einer der Webseiten des Spiegel außerhalb von Twitter werden im Inkognito-Modus von Chrome Drittanbieter-Cookies geladen, die weder dem Spiegel noch dem Google-Konzern zuzuordnen sind. Entweder hat Google ein Geheimwissen darüber, mit welchem Anbieter ein rechtsgültiger AVV abgeschlossen wurde. Oder der Privatmodus des Chrome Browsers funktioniert an sich nicht so wie erwartet.
Während bei Google Analytics ein AVV mit Google abgeschlossen werden kann, ist dies für einige andere Google-Dienste nicht möglich. Im obigen Beispiel von Google Analytics allerdings wurde noch DoubleClick geladen, was einem AVV entgegensteht und hin zur Gemeinsamen Verantwortlichkeit ausschlägt. Wer sich näher dafür interessiert, findet weitere Informationen dazu im Google Analytics Dashboard.
Unabhängig davon bestreite ich, dass ein gültiger AVV mit Google für Google Analytics geschlossen werden kann. Hierzu sind diverse Beiträge auf Dr. DSGVO zu finden. In Kürze: Google verarbeitet Daten zu eigenen Zwecken; Google sendet Analytics-Daten immer in die USA; Google erfüllt die Informationspflichten gemäß Art. 12 DSGVO nicht ausreichend, insbesondere, was die Transparenz angeht; Google arbeitet mit Einwilligungen auf eigenen Seiten, die Datenerhebungen auf Drittseiten legitimieren sollen; Google nutzt Unterauftragsverarbeiter in Ländern mit fraglichem Datenschutz-Niveau …
Fazit
Die Untersuchung in diesem Beitrag hatte das Ziel zu zeigen, dass der Inkognito-Betrieb im Chrome eine Mogelpackung ist. Meine Untersuchung war unvollständig und fand nur auf die Schnelle statt. Eine gründlichere Untersuchung würde wahrscheinlich weitere Mängel zutage fördern.
Der Inkognito-Modus des Chrome Browser von Google ist vor allem für eines geeignet: Um Google noch mehr Daten von Nutzern zu schicken. Google legt den Begriff des Drittanbieters in einer Weise aus, die mehr als fraglich erscheint.
Überhaupt nicht geeignet ist der Inkognito-Modus des Chrome Browsers von Google dazu, die Privatsphäre des Nutzers zu schützen.
Meine Empfehlung: Eliminieren Sie den Chrome Browser aus Ihrem Leben. Auf Desktop PCs und Notebooks gibt es genügend Alternativen. Beispielsweise Mozilla Firefox. Auf dem Android Smartphone kann einfach ein Browser der Wahl installiert werden.
Abschließend bleibt nach alldem die Frage: Wer hat Lust auf eine Sammelklage (Musterfeststellungsklage) in Deutschland?
Gerne beteilige ich mich daran und untersuche dazu dann dem Inkognito-Modus des Chrome-Browsers genauer.
