Sicherheitsprobleme bei Google Plus Warum schwieg Google monatelang?

Nach einer Datenpanne schließt Google sein Netzwerk Google Plus. Der Konzern weiß schon lange von dem Problem, verriet aber nichts. Nun gibt es Vorwürfe: Google hätte die Nutzer früher informieren müssen.
Google-Logo

Google-Logo

Foto: Christoph Dernbach/ picture alliance/dpa

Das Onlinenetzwerk Google Plus hatte jahrelang eine Schwachstelle. App-Entwickler konnten seit 2015 ohne Erlaubnis auf einige private Nutzerdaten zugreifen. Der Dienstbetreiber Google entdeckte und schloss die Lücke im März 2018 - verschwieg sie der Öffentlichkeit gegenüber aber bis jetzt.

Am Montagabend nun informierte der Konzern nicht nur über das Problem, sondern kündigte auch an, dass er das Netzwerk für Verbraucher dichtmacht. Google Plus war 2011 als Konkurrenz zu Facebook gestartet, hatte sich aber nie durchsetzen können.

Durch die Softwarepanne hätten App-Entwickler auf den Namen, die E-Mail-Adresse sowie Informationen über Beschäftigung, Geschlecht und Alter von Nutzern zugreifen können, räumte Google am Montag ein. Um andere Daten gehe es nicht.

Potenziell könnten Profile von bis zu 500.000 Konten bei Google Plus betroffen sein. Der Konzern teilte allerdings mit, er könne keine weitergehenden Angaben machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden. Bis zu 438 Apps könnten auf die Schnittstelle mit der Datenlücke zugegriffen haben.

Google hat keine Hinweise auf einen Datenmissbrauch, heißt es - aber eben auch nicht genug Informationen aus der Vergangenheit, um ihn vollständig auszuschließen. Der Konzern hatte sich im März dagegen entschieden, die Öffentlichkeit gleich über die Entdeckung des Problem zu informieren.

"Bewusst verschwiegen, damit Gras über die Sache wächst"

Der Hamburger Datenschutzbeauftragte Johannes Caspar leitet deswegen nun Ermittlungen ein. "Offenbar hat Google den Vorfall bewusst verschwiegen, damit Gras über die Sache wächst", erklärte Caspar der Nachrichtenagentur dpa. "Zentrale Frage wird sein, wann die Lücke durch Google geschlossen wurde."

Denn seit dem Mai 2018 kommt die neue EU-Datenschutzgrundverordnung (DSGVO) zur Anwendung. In Artikel 33 und Artikel 34 des Regelwerks werden Internetkonzernen wie Google genaue Transparenzvorgaben gemacht, wie sie derartige Sicherheitsprobleme kommunizieren müssen.

Es ist demnach in bestimmten Fällen strikt vorgeschrieben, betroffene Nutzer und die zuständigen Aufsichtsbehörden zu informieren. Wer gegen die DSGVO verstößt, dem drohen Strafen von bis zu vier Prozent des Jahresumsatzes.

Wenn Google die Lücke aber tatsächlich im März schloss, galt die DSGVO für den Fall noch nicht. In diesem Fall käme nur das alte Recht des Bundesdatenschutzgesetzes zur Anwendung. "Dies setzt bei der Informationspflicht hohe Hürden und greift nur für den Fall, dass besonders sensible Daten von der Lücke betroffen waren", erläutert Caspar.

Auf SPIEGEL-Nachfrage zu diesem Sachverhalt rechtfertigte Google seine Entscheidung, die Information erst so spät öffentlich zu machen: Es habe keine Hinweise auf Missbrauch der Daten gegeben. Nutzer oder Entwickler hätten zudem keine eigenen Schutzmaßnahmen treffen können.

"Wann immer Nutzerdaten betroffen sein könnten, gehen wir über die gesetzlichen Anforderungen hinaus", hieß es bezüglich der Frage, ob Google gegen die DSGVO verstoßen haben könnte.

Google scheute wohl den Vergleich zum Facebook-Datenskandal

Dem "Wall Street Journal" zufolge wiesen Googles Juristen das Topmanagement nach Entdeckung der Schwachstelle darauf hin, dass eine Offenlegung vermutlich "sofortiges Interesse von Regulierern" und Vergleiche mit dem Facebook-Datenskandal um Cambridge Analytica auslösen würde. Ein internes Gremium habe entschieden, nicht an die Öffentlichkeit zu gehen, Google-Chef Sundar Pichai sei darüber informiert gewesen.

Schnittstellen für App-Entwickler hatten auch eine zentrale Rolle in dem Mitte März ausgebrochenen Facebook-Datenskandal um Cambridge Analytica gespielt. Das Onlinenetzwerk erlaubte es App-Entwicklern bis 2015, auch auf Daten von Freunden eines Nutzers zuzugreifen.

Google Plus bei Nutzern unbeliebt

Google Plus wird laut Angaben des Konzerns kaum noch von Verbrauchern genutzt - und 90 Prozent der Interaktionen dauerten weniger als fünf Sekunden. Die Einstellung der Verbraucherversion solle nach einer zehnmonatigen Übergangszeit Ende August kommenden Jahres abgeschlossen werden. Für die interne Kommunikation in Unternehmen soll Google Plus aber weiterbetrieben werden.

Zusammen mit der Nachricht zum Aus von Google Plus verkündete der Konzern Neuerungen, die die Privatsphäre der Nutzer besser schützen sollen.

  • Eine wichtige Änderung betrifft das Mobil-Betriebssystem Android, das auf Geräten von Hunderten Millionen Menschen läuft. Die Nutzer werden präziser bestimmen können, welche Daten sie mit einer App teilen wollen, wie Google ankündigte. Grundsätzlich würden weniger Apps Zugriff auf Anruflisten und SMS-Daten bekommen.
  • Außerdem werde auch der Zugriff von App-Entwicklern auf die E-Mails in Googles Gmail-Dienst stärker eingeschränkt. Das "Wall Street Journal" hatte im Sommer berichtet, App-Entwickler verwendeten zum Teil E-Mails von Nutzern, um Algorithmen etwa für automatische Antworten zu trainieren. Das hatte für Kritik gesorgt.
gru/dpa
Die Wiedergabe wurde unterbrochen.