Jetzt hat Google wohl seinen ersten Datenskandal

Im Prinzip habe ich ja nur auf eine solche Meldung gewartet: Spammer aus den USA sind durch das FBI ermittelt worden, weil sie unter anderem Dokumente bei Google Docs hinterlegt haben. So berichtete Heise am gestrigen Sonntag.

Die beiden Amerikaner sollen der Meldung zufolge eine Firma namens „Pulse Marketing“ betrieben und eine Spammail-Kampagne für ein Diätmittel illegal durchgeführt haben. In der Regel werden die Behörden den Versendern solcher Spam-Mails nicht habhaft, in diesem Fall aber hat das geklappt:

Nachdem gegen die beiden Verdächtigen ein Haussuchungsbefehl erwirkt wurde, gab auf Anfrage auch Google die Daten der beiden Männer heraus – nach zehn Tagen, wie es heißt.

Etliche der Dienste von Google, so auch Google Docs sind per definitionem als Clound Computing benannt, einer IT-Struktur, bei der die Bearbeitung und Speicherung von Daten nicht mehr lokal auf dem eigenen Rechner erfolgt, sondern über das Netz bei einem oder mehreren Anbietern oder Rechnern. Bequem ist das allemal, genügt doch ein halbwegs aktueller Webbrowser und eine Internetanbindung, um arbeiten zu können. Und auch über die Speicherung der so generierten Daten muss sich der Nutzer solcher Clouds kein Gedanken machen – wohl aber darüber, wem er seine Daten anvertraut.

In diesem Fall dauerte es also kurze zehn Tage und schon hatte das FBI die persönlichen Daten der Verdä#chtigen – nach US-amerikanischem Recht ist das durchaus legal.

Nun mag man argumentieren, dass es mit den beiden Spammern sicher nicht „die Falschen“ getroffen hat, aber Anlass zum Nachdenken, welche Daten ich in die Cloud gebe und im Speziellen, welche Daten ich Google überlasse, gibt diese Meldung schon.

Denn nun ist endgültig der Beweis für das erbracht, was viele schon vermutet haben: Google gibt die Daten, die das Unternehmen von seinen Nutzern sammelt, im Zweifelsfall recht fix an amerikanische Behörden weiter. Das ist nicht illegal – aber aus der Perspektive des deutschen Rechtsverständnisses aber höchst problematisch – schließlich kennt man in den Vereinigten Staaten keine unserem Bundesdatenschutzgesetz auch nur halbwegs entsprechende Gesetzeslage. Und so muss ich jeder, der Google-Dienste nutzt im Klaren sein: Im Zweifel bleiben persönlichen Daten NICHT bei Google.

Datenkrake, Quelle: FoeBuD

Weiterhin – und das spiegelt auch die Diskussion im Heise-Forum wieder, muss man sich generell überlegen, ob man in der Cloud arbeiten will. Ich selbst mache das nicht, auch wenn die Vorteile verlockend sind. Für Clound Computing spricht, dass ich plattformübergreifend mit gewohnten Tools around the globe meine Arbeit getan bekomme und noch nicht mal einen Datenträger – und sei es auch nur ein USB-Stick – mit dabei haben muss. Und die so erstellten Dokumente und Ergebnisse kann ich per Mausklick meinem Team zur Verfügung stellen, die dann die Dokumente live bearbeiten können. Groupware war gestern, in der Cloud geht das heute perfekt.

Das grundsätzliche Problem liegt bei der Übertragung und der Speicherung von Daten. Während es inzwischen Usus ist, die Übertragungswege anständig zu verschlüsseln, ist bei der Speicherung aber noch lange nicht gewährleistet, dass die Daten nicht doch irgendwo im Klartext herumliegen oder wieder entschlüsselt werden können. Bei Google ist letzteres ganz offensichtlich der Fall. Und damit verbieten sich solche Dienste wie Google Docs eigentlich von selbst.

Zwar ist die lokale Speicherung von Daten im Vergleich zur Cloud etwas inconvenient, aber immerhin behalte ich so selbst die Kontrolle darüber, wo mein Zeug liegt und wie gut ich es verschlüssele. Das kann ich lokal oder, wenn ich das wirklich brauche, auch über einen eigenen Server realisieren. Die Groupware-Effekte sind dann natürlich im Eimer, spätestens dann, wenn ich im Team arbeiten will, komme ich um eine saubere Groupware-Lösung nicht mehr herum.

Das macht aber nichts – diesen Aufwand würde ich allemal treiben. Das Hauptaugenmerk und Ausgangspunkt jeden Nachdenkens über die Aufgabe darf nicht der Bedienkomfort sein; vielmehr muss die Datensicherheit an allererster Stelle stehen.

Das Beispiel der Spammer und der Beweissicherung des FBIs durch Zutun von Google zeigt, wie problematisch es ist, seine Daten in fremde Hände zu geben (besonders dann, wenn diese Hände außerhalb des eigenen Rechtssystem arbeiten – denn dann können die mit meinen Daten quasi alles machen, was sie wollen). Und: Ich muss kein Krimineller, kein Spammer sein, um mir solche Gedanken zu machen. Ich will auch nicht, dass Google meine Betriebsgeheimnisse irgendwelchen US-amerikanischen Geheimdiensten oder Behörden durchreicht. Und auch nicht, dass ich von Google für irgendwelche Werbemaßnahmen profiled werde. Als: Finger weg von Google, auch von Google Docs.

Was aber ist die Lehre aus der Sache? Auch wenn es diesmal „nur“ Spammer getroffen hat: Man darf nicht erwarten, dass Google persönliche Daten schützt. Wenn die Ammis was von Google wollen, dann werden die das wohl auch herausrücken. Diesmal hat es zehn Tage gedauert, wer weiß, vielleicht geht das auch irgendwann mal in Echtzeit by request? Und, so ist bei Heise zu lesen:

Anders als bei einer realen Durchsuchung erfahren die Betroffenen bis zur Anklage nichts von einer online durchgeführten. Die Behörden sind nicht verpflichtet, sie zu informieren. Google-Sprecher Brian Richardson erklärte laut Wired, man versuche Kunden sogar schon vor der Herausgabe von Daten zu informieren, sofern dies legal sei und die Ermittlungen nicht gefährde. Damit hätten sie die Möglichkeit, dagegen juristische Mittel einzulegen. Doch LeviBeers erklärte, er habe monatelang nichts von der Herausgabe seiner Daten gewusst.

Das bedeutet nichts anderes als: Wenn Google Deine Daten weitergibt, wem auch immer, merkst Du das nicht mal. Ist eh klar. Trotzdem: Na bravo. Also: Finger weg davon.