Durch die Software-Panne hätten Anbieter von Smartphone-Anwendungen den Namen, die E-Mail-Adresse sowie Informationen über Beschäftigung, Geschlecht und Alter von Nutzern auslesen können, räumt Google ein. Man habe zwar keine Hinweise auf einen Datenmissbrauch, aber auch nicht genug Informationen, um ihn vollständig auszuschließen, zitiert das „Wall Street Journal“ aus internen Unterlagen.

Potenziell könnten Profile von bis zu 500 000 Konten bei Google Plus betroffen sein, erklärte der Internet-Konzern unter Verweis auf eine Analyse der Daten zweier Wochen im März. Der Konzern kann aber keine weitergehenden Angaben machen, weil Nutzungsprotokolle nur zwei Wochen lang gespeichert werden. Bis zu 438 Anwendungen könnten auf die Schnittstelle mit der Datenlücke zugegriffen haben, heißt es.

Google Plus werde derzeit von Verbrauchern kaum genutzt und 90 Prozent der Interaktionen dauerten weniger als fünf Sekunden, erklärt der Konzern. Die Einstellung der Verbraucherversion solle nach einer zehnmonatigen Übergangszeit Ende August kommenden Jahres abgeschlossen werden. In diesem Zeitraum würden Nutzer etwa mit Informationen darüber versorgt, ob und wie sie mit ihren Daten zu anderen Diensten umziehen könnten. Die eigenen Inhalte herunterzuladen, ist jetzt schon über Googles Datenexport-Funktion möglich. Mit der Schließung seines Dienstes gesteht Google offiziell die klare Niederlage mit Facebook ein. Für die interne Kommunikation in Unternehmen soll der Netzwerk-Dienst weiter betrieben werden.

Größere Auswirkungen für Verbraucher dürften die Änderungen beim Mobil-Betriebssystem Android haben, das auf Geräten von hunderten Millionen Menschen läuft. Die Nutzer könnten künftig präziser regeln, welche Daten sie mit einer App teilen wollten, kündigte der US-Konzern an. Grundsätzlich bekämen weniger Anwendungen Zugriff auf Anruflisten und SMS-Daten.

Außerdem werde der Zugriff von Programmierern auf Googles E-Mail-Dienst stärker eingeschränkt. Das „Wall Street Journal“ hatte im Sommer berichtet, App-Entwickler verwendeten E-Mails von Nutzern, um ihren Programmen beizubringen, automatisch zu antworten. Das hatte für Kritik gesorgt, sei aber nach Darstellung der Beteiligten durch die Nutzungsbedingungen gedeckt gewesen.

Dem „Wall Street Journal“ zufolge wiesen Googles Juristen das Top-Management nach Entdeckung der Schwachstelle darauf hin, dass eine Offenlegung vermutlich „sofortiges Interesse von Regulierern“ und Vergleiche mit dem Facebook-Datenskandal um Cambridge Analytica auslösen würde. Ein internes Gremium habe entschieden, nicht an die Öffentlichkeit zu gehen, Google-Chef Sundar Pichai sei darüber informiert gewesen. Ein Google-Sprecher sagte der Zeitung aus New York, ausschlaggebend bei solchen Entscheidungen sei unter anderem, ob es Hinweise auf Missbrauch gebe und ob man betroffene Nutzer identifizieren könne.

Die Aufmerksamkeit der europäischen Datenschutzbehörden ist Google jetzt dennoch gewiss. In der EU schreibt die Ende Mai in Kraft getretene Datenschutzgrundverordnung (DSGVO) strikt vor, Behörden und Betroffene innerhalb kurzer Zeit zu informieren.

Johannes Caspar, Datenschutzbeauftragter in Hamburg, sagte unserer Zeitung, er selbst habe erst durch Medienberichte von der Sicherheitslücke erfahren. „Eine Untersuchung durch unsere Aufsichtsbehörde wurde eingeleitet. Offenbar hat Google den Vorfall bewusst verschwiegen, damit Gras über die Sache wächst. Die zentrale Frage wird sein, wann die Lücke durch Google geschlossen wurde.“

 Wie Caspar erklärt, gelte bei Verstößen, die vor dem Inkrafttreten der DSGVO lägen, das Rückwirkungsverbot. Habe Google den Fehler bereits im März 2018 nach dessen Entdeckung ausgeräumt, sei also das alte Bundesdatenschutzgesetze wirksam. Die Informationspflicht sei dort weniger streng geregelt als in der neuen europäischen Vorgabe. Zudem bleibe die Bußgeldhöhe mit 300 000 Euro weit hinter der DSGVO zurück, die bis zu 4 Prozent des Jahresumsatzes eines Unternehmens als Bußgeldhöhe vorsehe.