Googles Standards zum Schutz privater Daten
Anlässlich des Datenschutztages letzte Woche erläutert Googles Justitiar David Drummond in einem Beitrag im Firmen-Blog, wie bei Google Auskunftsersuchen auf Einsicht in private digitale Daten, die auf Googles Servern gespeichert sind, gehandhabt werden. Drummond betont, Google schütze die Daten der Nutzer, wo immer es geht.
Jeden Tag erreichen Google einige Dutzend Auskunftsersuchen von Regierungsbehörden und Gerichten aus aller Welt. Justitiar Drummond erläutert, dass Google sich einige Mühe gibt, die Daten seiner Nutzer zu schützen. Dem gegenüber steht generell der legitime Anspruch von Behörden, in bestimmten Fällen Zugang zu bei Google gespeicherten Daten zu erhalten.
Jedes Ersuchen auf Auskunft wird als erstes streng überprüft, ob es dem Gesetz und Googles Richtlinien entspricht. Um denen zu entsprechen, muss das Anliegen schriftlich vorliegen, unterschrieben von einer autorisierten Person oder Regierungsstelle. Als nächstes wird der Umfang des Ersuchens beurteilt. Erscheint dieser zu weit gefasst, wird das Ersuchen entweder abgelehnt oder Google versucht, den Umfang in Absprache mit dem Antragsteller zu mindern. Das geschieht laut Drummond relativ häufig.
Hier weiß Google ein Gerichtsurteil (PDF) zu seinen Gunsten hinter sich, in dem das US-amerikanische Justizministerium gegen Google unterlag. Ein Richter gab im Jahr 2006 Google Recht, als diese die Herausgabe aller IP-Adressen, die eine Abfrage ihrer Suchmaschine zu Tage fördern würde und zusätzlich aller Suchanfragen an Googles Suchmaschine in den letzten 30 Tagen ablehnte. Der Richter entschied, das Ersuchen des Ministeriums (PDF) sei übertrieben und man möge die Anzahl der IP-Adresse auf maximal 50.000 begrenzen. Die Anfrage auf Herausgabe aller Suchanfragen eines gesamten Monats wurde vom Gericht komplett verworfen.
Als nächstes versucht Google die betroffenen Personen zu informieren, dass ein Ersuchen zur Einsicht in ihre privaten Daten vorliegt, sodass die Betroffenen entweder die auskunftsuchende Behörde oder einen Rechtsanwalt kontaktieren können. Das ist nicht in jedem Fall möglich, da manche Auskunftsersuchen Restriktionen unterliegen und keine Weitergabe von Informationen erlauben.
Weiterhin fordert Google von Behörden, die im Rahmen eines Kriminalfalls Ersuchen auf Herausgabe von Suchergebnissen, E-Mail-Verkehr, Photos oder Videos stellen, die Vorlage eines richterlichen Bescheids, der einen hinreichenden Tatverdacht bescheinigt. Der Electronic Communications Privacy Act (ECPA) als zuständiges Gesetz sieht einen solchen Bescheid nur als notwendig an, wenn die angeforderten Daten jünger als sechs Monate sind und verlangt keine richterliche Genehmigung. Google beruft sich hier aber nach Drummonds Aussagen auf den vierten Zusatz zur Verfassung der Vereinigten Staaten, der Schutz vor unverhältnismäßigen Durchsuchungen bietet, die Privatsphäre schützt und nach Googles Richtlinien höher angesiedelt ist als die Bestimmungen des ECPA. Auch wenn sich Google damit über die Jahre besonders bei US-amerikanischen Behörden unbeliebt gemacht hat, hat bisher niemand eine Klärung des Sachverhalts vor dem Surpreme Court der USA beantragt. Senator Patrick Leahy versucht derzeit ebenfalls, einen richterlichen Beschluss als zwingend vor der Herausgabe privater digitaler Daten im Gesetz zu verankern.
Google versucht, rechtliche Verpflichtungen der Firma in dieser Hinsicht möglichst transparent zu handhaben und veröffentlicht im Rahmen eines Transparenzberichts Zahlen und Fakten und beantwortet beispielsweise Fragen zum Thema Auskunftsersuchen.
Mehrere Gruppen, Institutionen und Firmen streben seit Jahren eine Änderung des ECPA an, um privaten digitalen Daten den gleichen Schutz vor dem Gesetz zu gewähren, den private Daten in unseren eigenen vier Wänden haben. Hier engagiert sich Google in der Initiative Digital Due Process.