Vor einem Jahr wurde das Smart Home-Startup Nest vollständige Teil des Google-Konzerns. Google übernahm dadurch nicht nur die Produkte, sondern erlangte auch Zugriff auf die Nutzerdaten der Nest-Kunden. Warum das möglich ist und wieso Google in Frankreich nun auf 50 Millionen Euro verklagt wurde, erklärt Peter Hense, Datenschutz-Experte bei der Leipziger Kanzlei Spirit Legal.
Google hat sich mit dem Kauf von Nest Zugriff auf alle Nutzerdaten der Kunden verschafft. Was bedeutet das für die Nest-Kunden? Können sie sich gegen die Datenweitergabe wehren?
Peter Hense: Tatsächlich kann man, wenn ein Unternehmen den Inhaber wechselt, wenig unternehmen. Die Nutzer können nur die Vertragsbeziehung mit Nest beenden und die Geräte abschalten. Dann wurde aber umsonst in die Geräte investiert und sie können nicht mehr genutzt werden. Eine andere Möglichkeit bleibt in diesem Fall leider nicht. Anders sieht es aus, wenn nicht das ganze Unternehmen verkauft wird, sondern es sich um einen Asset Deal handelt und nur die Daten der Nutzer weiterverkauft werden. Dann habe ich tatsächlich die Möglichkeit, einfach zu widersprechen. In Deutschland ist solch ein Deal ohnehin von einer Einwilligung des Kunden abhängig.
Dies ist eine Leseprobe aus Bau.Briefing.One, unserem Insider-Newsletter für Bau, Energie & Gebäudetechnik. Alle 14 Tage neu. Und exklusiv für Abonnenten. Mehr dazu erfahren Sie hier.
Bei der Installation einer Software oder eines neuen Geräts wird man meist auch mit Allgemeinen Geschäftsbedingungen konfrontiert. Darin geht es auch um den Datenschutz und trotzdem lesen sich die Wenigsten die AGBs wirklich durch. Wozu willigt ein Nutzer dabei ein?
Ein besonderes Augenmerk muss hierbei auf die Datenschutzinformationen gelegt werden. Diese müssen nie zwanghaft bestätigt werden, denn das wäre gegen die Datenschutzgrundverordnung. Google und auch viele andere Unternehmen machen aber genau das. Möchte der Konsument ein Google-Gerät nutzen, dann muss er die Datenverarbeitung des Großkonzerns hinnehmen und eine Globaleinwilligung für alle Dienste abgeben. Das ist unzulässig, denn die DSGVO besagt, dass ein Nutzer seine Einwilligungen spezifisch erteilen können muss. Dem Konsumenten muss also die Möglichkeit gegeben werden, auszuwählen, ob er Standortdaten übermitteln möchte oder ob er erlauben will, dass ein Nutzerprofil erstellt wird. Das alles muss der Nutzer einzeln auswählen können. Bei Google wird das aber häufig umgangen.
Und das wurde bisher einfach so hingenommen?
Bisher schon, aber in Frankreich kam es vor kurzem zu einer Klage gegen Google. Die französische Datenschutzbehörde CNIL entschied nun, dass Google aufgrund der zahlreichen DSGVO-Verstöße ein Bußgeld von 50 Millionen Euro zahlen muss. Das ist das erste Mal seit Inkrafttreten der DSGVO, dass gegen eine Internetfirma eine Strafe in diesem Ausmaß verhängt wird.
Für einen Großkonzern wie Google sind 50 Millionen Euro wahrscheinlich keine große Summe. Warum erlauben sich aber auch so viele andere, kleinere Unternehmen ihre Kunden fragwürdige Einwilligungen abgeben zu lassen?
Würden die Unternehmen wirklich transparent arbeiten und ihren Kunden zeigen, was sie mit den Daten machen, dann würde das die Nutzer abschrecken. Das wissen die Unternehmen natürlich, weshalb sie dafür sorgen, dass einige Informationen nicht richtig gelesen oder ganz übersehen werden. Für diese Vorgehensweise gibt es auch einen Begriff, der nennt sich Dark Pattern. Dabei sorgt das Design der Nutzeroberfläche dafür, dass der Nutzer bestimmte Tätigkeiten ausführt, die im Interesse des Unternehmens liegen. So wird auch dafür gesorgt, dass Einwilligungen unüberlegt und schnell abgegeben werden. Die norwegische Datenschutzaufsicht hat sich dem Thema letztes Jahr bereits angenommen und die Vorgehensweise stark kritisiert. Daraufhin wurden entsprechende Guidelines entwickelt, die darüber aufklären, wie man am besten mit Dark Patterns umgeht. Und auch Frankreichs CNIL beschäftigt sich mit der manipulativen Gestaltung von Webseiten und will dagegen vorgehen.
Nun stammen viele der Smart Home-Produkte nicht aus der EU, sondern werden in China produziert und somit werden auch die Daten dort verarbeitet. Dürfen Nutzerdaten die europäischen Grenzen verlassen und nach China übermittelt werden?
Wenn das Produkt nach Europa geliefert wird und die Dienste auch in Europa erbracht werden, dann gilt ganz klar die DSGVO, auch wenn das Unternehmen seinen Sitz außerhalb der europäischen Grenzen hat. Bei DSGVO-Verstößen bleibt aber trotzdem die Frage, wie man sich dagegen durchsetzen kann. Hier kann man sich wahrscheinlich schlecht gegen das chinesische Unternehmen, dafür aber gegen die Importeure wehren. So war es zum Beispiel bei der amerikanischen Puppe Cayla der Fall, die Gespräche aufzeichnete und dadurch sensible Daten an Dritte weitergab. Der Import der Puppe nach Europa wurde verboten. Dadurch wurde auch der Verkauf nach Europa automatisch beendet, worunter das Unternehmen natürlich litt.
Dies ist eine Leseprobe aus Bau.Briefing.One, unserem Insider-Newsletter für Bau, Energie & Gebäudetechnik. Alle 14 Tage neu. Und exklusiv für Abonnenten. Mehr dazu erfahren Sie hier.
