Deutsche Verbraucherschützer haben sich mit einer Klage gegen die Datenschutzerklärung und die Nutzungsbestimmungen von Google durchgesetzt. Das Landgericht Berlin erklärte insgesamt 25 Klauseln für rechtswidrig, wie der Verbraucherzentrale Bundesverband (vzbv) am Dienstag mitteilte. Sie seien zu unbestimmt formuliert gewesen oder hätten die Rechte der Verbraucher unzulässig eingeschränkt. Das Urteil ist noch nicht rechtskräftig, Google will in Berufung gehen.
Bei 13 der Klauseln geht es um den Datenschutz. Google habe sich in der Datenschutzerklärung unter anderem das Recht vorbehalten, "möglicherweise" gerätespezifische Informationen und Standortdaten zu erfassen oder "unter Umständen" personenbezogene Daten aus den verschiedenen Google-Diensten miteinander zu verknüpfen, erläuterte vzbv-Chef Gerd Billen. Für Verbraucher sei unklar geblieben, wozu sie ihre Zustimmung genau erteilen sollten, kritisierte er.
Zudem ist aus Sicht des vzbv keine rechtskonforme Einwilligung in die Nutzung personenbezogener Daten möglich, wenn Verbraucher bei der Registrierung lediglich eine Erklärung mit dem folgenden Text ankreuzen: "Ich stimme den Nutzungsbedingungen von Google zu und habe die Datenschutzerklärung gelesen."
Google ist der Ansicht, dass die Verbraucherschützer nicht befugt sind, gegen die Datenschutzerklärung zu klagen, weil sie nicht Teil der Allgemeinen Geschäftsbedingungen sei. Billen forderte eine erweiterte Klagebefugnis: "Verbraucherverbände müssen ohne Hürden auch gegen datenschutzrechtliche Verstöße vorgehen können." Die neue Bundesregierung solle eine entsprechende Regelung schaffen.
Datenschutz
Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.
Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?
Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?
Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?
Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?
Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?
Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?
Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen?
Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?
Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?
Transaktionen im Internet
Liegen Verisign-Zertifikate vor?
Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?
Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?
Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?
Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?
Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?
Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?
Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?
Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?
Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Bei den zwölf betroffenen Nutzungsbestimmungen geht es laut vzbv unter anderem um das Recht von Google, Anwendungen von einem Gerät zu entfernen, Funktionen von Diensten abzuschaffen sowie sämtliche in den Diensten eingestellte Daten zu überprüfen, zu ändern und zu löschen. Auch dass sich Google das Recht vorbehielt, die Nutzungsbestimmungen einseitig ohne Einwilligung des Verbrauchers zu ändern, hielt der vzbv für unangemessen benachteiligend.
"Wir werden gegen das Urteil Berufung einlegen. Wir sind davon überzeugt, dass unsere Nutzungsbedingungen und unsere Datenschutzerklärung im Einklang mit den entsprechenden Gesetzen sind", erklärte ein Google-Sprecher am Dienstagabend. (dpa/hal)