Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat gegen Google Inc. wegen unzulässiger WLAN-Mitschnitte ein Bußgeld von 145.000 Euro verhängt. Wie es in einer Pressmitteilung heißt, fotografierte Google von 2008 bis 2010 nicht nur Straßen und Häuser für „Google Street View“, sondern erfasste zugleich auch WLAN in Reichweite der dabei verwendeten Fahrzeuge. Dabei wurden, wie Google auf Nachfrage des Datenschutzbeauftragten einräumte, auch Inhaltsdaten der erfassten unverschlüsselten WLAN-Anschlüsse aufgezeichnet.
Dies habe auch die Auswertung der von Google in Kopie zur Untersuchung des Sachverhalts zur Verfügung gestellten Daten ergeben. Unter den im Vorbeifahren erfassten Informationen befanden sich auch erhebliche Mengen an personenbezogenen Daten unterschiedlichster Qualität, hieß es. Beispielsweise seien E-Mails, Passwörter, Fotos und Chat-Protokolle erfasst worden.
Nachdem der Sachverhalt im Jahre 2010 aufgedeckt wurde, eröffnete die Staatsanwaltschaft Hamburg ein Ermittlungsverfahren, das im November 2012 eingestellt wurde. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat daraufhin den Vorgang im Rahmen eines Ordnungswidrigkeitsverfahrens wieder aufgegriffen. Mit der rechtskräftigen Feststellung, dass Google Inc. fahrlässig unbefugt personenbezogene Daten erhoben und gespeichert habe, wurde dieses Verfahren jetzt abgeschlossen. Gleichzeitig wurde Google angewiesen, die unzulässig erhobenen Daten vollständig zu löschen. Der Vollzug der Löschung wurde dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegenüber bestätigt.
Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
Nach meiner Einschätzung handelt es sich bei dem Sachverhalt um einen der größten bislang bekannt gewordenen Datenschutzverstöße überhaupt. Google hat sich bei der Aufklärung kooperativ gezeigt und öffentlich ein Fehlverhalten eingeräumt. Das Speichern personenbezogener Daten sei nie beabsichtigt gewesen. Dass es dennoch über einen solchen Zeitraum und in dem von uns festgestellten Umfang erfolgt ist, lässt dann nur den Schluss zu, dass die firmeninternen Kontrollmechanismen in erheblicher Weise versagt haben.
Fälle wie dieser zeigen deutlich, dass die Sanktionen, die das Bundesdatenschutzgesetz vorsieht, für die Ahndung derartig schwerwiegender Datenschutzverstöße bei weitem nicht ausreichen. Für multinationale Konzerne dürfte ein Bußgeld bis zu 150.000 Euro für fahrlässige, bis zu 300.000 Euro für vorsätzliche Verstöße regelmäßig keine abschreckende Wirkung erzielen. Dazu Caspar:
Solange Datenschutzverstöße nur zu Discount-Preisen geahndet werden können, ist die Durchsetzung des Datenschutzrechts in der digitalen Welt mit ihren hohen Missbrauchspotentialen kaum möglich. Die derzeit im Zuge der künftigen europäischen Datenschutzgrundverordnung diskutierte Regelung, die als maximales Bußgeld 2% des Jahresumsatzes des Unternehmens vorsieht, würde dagegen eine wirtschaftlich spürbare Ahndung von Datenschutzverletzungen ermöglichen.