Der Arbeitskreis Vorratsdatenspeicherung, ein Zusammenschluss von
Bürgerrechtlern, Datenschützern, IT-Experten und Juristen in
Deutschland, hat sich am heutigen Tage mit einem Offenen Brief an die
Firma Google gewandt. Der Arbeitskreis kritisiert, Googles Speicherung
von IP-Adressen erlaube es, jeden Klick und jede Sucheingabe seiner
Nutzer über Monate hinweg personenbezogen nachzuvollziehen. "Die von
Google angekündigte Anonymisierung personenbezogener Daten 'nach 18 bis
24 Monaten' ist vollkommen unzureichend", erklärt der Jurist Patrick
Breyer vom Arbeitskreis. "Nach deutschem und europäischem Recht ist die
systematische Vorratsspeicherung personenbeziehbarer Daten aller Nutzer
generell verboten."
Der Offene Brief führt aus: "In einer demokratischen Gesellschaft
ist es die Aufgabe des Parlaments und nicht kommerzieller Unternehmen,
die Interessen der Nutzer und der Anbieter gegeneinander abzuwägen.
Dass die nur fallweise Speicherung personenbezogener Daten ausreicht,
zeigt eine Reihe großer Webseiten in Deutschland, die seit langem ohne
Protokollierung personenbezogener Daten operieren." Der Brief erinnert
daran, dass Datensammlungen wie die von Google immer wieder missbraucht
werden und etwa in China zu Menschenrechtsverletzungen führen. Auch in
westlichen Demokratien nutzten Sicherheitsbehörden Daten dieser Art zur
Ausspähung legitimer Protestgruppen wie Menschenrechts- und
Umweltorganisationen.
Dass Google die in Europa geplante Vorratsspeicherung von
Telekommunikationsdaten kritisiert, begrüßt der Arbeitskreis
grundsätzlich. "Es wäre allerdings wünschenswert, dass Google sein
eigenes Verhalten an den safe harbor privacy principles orientieren
würde und freiwillig das strengste anwendbare Datenschutzrecht beachten
würde", erklärt Twister (Bettina Winsemann) vom Arbeitskreis. "Die von
Google beabsichtigten Verbesserungen seiner Dienste sind auch mit
anonymisierten Daten möglich. Kriminellen Angriffen kann mit einer
anlassbezogenen Speicherung von Daten begegnet werden."
Der Arbeitskreis fordert Google nachdrücklich auf, seine
personenbeziehbare Erfassung des Verhaltens unzähliger rechtmäßig
handelnder Nutzer sofort zu beenden. Eine anonyme Nutzungsmöglichkeit
der Google-Dienste, wie sie das Konkurrenzunternehmen Ask.com jetzt angekündigt hat,
könnte dabei sogar Kunden für die Firma zurückgewinnen, die sich längst
von ihr abgewandt haben. Einstweilen empfieht der Arbeitskreis
Vorratsdatenspeicherung sicherheitsbewussten Nutzern die europäische
Metasuchmaschine Ixquick,
die auf die Suchdaten Googles zugreift, personenbezogene Daten ihrer
Nutzer aber nach spätestens 48 Stunden löscht. Interessant ist auch die
peer-to-peer (p2p) Websuche von www.yacy.net, die ohne zentralen Server
arbeitet und damit keine Nutzerdaten sammeln kann.
Der offene Brief
Berlin, 25 July 2007 Mr Peter Fleischer Privacy Counsel Google 38, avenue de l'Opéra F-75002 Paris
Dear Mr Fleischer,
in your letter dated June 10th [1] to the Chairman of Article 29 Working Party, Mr Peter Schaar, you claim
that data protection is one of Google's main interests. We appreciate
your willingness to improve protection of your customers privacy. Even so we
are strongly concerned about Google's ongoing violation of European law.
You argue that it would not be possible to preserve your
interests in
security, innovation and fraud-resistance without storing personal data
such as IP addresses, search logs and user behaviour for a minimum of
18
months at least. However in a democratic society it is up to Parliament
and not commercial enterprises to balance the users' and the providers'
needs.
For example German law specifically prohibits the retention of
personal data unless it is needed for billing purposes. As most
services offered by Google are free of charge, storing personal data
obtained from these services is illegal. Local laws are
applicable to Google, and the
level of data protection should follow the laws of the country with the
strictest protection of privacy.
We do fully accord with with your questioning of the EU Data
Retention
Directive. However, the directive is limited to E-Mail, Messaging
Services and VoIP services on the Internet and does not apply to your
search engine, for example. There is no reason why Google should bow to
obligations that do not exist.
You give examples of why data retention is supposed to be
necessary
for the operation of Google services. Of course analysing user trends
may be necessary for software like Google Spell Checker, but anonymised
data would
be absolutely sufficient for this purpose. Additionally, the
protection of your servers against criminal attacks does not justify a
blanket collection of personal data of all customers. Retaining data on
a case by case basis is sufficient as demonstrated by several large
websites in Germany that have long operated without logging any
personally identifiable data. In any case, the retention of data does
not, by itself, prevent or stop attacks. Moreover, dealing with fraud
is the business
of public prosecutors, not of private companies. Prosecutors may order
the collection and preservation of data when needed.
Finally, we would like to remind you of how dangerous extensive
data collection
can potentially be. As a company operating world-wide, Google should be
well aware that not all countries in the world are democracies. Data
collected by private companies can be and is being abused by
totalitarian regimes. We wonder how it is possible to pervasively
filter
Google search results for Chinese users while anonymising search
strings
is supposed to compromise the operation of Google services. Furthermore
we know that intelligence agencies - even in democratic societies - use
(or more accurately abuse) the data you collect in order to spy on
human rights or environmental NGOs, on legitimate protest groups and
local activists. The only way to prevent abuse is to refrain from
collecting personally identifiable data in the first place.
For the time being, you should at least consider opening
anonymous gateways to your services such as the Google search engine.
We are confident that offering services without retaining identifiable
data during a test phase will convince you that the security of your
services will not be compromised. It may even generate business from
users who currently refuse using your services because of your blanket
retention practices. [2]
Sincerely, German Working Group on Data Retention (Arbeitskreis Vorratsdatenspeicherung) http://www.vorratsdatenspeicherung.de
[1] http://64.233.179.110/blog_resources/Google_response_Working_Party_06_2007.pdf
[2] http://www.privacyinternational.org/issues/internet/interimrankings.pdf
|
Weitere Informationen: |