Datenschutzverstöße durch die sogenannte Gütersloh Marketing GmbH, Beschwerde bei der LDI NRW

Gütersloh, 5. Februar 2023

In Absprache mit dem Europäischen Zentrum für digitale Rechte Noyb (Wien, Österreich) wurde Beschwerde gegen die Gütersloh Marketing GmbH wegen Datenschutzverstößen bei der Landesbeauftragten für Datenschutz und Infomationssicherheit (LDI) NRW eingereicht.

Ohne dass User darüber aufgeklärt werden oder das ablehnen können, werden sie auf der Website veranstaltungen-gt.de (die von Gütsel »adaptierte« Termindatenbank »Auf Schlür«) mit Google Analytics getrackt. Entsprechend dem EUGH Urteil »Schrems II« von 2020 ist der Einsatz von Google Analytics innerhalb der EU illegal und nicht zustimmungsfähig. Darüber hinaus werden auf einigen Seiten der #Website ohne Hinweis, ohne Zustimmung, und ohne die #Möglichkeit der Ablehnung, #Google #Maps eingebunden.

Zum einen werden dabei mehrere personenbezogene Daten (IP Adresse (georeferenzierbar), Zeitpunkt des Zugriffs, unter Umständen Referrer et cetera) zu Google in die USA übertragen, zum anderen werden dabei von Google #Cookies gesetzt, mit denen der User umfangreich getrackt werden kann. Besucht der User vor oder nach dem Besuch der Website Google (oder nutzt Google Services) oder andere Websites mit eingebundenen Google Services (etwa Google Maps) – selbst wenn diese dort datenschutzkonform eingebunden sind – wird er auch dort getrackt und alle erhobenen Daten werden mutmaßlich miteinander verknüpft. Google »weiß« dann etwa, dass und wann er die Website »Auf Schlür« besucht hat, und was er sich dort angeschaut hat, und welche anderen Websites er sich noch angeschaut hat (und wann und von wo aus) und nach was er bei Google sucht – so werden umfangreiche Personenprofile erstellt. Dank #Google #Analytics weiß Google sogar, welche Seiten sich der User auf der Website »Auf Schlür« angeschaut hat (auch solche, in denen keine Google Maps eingebunden sind), wie lange, wo er geklickt hat, wie lange er sich was angeschaut hat, ob und wie er gescrollt hat et cetera.

Unter anderem nutzt Google diese Personenprofile für personalisierte Werbung. Wofür die Daten darüber hinaus genutzt werden, ist unbekannt. Laut einem neueren EUGH Urteil (ebenfalls von Maximilian Schrems, Noyb, erstritten) dürfen illegal erhobene personenbezogene Daten von US Konzernen in der EU nicht für personalisierte Werbung verwendet werden.

2020 entschied der Europäische Gerichtshof (EUGH) auf Initiative von Noyb hin, dass die Nutzung von US Anbietern etwa durch Betreiber von Websites prinzipiell gegen die DSGVO verstößt, da US Überwachungsgesetze US Anbieter wie Google oder Facebook dazu verpflichten, persönliche Daten an US Behörden zu übermitteln. Allerdings sind die meisten Services – ausgenommen Google Analytics – nach entsprechender Aufklärung zustimmungsfähig. Man selbst darf natürlich seine eigenen Daten beliebig übertragen – es geht hier darum, dass etwa Betreiber von Websites die Daten Dritter übertragen.

Offenbar sind die Kompetenzen der Berliner Firma, die »Auf Schlür« realisiert hat, in Bezug auf Datenschutz überschaubar. Laut EUGH Urteil gehören auch Ortsdaten zu den »personenbezogenen Daten«. So kann der Standort eines Users zum einen grob über dessen IP Adresse ermittelt werden (solange er nicht etwa einen Proxy Service wie die als »VPN« bezeichneten Services nutzt (beispielsweise Nord VPN, Surfshark, Privado VPN, das Tor Netzwerk oder andere, die allerdings ihrerseits bedenklich sind, da ihre Praktiken nicht überprüfbar sind), zum anderen können unter Umständen genaueste Daten im Zusammenspiel mehrerer Services ermittelt werden – etwa bei der Nutzung von Android Smartphones (selbst wenn die Einstellungen angepasst werden, weiß man nicht, ob entsprechende Daten nicht doch erhoben werden) oder von weiteren der zahllosen Google Services. Google ist eine »Datenkrake«. Wenn man etwa den #Google #Passwortmanager nutzt, kennt Google alle persönlichen Zugangsdaten für alle Services, bei denen man den Passwort Manager einsetzt und eben auch die Services. Das Gleiche gilt für andere Anbieter, wie beispielsweise die »Schlüsselbundverwaltung« von Apple.

Das Thema bezieht sich auf Daten von natürlichen Personen. Die DSGVO bezieht sich nicht auf Daten von juristischen Personen. Die DSGVO kommt dann zum Tragen, wenn ein User durch Verknüpfung von mehr als einem personenbezogenen Datum potenziell identifizierbar ist. So ist etwa der Hinweis in der Datenschutzerklärung auf der Homepage der Stadt #Gütersloh, dass der Einsatz von Google Maps durch ein »Berechtigtes Interesse« laut Artikel 6 DSGVO gerechtfertigt sei, Nonsens und irrelevant. Um Google Maps einzusetzen bedarf es keines »Berechtigten Interesses«. Google Maps ist allerdings grundsätzlich zustimmungsfähig. Aber es muss darüber aufgeklärt werden und es muss ablehnbar sein.

Darüber hinaus erheben andere US Anbieter ähnliche Daten und Nutzerprofile, Inwieweit sie kooperieren und sich gegenseitig Daten verkaufen, ist unbekannt. Beispielsweise trackt Amazon die Nutzer intensiv und weiß genau, wann man sich welche Produkte wie lange angeschaut hat, wo man geklickt hat und wie schnell. Bei all dem mischen dann auch andere Anbieter wie etwa PayPal mit. Fun Fact: Wenn man etwas per »Klarna« bezahlt, findet bei jedem (!) Kauf eine Schufa Abfrage statt (auch bei einer Pizza). »Damit ruiniert man unter Umständen seinen eigenen Schufa Score (oder den seiner Bezugspersonen oder Nachbarn, wobei die Schufa Praktiken ohnehin mehr als fragwürdig sind)«, so ein Datenschutzexperte.

Am Rande bemerkt ist auch der beliebte Homepagebaukasten Wordpress (ebenso wie andere, etwa Jimdo oder wix.com) höchst bedenklich. Zum einen sind sie überkomplex programmiert (konträr zum Low Code Konzept), zum anderen muss man davon ausgehen, dass sie – wie man im Programmiererjargon sagt – »nach Hause telefonieren«.

Übersicht der »hilfreichen« Google Produkte

  • Android
  • Android Auto
  • Android TV
  • Chrome
  • Chrome Enterprise
  • Chromebook
  • Chromecast
  • Docs
  • Drive
  • Earth
  • Exposure Notifications
  • Fotos
  • Gboard
  • Gmail
  • Google Alerts
  • Google Arts and Culture
  • Google Assistant
  • Google Cast
  • Google Chat
  • Google Classroom
  • Google Cloud Print
  • Google Expeditionen
  • Google Express
  • Google Fi
  • Google Finanzen
  • Google Fit
  • Google Flüge
  • Google Fonts
  • Google Formulare
  • Google Groups
  • Google Input Tools
  • Google Kontakte
  • Google Maps
  • Google Meet
  • Google News
  • Google One
  • Google Pay
  • Google Play
  • Google Play Books
  • Google Play Filme und Serien
  • Google Play Spiele
  • Google Scholar
  • Google Shopping
  • Google Sites
  • Google Store
  • Google Street View
  • Google TV
  • Google Wallet
  • Google Suche
  • Kalender
  • Lens
  • Messages
  • Nest
  • Nest Wifi
  • Notizen
  • Pixel
  • Play Protect
  • Podcasts
  • Präsentationen
  • Tabellen
  • Tilt Brush
  • Travel
  • Übersetzer
  • Voice
  • Waze
  • Wear OS by Google
  • YouTube
  • YouTube Kids
  • YouTube Music
  • YouTube TV
  • Zeichnungen