Millionenstrafe Googles gnädige Kontrolleure

22,5 Millionen Dollar muss Google zahlen, der Konzern hat gegen US-Datenschutzauflagen verstoßen. Eine Rekordsumme, die Google aber kaum schmerzen wird. Die Datensammler profitieren von Amerikas sanften Gesetzen - und an denen wird sich vorerst nichts ändern.
Überwachungszentrale (Symbolbild): Wenig Hoffnung auf US-Datenschutzgesetze

Überwachungszentrale (Symbolbild): Wenig Hoffnung auf US-Datenschutzgesetze

Foto: Corbis

Hamburg/Washington - Es klingt wie ein Erfolg für Amerikas Datenschützer: Google muss nach einer Einigung mit der Federal Trade Commission (FTC) ein Bußgeld in Höhe von 22,5 Millionen Dollar zahlen, weil der Konzern in einer seiner Datenschutzerklärungen falsche Angaben gemacht hatte: Auf einer Hilfecenter-Seite im Google-Angebot standen falsche Auskünfte über die Verwendung von Tracking-Cookies in Apples Safari-Browser. Auch wenn Nutzer des Browsers explizit das Ablegen solcher kleinen Textdateien zur Beobachtung des Surfverhaltens untersagt hatten, setzten Google-Angebote sie trotzdem. Diese Tatsache habe Google den Nutzern nicht korrekt kenntlich gemacht, so die FTC.

22,5 Millionen ist eine Menge Geld - für Google aber ein Klacks. Die Summe entspricht 0,81 Prozent des Gewinns, den der Konzern allein im zweiten Quartal 2012 erwirtschaftete. Das "Wall Street Journal" rechnete aus, dass Google die Strafe in fünf Stunden wieder verdient haben dürfte. Dabei ist die Summe höher als jedes Bußgeld, das die FTC je verhängt hat, und weit höher als jedes Bußgeld, das etwa in Deutschland jemals wegen Datenschutzverstößen verordnet wurde. Zum Vergleich: Nachdem im Jahr 2008 herausgekommen war, dass Lidl die eigenen Mitarbeiter von Detektiven hatte überwachen lassen, musste der Handelskonzern knapp 1,5 Millionen Euro bezahlen.

Die Millionenzahlung muss Google nur deshalb leisten, weil der Konzern schon zum zweiten Mal ins Visier der FTC geraten ist - beim ersten Mal ging es um den gescheiterten Social-Networking-Dienst Google Buzz. In der Regel kann die Behörde bei erstmaligen Verstößen gegen den Datenschutz keine Strafen verhängen, abgesehen von gewissen Ausnahmen. Etwa, wenn die Betroffenen Kinder sind, dann greift der Children's Online Privacy Protection Act (Coppa ).

Mangel an juristischen Leitplanken

Und so offenbart der Fall trotz der hohen Summe die Schwächen der US-Datenschutzbestimmungen. Wenn man sich in diesen Tagen mit Internetbürgerrechtlern in den USA oder Freunden des Datenschutzes im US-Kongress unterhält, klingt trotz des FTC-Verfahrens gegen Google Resignation durch. Niemand glaubt daran, dass in den Vereinigten Staaten in absehbarer Zukunft schärfere Datenschutzgesetze verabschiedet werden könnten, um Unternehmen wie Google oder Facebook stärker zu reglementieren. Obwohl das Thema mittlerweile "aus der Nerd-Ecke heraus ist", wie die Journalistin und Bürgerrechtlerin Rebecca MacKinnon von der Organisation Global Voices Online das formuliert.

Neben Google   und Facebook   haben auch Unternehmen wie Amazon   und Apple   ihren Sitz in den USA - allesamt Konzerne, die täglich Millionen persönliche Daten von Menschen aus aller Herren Länder verarbeiten. Mancher US-Datenschützer hofft sogar heimlich auf schärfere Regulierung in Europa. "Wenn sie dort drüben den Pegel erhöhen, könnte das alle Boote anheben", sagt ein Jurist, der im Dienste des US-Senats mit dem Thema befasst ist.

Dabei ist der Datenschutz in den USA nicht ganz so zahnlos, wie das auf den ersten Blick scheinen mag. "Wenn wir gegen ein Unternehmen erst einmal eine Verfügung erlassen haben, können Verstöße substantielle Strafzahlungen nach sich ziehen", sagt David Vladeck, der oberste Datenschützer der Federal Trade Commission.

Wenn ein Unternehmen erst einmal unter Aufsicht steht - so wie Google nun - kann die FTC ihm Pflichten auferlegen. Im Fall von Google und Facebook zum Beispiel "einen detaillierten Datenschutzplan zu entwickeln und ein externes Prüf-Unternehmen anzustellen, das alle zwei Jahre einen detaillierten Bericht über die Einhaltung (dieses Plans) erstellt", erklärt Vladeck. 20 Jahre lang müssen Google und Facebook sich an diese Verpflichtung halten. Bei Verstößen drohen wiederum Strafen - wie bei Google.

Selbstverpflichtung statt Gesetz

Insgesamt basiert der Datenschutz, dem US-Unternehmen sich unterwerfen müssen, weitgehend auf solchen selbstauferlegten Pflichtenheften. Wenn ein Unternehmen etwas falsch darstellt, kann die FTC eingreifen. Das ist auch die Logik hinter dem jüngsten Vorstoß der Regierung von Barack Obama: Sie hat eine "Privacy Bill of Rights" aufgesetzt, eine sieben Punkte umfassende Liste von Rechten, die Verbraucher gegenüber Unternehmen haben sollen, denen sie persönliche Daten anvertrauen. Auf Basis dieser Bill of Rights soll das US-Handelsministerium nun gemeinsam mit Unternehmen, die dazu bereit sind, "durchsetzbare Selbstverpflichtungen" entwickeln, erklärte Obamas Internetberater Danny Weitzner kürzlich bei einer Veranstaltung in Washington .

Die Selbstverpflichtungen der Internetbranche könnten dann wiederum von der FTC überwacht, eventuelle Verstöße bestraft werden. Weitzner nennt dieses Vorgehen einen "Multi-Stakeholder-Ansatz", weil viele Parteien an der Ausarbeitung eines flexiblen Regulariums beteiligt werden. Gigi Sohn von der Bürgerrechtsorganisation Public Knowledge entgegnete Weitzner bei dem Treffen: "Multi-Stakeholder ist für manche ein Codewort für Deregulierung." Weitzner betonte, das sei keinesfalls die Absicht seiner Regierung: "Wir müssen mehr tun als nur sagen 'der Markt regelt das schon'". Der Schweizer Urs Gasser, der derzeit das Berkman Center für Internet und Gesellschaft in Harvard leitet, sagt jedoch: "Die USA verlassen sich immer noch sehr auf Selbstregulierung."

"Ein sehr schwaches Blatt auf der Hand"

Dieser Ansatz aber stößt an Grenzen - spätestens dann, wenn Unternehmen eine derart dominante Position in einem Markt errungen haben, dass sie quasi zu öffentlicher Infrastruktur werden. Wer Facebook oder Google nutzen will, der muss sich mit ihren Nutzungsbedingungen einverstanden erklären, einen anderen Weg gibt es nicht.

Man mache sich "durchaus Gedanken über solche 'Nimm es oder lass ess'-Angebote", sagt FTC-Mann Vladeck. Man habe dagegen "keine substantiellen juristischen Werkzeuge". Die aber gebe es in Deutschland auch nicht, fügt er hinzu. Die FTC plane derzeit einen hausinternen Workshop zum Thema. Ein Mitarbeiter des US-Kongresses, der nicht namentlich genannt werden will, kommentiert das Thema so: "Die FTC muss mit dem Blatt spielen, das sie auf der Hand hat, und das ist ein sehr schwaches Blatt."

In Europa setzen die Verantwortlichen auf eine härtere Gangart. EU-Kommissarin Viviane Reding hat eine Verordnung zum Datenschutz ausgearbeitet, die, wenn sie tatsächlich in Kraft treten sollte, für den ganzen europäischen Binnenmarkt gelten würde. Der Unterschied ist klar: Die EU will von oben durchregulieren, in den USA setzt man auf Unternehmens-Kodizes und Rechtsetzung durch Präzedenzfälle und Gewohnheitsrecht (common law).

Entscheidend sei doch, so Vladeck "dass wir wirklich nicht weit auseinander liegen, was die angestrebten Ziele angeht". Für die Ziele mag das gelten, mit den konkreten Plänen Redings allerdings ist man in den USA zum Teil gar nicht einverstanden. Die Vorstellung der weltweiten Gültigkeit einer europäischen Regelung beispielsweise hält Vladeck für problematisch, ebenso wie das von Reding angeregte "Recht, vergessen zu werden". "Sie müssen in der Lage sein, einem Unternehmen zu erklären, wie es das umsetzen soll", sagt der FTC-Datenschützer, und das sei derzeit völlig unklar. Dass US-Unternehmen in Brüssel massiv lobbyieren, um die Verordnung noch in ihrem Sinne zu formen, hält der FTC-Datenschützer für gerechtfertigt: "Immerhin sind sie Gegenstand dieser Regulierung."

Dass bald ein neues Datenschutzgesetz in den USA auf den Weg gebracht wird, glaubt jedenfalls keiner. So eine Gesetzesinitiative müsse vom Kongress ausgehen, sagt Obamas Internetberater Weitzner, "und den kontrollieren wir nicht". Derzeit halten die Republikaner die Mehrheit im Repräsentantenhaus, die Demokraten die im Senat - keine idealen Voraussetzungen für erfolgreiche Gesetzesinitiativen.

Bevor sich daran etwas ändere, sagt ein leicht resigniert wirkender Kongress-Jurist, "muss es wohl erst einen großen, gravierenden Zwischenfall mit Datenverlust geben". Man dürfe nicht vergessen, dass das Internetgeschäft derzeit eine der wenigen Wachstumsbranchen sei, die die USA noch hätten. Einer seiner Kollegen, der selbst für einen demokratischen Senator arbeitet, ergänzt zynisch: "Die US-Regierung wird gar nichts unternehmen, solange es kein Geld zu verdienen gibt."