Google Street View: Datensammlung erfolgte absichtlich
Nachdem die FCC, die Federal Communications Commission, Google bereits Mitte April wegen andauernde Unkooperativität bei ihren Ermittlungen zu „Google Street View“ eine Verwaltungsstrafe von 25.000 US-Dollar auferlegte, liegt nun auch ihr Bericht zu dem „Street View“-Fall ansich und den dabei gesammelten Daten vor.
Bislang herrschte die – vor allem von Google selbst vertretene – These vor, dass jener Softwareabschnitt in Googles WLAN-Erfassungsprogramm, der aus öffentlich zugänglichen Netzwerken persönliche Daten sammelte, nur durch ein Missgeschick seinen Weg dort hinein fand. Dabei wurden zum einen unverschlüsselte, aber auch verschlüsselte Datensätze aufgefangen, jedoch nur erstere gespeichert. Unter diesen Daten befanden sich E-Mails, Passwörter, Browser-Historien und auch gerade angesurfte URLs der jeweiligen Nutzer. Diese Aussage wurde getätigt, als aus diversen Gründen die vorherige Auskunft Googles, dass man keinerlei Daten sammle, nicht mehr haltbar war.
Nun widerspricht aber der erst genannten Sicht der Dinge auch der vorliegende Bericht der FCC (PDF) zu diesem Thema. Dieser stützt sich dabei auf die Antworten Googles auf einen „Letter of Inquiry“ (LOI), also eines Briefes mit bestimmten Fragen der Kommission an das Unternehmen.
Laut den dabei erhaltenen Antworten soll der verantwortliche – und nur in Teilzeit beschäftigte – Ingenieur die Softwarepassage absichtlich selbst geschrieben und zum Einsatze gebracht haben. Laut dem Bericht erhoffte er sich von den gesammelten Daten aus unverschlüsselten und ungeschützten WLANs einen Nutzen für andere Google-Dienste. Bei der Beantwortung des LOI legte Google auch ein Design-Dokument des Ingenieurs vor, in dem dieser all die nötigen Voraussetzungen im Hard- und Softwarebereich darlegte. Darin auch enthalten waren Vorschläge, wie es am besten für eine effektive Datensammlung aus WLAN-Netzwerken einzusetzen sei.
Zwar fügte der Ingenieur auch einen Abschnitt über mögliche Konfliktzonen mit Aspekten des Datenschutzes und der Privatsphäre der betroffenen Personen ein, allerdings sah er im Endeffekt darin kein sonderlich großes Problem. Das begründete er damit, dass die „Street View“-Automobile ohnedies nicht in der unmittelbaren Nähe der Betroffenen seien und die Daten ebenso wenig in ihrer Rohform für Endnutzer verfügbar wären.
Was die aufgefangenen verschlüsselten Daten betrifft, hatte der Ingenieur laut Bericht einen Mechanismus in die Software integriert, der die Daten auf ein sogenanntes „Encryption-Flag“ hin absuchte. War ein solches bei einem aufgeschnappten Datenpaket vorhanden, wurde dieses Paket schlicht aus dem Speicher gelöscht.
Was die Frage der Kenntnis von diesem Projekt angeht, so wollen sich viele der an diesem speziellen Teil des „Street View“ Projektes beteiligten Personen nicht mehr an dieses Design-Dokument und seinen Inhalt erinnern können. Das, obwohl sie den gesamten Code entweder auf Fehler hin untersucht hatten oder ihn in „der Wildnis“ ausprobierten. An eine E-Mail, dass der Entwickler der Software im Jahr 2006 an das ganze „Street View“-Team schickte und darin seine Pläne darlegte, erinnert sich ebenfalls niemand mehr. Der Ingenieur selbst verweigerte im Zuge seines Recht auf Aussageverweigerung bei Gefahr von Selbstbelastung die Aussage.
Laut dem Bericht erfolgte diese Art der Datensammlung in den USA zwischen Januar 2008 und April 2010, wobei über 200 Gigabyte an Daten anfielen.
Die Kommission kommt in dem Bericht letztendlich zu dem Schluss, dass Google nicht nach dem Artikel 705 (a) des Communications Act für seine Datensammlungsaktivitäten belangt werden kann. Das ist dem Umstand geschuldet, dass es keinen klaren Präzedenzfall gibt, wonach diese Gesetzespassage auch auf Wi-Fi gestützte Kommunikation anwendbar ist. Dabei war auch die Aussage-Verweigerung des Ingenieurs maßgeblich, der das „Sniffer-Programm“ dereinst schrieb. Durch dessen Weigerung konnten relevante Fragen zur Sachverhaltsbeurteilung nicht beantwortet werden. Ebenfalls zu dieser Entscheidungsfindung trug bei, dass keine Beweise vorlagen, wonach Google die verschlüsselten Daten zugänglich machte oder sie für sich selbst nutzte.
Der Bericht selbst war, wie die hamburger Wochenzeitung „Die ZEIT“ berichtet, zuerst in einer zensierten und gekürzten Version in der New York Times veröffentlicht worden. In Folge eines Antrages von US-Datenschützern auf Einsicht in das Dokument veröffentlichte es dann Google selbst, allerdings unter Schwärzung diverser darin vorkommenden Namen.