Google hat keine Papierkörbe

Im Schweizer Tagesanzeiger findet sich jüngst unter dem Titel “Privatsphäre wird zum Luxusgut” ein Interview mit dem aus Altersgründen scheidendem eidgenössischen Datenschutzbeauftragten Hanspeter Thür. Er verweist in diesem Interview u.a. darauf, dass die Chefs der großen digitalen Plattformen ihre Privatsphäre rigiros schützen. Was sich auch daran festmachen ließe, dass die Namen der Kinder des Google – Gründers Larry Page nicht bekannt seien.
In diesem Zusammenhang fällt mir ein, dass es in der Hamburger Niederlassung von Google keine Papierkörbe gibt und jedes anfallende Papier per Arbeitsanweisung in den Schredder zu befördern ist, und sei es nur Kaugummipapier. Die Einhaltung dieser Anweisung wird den Mitarbeitern recht einfach gemacht. Wenn es keine Papierkörbe gibt, wandert eben alles in den Schredder. Zufall?

Sicher nicht. Eher ein clever durchdachtes System. Selbst wenn man die vielfach behauptete These unbeachtet lässt, dass bei Google die Mitarbeiter per Webcam beobachtet werden, ist die Sorgfalt, mit der Google in eigener Sache Informationssicherheit betreibt, schon auffällig. Das ist nicht verwunderlich, sondern logisch. Denn ein Unternehmen, das für die “Transparenz des Jedermanns” in der Welt, in der wir leben, zum großen Teil mit verantwortlich ist, wird sich gegen die Mechanismen, die es selbst geschaffen hat, zu schützen wissen.
Vor dem Hintergrund der Ereignisse um Edward Snowden, die NSA, das EuGH-Urteil zu Safe Harbor und die daraus folgenden Diskussionen um Cloud-Dienste ist Google leider fast ein wenig aus dem Fokus der Datenschützer gerückt und sollte vielleicht auch deshalb hier wieder einmal Erwähnung finden. Insbesondere Google Mail ist mir persönlich ein Dorn im Auge, weil es auch in meinem Bekanntenkreis eine Reihe Leute gibt, die Gmail nutzen und damit auch meine Adressdaten an Google übermitteln.
Und nicht nur das. Aus den AGB von Google geht hervor, in welchem Umfang Google Daten aus dem Mailverkehr nutzt. Wer das gelesen hat, sollte eigentlich einen weiten Bogen um Gmail machen, wenn ihm Privatsphäre etwas wert ist. Leider gibt es aber zu viele Leute, die kostenlose Dienste der eigenen Privatsphäre vorziehen und damit auch die Privatsphäre derer unterwandert, die Gmail bewusst vermeiden. Eben weil diese Leute Gmail benutzen, um Nachrichen zu verschicken und dabei die Privatsphäre der Empfänger missachten, die vielleicht nicht wollen, das Google Adressdaten und Inhalte analysiert. Man kennt dies auch von Facebook, wenn Nutzer ihre Adressbücher synchronisieren, ohne die betroffenen Kontakte um Erlaubnis zu fragen. Um dies zu unterbinden, müsste man jeden einzelnen verklagen, der so gegen die Interessen Betroffener verstößt. Das wäre eine recht lange Liste und wer geht schon rechtlich gegen Feunde, Bekannte und vor allem Geschäftspartner vor?

Nunmehr erfahren wir aus dem Interview mit Hanspeter Thür, dass Tamedia, die Herausgeberin u.a. des Tagesanzeigers, sich von Outlook abwendet und ihre geschäftliche Kommunikation auf Gmail verlagert. Tamedia begründet dies öffentlich mit dem Hinweis, dass “Cloud-Services wie Google Apps for Work weltweit bei Tausenden von Unternehmen im Einsatz sind.” Weiterhin würde „jede heute versandte E-Mail über mehrere Server in mehreren Ländern umgeleitet, bis sie beim Empfänger ankommt – unabhängig davon, ob mit Outlook, G-Mail oder einem anderen Dienst.“ Darüber hinaus sei die Vorstellung unrealistisch, dass “allein der Entscheid für ein anderes E-Mail-­Programm die Daten vor dem Zugriff von Geheimdiensten schützen würde”.
“Google for Work” ist eine 100%ige Cloudlösung, die auf Safe Harbor aufsetzt. Einen Monat nachdem der EuGH Safe Harbor für ungültig erklärt hat, findet Hanspeter Thür die Nutzung dieses Systems “hochgradig riskant für das Unternehmen” und gibt sich “höchst erstaunt”, dass eine Firma so etwas macht. Ich ehrlich gesagt bin auch erstaunt, um nicht zu sagen: Geht’s noch?

Man mag in Sachen Schweiz das Thema Datenschutz anders bewerten, als in anderen Ländern Europas, wenn man so etwas liest oder hört. Schließlich gibt es dort keine Bußgelder für Datenschutzverstöße und Safe Harbor hat in der Schweiz einen anderen Stellenwert als in den EU-Staaten, eben weil die Schweiz Safe Harbor explizit kündigen müsste. Auf jeden Fall ist aber aus dem Blickwinkel der Informationssicherheit eine Denkweise wie die von Tamedia die definitiv dünnste Begründung, die man als Datenschützer im Alltag zu hören bekommt.
“Andere machen das auch so” ist außerhalb der Schweiz ein wunderbarer Ansatz für ein Bußgeldverfahren oder auch eine Untersagung des Verfahrens durch eine Aufsichtsbehörde. Ich muss es auch hier wieder einmal sagen. Wenn man neben 10 anderen im Halteverbot steht, kann man das eigene Fehlverhalten mit dem der anderen nicht rechtfertigen. Doch leider bekommt man als Datenschützer mit dieser Begründung immer wieder zu hören, dass IT-Prozesse in Unternehmen fachseitig umgesetzt werden, ohne die Nebenthemen zu berücksichtigen. Der Fokus liegt auf Einfachheit der Prozesse und kostengünstigen Lösungen und wird fachseitig mit den Worten kommentiert: “Wir wollen doch nicht päpstlicher sein, als der Papst.”

Mal abgesehen von der Rechtsordnung, die auch in der Schweiz ein Telekommunikationsgeheimnis vorgibt, sollte es weiterhin nicht neu sein, dass Schlapphüte, Hacker, Cracker und andere lichtscheue Elemente sich nicht die Mühe machen, einzelne Nutzer im Internet zu sniffen, um persönliche Informationen oder Bankdetails abzugreifen. Natürlich muss man annehmen, dass jeglicher Datenverkehr im Netz von verschiedensten Parteien gespeichert wird, angefangen bei der NSA.
Es ist allerdings immer noch viel einfacher, z.B. mit Phishing tausende von Empfänger glauben zu lassen, eine persönliche Mail erhalten zu haben. Die Opfer reagieren hierauf und übermitteln persönliche Daten an einen Empfänger, der ihnen unbewusst völlig unbekannt ist und der ganz bestimmt keine hehren Absichten verfolgt.
Noch einfacher ist es für die bösen Jungs, sich an Anbieter zu halten, die von vielen genutzt werden, und sei es bspw. nur ein Schuhverkäufer, der seine Produkte online anbietet und Kreditkartenkäufe ermöglicht.
Man muss Google leider eine gewisse Brillianz zugestehen, indem eine Technologie auf dem Markt implementiert wurde, die viele freiwillig nutzen und massenhaft persönliche Informationen frei Haus zentral an eine Stelle liefern, die die Daten dann versilbert. Man sollte hierbei auch nicht ungewürdigt lassen, dass die meisten Anwender keinen Unterschied zwischen Google for Work und Gmail machen. Google ist Google. In vielerlei Hinsicht.
Alternativen kosten Geld, ja. Aber es macht einen großen Unterschied, ob man mit persönlichen Daten zahlt, oder monatliche Kosten für einen eigenen Mailserver hat, den man auch beherrschen kann. Am Ende des Tages wird eine verantwortliche Geschäftsführung sich im Zweifel die Frage gefallen lassen müssen, wieso Entscheidungen gegen den anerkannten Stand der Technik und gegen gesetzliche Bestimmungen getroffen werden.

Hierbei geht es nicht nur um die Position einer technisch möglichen Verschlüsselung, sondern auch um die – Entschuldigung – Blödheit, unternehmensrelevante oder persönliche Daten an einen Dienstleister auszulagern, der öffentlich kommuniziert, Emails auf werberelevante Schlagwörter zu durchsuchen und für eigene Geschäftszwecke zu nutzen, deren Inhalte man nur ahnen kann. Wie diese tatsächlich aussehen und was Google noch alles im Schilde führt, werden wir schwerlich herausfinden. Auch nicht durch das (unerlaubte) Ausspähen des Papiermülls von Google. Es gibt ja keinen…