Google wurde in Australien mit Sanktionen in Höhe von 60 Millionen AUD (rund 40 Millionen USD +) für Android-Einstellungen sanktioniert, die es vor etwa fünf Jahren vorgenommen hatte und die – in einem Gerichtsurteil aus dem Jahr 2021 – festgestellt wurden, dass sie Verbraucher über die Erfassung von Standortdaten in die Irre geführt haben.
Die australische Wettbewerbs- und Verbraucherkommission (ACCC) leitete bereits im Oktober 2019 ein Verfahren gegen Google und seine australische Tochtergesellschaft ein und verklagte den Technologieriesen vor Gericht, weil er gegenüber Verbrauchern irreführende Angaben zur Erfassung und Verwendung ihrer persönlichen Standortdaten auf Android-Telefonen gemacht hatte. zwischen Januar 2017 und Dezember 2018.
Im April 2021 stellte das Gericht fest, dass Google gegen das australische Verbrauchergesetz verstoßen hatte, als es einigen Android-Nutzern erklärte, dass die Einstellung „Standortverlauf“ die einzige Google-Kontoeinstellung sei, die sich darauf auswirkt, ob personenbezogene Daten über ihren Standort erfasst, gespeichert und verwendet werden.
Tatsächlich ermöglichte eine andere Einstellung – genannt „Web- und App-Aktivität“ – Google auch, die Standortdaten von Android-Nutzern abzurufen, und diese war standardmäßig aktiviert, wie das ACCC in a feststellte Pressemitteilung heute. Aka, ein klassisches dunkles Muster. (Eigentlich hat Google verschachtelte dunkle Muster im Plural eingesetzt, wie wir weiter unten näher erläutern.)
Die Regulierungsbehörde schätzt, dass Nutzer von rund 1,3 Millionen Google-Konten in Australien möglicherweise einen Bildschirm angesehen haben, der vom Gericht als Verstoß gegen das Verbrauchergesetz eingestuft wurde.
„Diese erhebliche Strafe, die das Gericht heute verhängt hat, sendet eine starke Botschaft an digitale Plattformen und andere große und kleine Unternehmen, dass sie Verbraucher nicht darüber täuschen dürfen, wie ihre Daten gesammelt und verwendet werden“, sagte ACCC-Vorsitzende Gina Cass-Gottlieb. in einer Stellungnahme.
„Google, eines der weltweit größten Unternehmen, war in der Lage, die über die Einstellung „Web- und App-Aktivität“ gesammelten Standortdaten zu speichern, und diese gespeicherten Daten konnten von Google verwendet werden, um Anzeigen auf einige Verbraucher auszurichten, selbst wenn diese Verbraucher die ‚ Die Einstellung des Standortverlaufs wurde deaktiviert.“
„Persönliche Standortdaten sind für einige Verbraucher sensibel und wichtig, und einige der Nutzer, die die Darstellungen gesehen haben, hätten möglicherweise andere Entscheidungen bezüglich der Erfassung, Speicherung und Verwendung ihrer Standortdaten getroffen, wenn die irreführenden Darstellungen nicht von Google gemacht worden wären“, sagte sie hinzugefügt.
Laut ACCC hat Google Schritte unternommen, um das widersprüchliche Verhalten bis zum 20. Dezember 2018 zu korrigieren, was bedeutet, dass den Verbrauchern im Land die irreführenden Bildschirme nicht mehr gezeigt wurden.
Zum Zeitpunkt des Gerichtsurteils im vergangenen Jahr sagte Google, es sei mit den Ergebnissen nicht einverstanden und erwäge eine Berufung. Aber für den Fall entschied es sich, die Klumpen zu nehmen.
(Diese sind nicht so schmerzhaft, wie sie es gewesen wären, wenn die Verstöße jünger gewesen wären: Die ACCC stellt fest, dass der Großteil der sanktionierten Verhaltensweisen vor September 2018 stattfand, also bevor die Höchststrafe für Verstöße gegen das Verbrauchergesetz erheblich erhöht wurde – von 1,1 Mio. USD pro Verstoß bis – seitdem – dem höheren Wert von 10 Mio. USD, dem Dreifachen des Werts eines erzielten Vorteils oder, wenn der Wert nicht bestimmt werden kann, 10 % des Umsatzes.)
Das Gericht hat Google außerdem dazu verpflichtet, dafür zu sorgen, dass seine Richtlinien eine Verpflichtung zur Einhaltung der Vorschriften enthalten und dass bestimmte Mitarbeiter über das Verbrauchergesetz des Landes geschult werden müssen, sowie einen Beitrag zu den Kosten des ACCC zu leisten.
Google wurde wegen einer Stellungnahme zu der Sanktion kontaktiert. Ein Unternehmenssprecher schickte uns diese Erklärung:
„Wir können bestätigen, dass wir zugestimmt haben, die Angelegenheit bezüglich des historischen Verhaltens von 2017-2018 beizulegen. Wir haben viel investiert, um Standortinformationen mit branchenweit ersten Tools wie der automatischen Löschsteuerung einfach zu verwalten und leicht verständlich zu machen und gleichzeitig die Menge der gespeicherten Daten erheblich zu minimieren. Wie wir gezeigt haben, sind wir bestrebt, fortlaufende Updates vorzunehmen, die den Benutzern Kontrolle und Transparenz geben und gleichzeitig die hilfreichsten Produkte anbieten, die möglich sind.“
Dunkle Muster in dunklen Mustern
Die ACCCs Pressemitteilung enthält einige Screengrabs, die Android-Nutzern Google-Benachrichtigungen zeigen, die das Gericht als irreführend befunden hat – darunter drei Versionen von Googles Einstellungsbildschirm für Web & Aktivitäten, die Verbrauchern angezeigt werden, die ein Google-Konto auf ihrem Gerät einrichten, in denen das Wort „Standort“ überhaupt nicht erwähnt wird .
Stattdessen weist Google die Verbraucher auf einem – der zwischen dem 30. April 2018 und dem 19. Dezember 2018 erschien – an, dass die Einstellung „Ihre Suchanfragen, den Chrome-Browserverlauf und Ihre Aktivitäten von Websites und Apps speichert, die Google-Dienste verwenden“, bevor es sie anstupst, ein Pre zu behalten – Ausgewählte Option zum „Speichern meiner Web- und Aktivitätsdaten in meinem Google-Konto“ (auch bekannt als „Aktivieren der Google-Verfolgung“), indem vorgeschlagen wird: „Dies gibt Ihnen bessere Suchergebnisse, Vorschläge und Personalisierung in allen Google-Diensten.“ Aber nirgendwo wird erklärt, dass der Benutzer einer Standortverfolgung zustimmt.
Wenn Android-Nutzer versuchen würden, den „Standortverlauf“ zu deaktivieren – dh über eine völlig separate Einstellung, die es ihnen nicht ermöglichte, die Standortverfolgung von Google zu verhindern – könnte ihnen auch ein verwirrendes Popup angezeigt werden, das ihre Entscheidung zum „Pausieren des Standortverlaufs“ abfragt ?“, wie Google es ausdrückte und sie warnte, dass die Entscheidung „die Funktionalität einiger Google-Produkte im Laufe der Zeit einschränken würde“.
Es ist schwer zu sagen, was überhaupt der Sinn davon war, da die Einstellung die Verbraucher nicht in die Lage versetzte, Google vollständig daran zu hindern, an ihrem Standort zu schnüffeln, also war es wahrscheinlich hauptsächlich dazu da, FUD zu verbreiten.
Der Text in dieser Benachrichtigung endet mit einer weiteren verwirrenden Zeile – die dem Benutzer sagt: „Denken Sie daran, dass das Pausieren dieser Einstellung keine vorherigen Aktivitäten löscht“ – und auf noch mehr Einstellungen verweist, in denen Google vorschlägt, dass sie „diese Informationen anzeigen und verwalten“ könnten Ihre Standortverlaufskarte“. Dies sollte sie vermutlich in ein sinnloses Kaninchenloch schicken – und gleichzeitig ihre Aufmerksamkeit von der Web- und Aktivitätseinstellung ablenken, in der Google eine andere Standortverfolgungseinstellung versteckt hatte.
Andere Versionen der Web & Activity-Einstellung, die das Gericht zwischen Anfang 2017 und Ende 2018 als irreführende Android-Nutzer befunden hat, beinhalten eine, die eine vollständige enthält fünf Mögliche Aktionen, die ein Benutzer ergreifen könnte – eine Überfülle an Wahlmöglichkeiten, die offensichtlich darauf abzielt, ihn dazu zu bringen, die Einstellung „Ein“ unverändert zu lassen, da es so drastisch unklar ist, was alles andere auf dem Bildschirm verfügbare bedeutet.
„Wenn Sie mehr als ein Konto gleichzeitig verwenden, werden einige Daten möglicherweise in Ihrem Standardkonto gespeichert. Erfahren Sie mehr unter support.google.com“, führt ein auffälliges kryptisches Kleingedrucktes von Google auf – ohne die fragliche URL tatsächlich zu verlinken, um den Verbraucher dorthin zu schicken, wo er tatsächlich „mehr erfahren“ könnte (oder, nun ja, schnell feststellen muss, dass es nichts gibt viel zu lernen und sicherlich kein ‚Aus‘-Schalter da).
Dieses Stück Kleingedrucktes scheint hauptsächlich dazu gedacht zu sein, die Verbraucher davon abzuhalten, die zu lesen eigentliche Beschreibungn der Funktion der Web- und Aktivitätseinstellung – eine Einstellung, die, wie Sie sich erinnern, standardmäßig aktiviert ist – da diese sehr hervorstechenden Informationen darunter (und über einem auffälligeren Kontrollkästchen) vergraben sind. Aber auch hier ist Google nicht klar: Auch hier wird das Wort „Standort“ überhaupt nicht verwendet; Es gibt nur einen indirekten Verweis auf „Karten“, der in einer Liste verborgen ist, die „schnellere Suchen“ und „kundenspezifische Erfahrungen“ in den Vordergrund stellt, um die Verbraucher zur Zustimmung zu bewegen.
Durch die Verwendung des Namens seines beliebten Maps-Produkts als Ersatz für den Standort scheint Google vorzuschlagen, dass Android-Benutzer diese Einstellung aktivieren müssen, wenn sie Maps verwenden möchten – anstatt deutlich zu machen, dass sich die Einstellung auf seine Fähigkeit zur Verfolgung bezieht ihren Standort.
Der gleiche Einstellungsbildschirm Auch enthält ein vorab angekreuztes Kontrollkästchen neben noch mehr Text, der besagt: „Chrome-Browserverlauf und -aktivität von Websites und Apps einbeziehen, die Google-Dienste verwenden“ – Google entbündelt also scheinbar die Tracking-Einstellungen, vermutlich als Backup für den Fall eins Eine dieser vorgeprüften Einstellungen wird deaktiviert, was bedeutet, dass es zumindest Daten über die andere abrufen kann.
Danach gibt es noch mehr Kleingedrucktes, untergebracht unter der faden Rubrik „Daten von diesem Gerät“, die lautet: „Berichte über App-Aktivität von diesem Gerät steuern“. Dieser Text ist jedoch nicht sofort visuell mit einer Einstellung verknüpft, mit der der Benutzer interagieren kann – so dass jeder, der einen Blick darauf wirft, davon ausgehen könnte, dass er überhaupt nicht auf eine Option hinweist, und sie überspringt.
Unten, ganz unten auf dem Bildschirm, befindet sich eine Hyperlink-Option zu „AKTIVITÄTEN VERWALTEN“. Dieser Text ist fetter – in GROSSBUCHSTABEN. Zieht also die Blicke auf sich. Doch was ist das überhaupt? Warum muss der Benutzer in die Hölle des neuen Google-Untermenüs waten, um zu versuchen, das Tracking zu deaktivieren, wie diese Option zu implizieren scheint? Sicherlich können sie dafür einfach den Ein-Schalter oben auf dem Einstellungsbildschirm umschalten …
Natürlich drängt alles, was in diesen Schichtkuchen mit dunklen Mustern gebacken wird, den Verbraucher weit davon weg, zu verstehen, was tatsächlich mit seinen Daten los ist, damit er aufgibt und das standardmäßige Tracking eingeschaltet lässt. Wirklich eine Meisterklasse in täuschend manipulativem Design.
Ein großer Neustart?
Während die heutige Erklärung von Google zur ACCC-Sanktion zu implizieren versucht, dass alle irreführenden Standortverfolgungssachen der Vergangenheit angehören, sieht sich das Unternehmen einer laufenden Untersuchung der gleichen Praktiken in der Europäischen Union gegenüber – die seit Februar 2020 läuft – wo es am Haken sein könnte für eine größere Geldstrafe, wenn festgestellt wird, dass es gegen die Datenschutz-Grundverordnung des Blocks verstoßen hat (da Strafen bis zu 4 % des weltweiten Jahresumsatzes betragen können).
Verbraucherschützer in der EU reichten bereits im November 2018 Beschwerden über Googles irreführende Standortverfolgung ein. Google wird also immer noch behaupten können, es sei weitergezogen – unabhängig vom Ergebnis.
Ein Entscheidungsentwurf der irischen Datenschutzbehörde, die die Untersuchung leitet, wird in diesem Jahr erwartet – obwohl eine endgültige Entscheidung auf 2023 verschoben werden könnte, da sie vom Netzwerk der Datenschutzbehörden des Blocks überprüft und eine Einigung über eine etwaige Durchsetzung erzielt werden muss.
Aber es gibt noch mehr – Anfang dieses Sommers reichten europäische Verbraucherschutzgruppen eine neue Reihe von Beschwerden gegen Google ein – und beschuldigten den Werbegiganten des irreführenden Designs rund um den Kontoerstellungsprozess, von dem sie sagen, dass er Benutzer dazu bringt, einer umfassenden und invasiven Verarbeitung ihrer Daten zuzustimmen.
Die Beschwerden heben hervor, wie viele weitere „Klicks“ von Google benötigt werden, um Benutzern die Möglichkeit zu geben, sich von der Nachverfolgung abzumelden, anstatt die Schlüssel zu ihren Daten zu handhaben … also plus ça ändern Rechts?
Das schleppende Tempo der europäischen Datenschutzgesetzgebung lässt vermuten, dass Google mit einer Frist von mehreren Jahren rechnen kann, bevor Korrekturanordnungen landen – was die Verbraucher in der Zwischenzeit ungeschützt lässt.
Aber es zeichnet sich eine härtere Reform ab: Die EU-Gesetzgeber haben sich kürzlich darauf geeinigt, ein Verbot für Online-Plattformen, die irreführende/manipulative und/oder verwirrende Schnittstellen entwerfen und einsetzen, in ein bevorstehendes Flaggschiff-Update des digitalen Regelwerks des Blocks aufzunehmen.
Der Digital Services Act (DSA) soll im Allgemeinen Verantwortung und Rechenschaftspflicht in Bezug auf digitale Dienste durch Steuerung der Governance einleiten.
Bei dunklen Mustern wird viel von den Besonderheiten des DSA-Textes und seiner Interpretation abhängen, klar – und es kann immer noch Spielraum für mächtige Plattformen geben, um Wege zu finden, wie sie haihafte Praktiken einsetzen, um Verbraucher ihrer Rechte und Entscheidungsfreiheit zu berauben. Aber ein wesentliches Merkmal des Gesetzes ist, dass es eine aktive Rolle für die Europäische Kommission bei der Durchsetzung (gegen größere Plattformen – sogenannte VLOPs) mit sich bringt.
Dazu gehört die Ermächtigung der EU-Exekutive, einzugreifen und Leitlinien zu bewährten Verfahren in Bereichen wie dem Schnittstellendesign herauszugeben. Kombiniert mit einer neuen Fähigkeit, Wiederholungstätern die Zähne zu zeigen – da sie ermächtigt wird, VLOPs mit saftigen Geldstrafen zu belegen, wenn sie gegen die DSA-Regeln verstoßen –, könnten einige der verbraucherorientierten Vorschriften der EU plötzlich ziemlich schwerer zu ignorieren sein. (Die DSA wird sich ab dem nächsten Jahr bewerben.)
Strafen für Verstöße gegen das DSA können bis zu 6 % des weltweiten Jahresumsatzes betragen. Die Kosten und das Risiko des Datendiebstahls von Personen steigen also sicherlich. Ob es ausreicht, um Tracking-Giganten zum Nachdenken zu bringen – oder, was wirklich nötig ist, eine sinnvolle Reform datenschutzfeindlicher Geschäftsmodelle zu erzwingen – bleibt abzuwarten.