(Neu: Ermittlungen Hamburger Datenschützer)

NEW YORK (dpa-AFX) - Das Online-Netzwerk Google Plus hat jahrelang ein Datenleck gehabt: App-Entwickler konnten seit 2015 ohne Erlaubnis auf einige privaten Nutzerdaten zugreifen. Der Internet-Riese entdeckte und schloss die Lücke im März - verschwieg das aber zunächst. Nun wird das Netzwerk für Verbraucher dichtgemacht. Außerdem werden allgemein die Möglichkeiten von App-Entwicklern eingeschränkt, auf Nutzerdaten auf Smartphones mit dem Google-System Android zuzugreifen. Google Plus war 2011 als Konkurrenz zu Facebook gestartet, hatte sich aber nie durchsetzen können.

Durch die Software-Panne hätten App-Entwickler auf den Namen, die E-Mail-Adresse sowie Informationen über Beschäftigung, Geschlecht und Alter von Nutzern zugreifen können, räumte Google am Montag ein. Um andere Daten gehe es nicht. Zugleich kann Google den Kreis der betroffenen Nutzer nicht genau eingrenzen. Der Fehler sei im März 2018 entdeckt und umgehend behoben worden, hieß es.

Google hat zwar keine Hinweise auf einen Datenmissbrauch, aber auch nicht genug Informationen aus der Vergangenheit, um ihn vollständig auszuschließen. Der Konzern hatte sich im März dagegen entschieden, die Öffentlichkeit gleich über die Entdeckung zu informieren.

Der Hamburger Datenschutz-Beauftragte Johannes Caspar leitete deswegen Ermittlungen ein. "Offenbar hat Google den Vorfall bewusst verschwiegen, damit Gras über die Sache wächst", erklärte Caspar der Deutschen Presse-Agentur am Dienstag. "Zentrale Frage wird sein, wann die Lücke durch Google geschlossen wurde."

Denn die EU-Datenschutzgrundverordnung (DSGVO), die strikt vorschreibt, Betroffene zu informieren, und mit Strafen von bis zu vier Prozent des Jahresumsatzes droht, greift erst seit Ende Mai. Wenn Google allerdings die Lücke tatsächlich noch im März schloss, gilt dafür noch das alte Recht des Bundesdatenschutzgesetzes. "Dies setzt bei der Informationspflicht hohe Hürden und greift nur für den Fall, dass besonders sensible Daten von der Lücke betroffen waren", erläuterte Caspar.

Potenziell könnten Profile von bis zu 500 000 Konten bei Google Plus betroffen sein, erklärte der Internet-Konzern unter Verweis auf eine Analyse der Daten von zwei Wochen im März. Der Konzern könne aber keine weitergehenden Angaben machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden. Bis zu 438 Apps könnten auf die Schnittstelle mit der Datenlücke zugegriffen haben, hieß es.

Google Plus werde derzeit von Verbrauchern kaum genutzt - und 90 Prozent der Interaktionen dauerten weniger als fünf Sekunden, erklärte der Konzern. Die Einstellung der Verbraucherversion solle nach einer zehnmonatigen Übergangszeit Ende August kommenden Jahres abgeschlossen werden. Damit gesteht Google auch offiziell die bereits klare Niederlage im Wettstreit der Online-Netzwerke mit Facebook ein. Für die interne Kommunikation in Unternehmen soll Google Plus aber weiterbetrieben werden.

Größere Auswirkungen für Verbraucher dürften entsprechend die Änderungen beim Mobil-Betriebssystem Android haben, das auf Geräten von hunderten Millionen Menschen läuft. Die Nutzer werden präziser bestimmen können, welche Daten sie mit einer App teilen wollen, wie Google ankündigte. Grundsätzlich würden weniger Apps Zugriff auf Anruflisten und SMS-Daten bekommen.

Außerdem werde auch der Zugriff von App-Entwicklern auf die E-Mails in Googles GMail-Dienst stärker eingeschränkt. Das "Wall Street Journal" hatte im Sommer berichtet, App-Entwickler verwendeten zum Teil E-Mails von Nutzern, um Algorithmen etwa für automatische Antworten zu trainieren. Das hatte für Kritik gesorgt, war aber nach Darstellung der Beteiligten durch die Nutzungsbedingungen gedeckt.

Dem "Wall Street Journal" zufolge wiesen Googles Juristen das Top-Management nach Entdeckung der Schwachstelle darauf hin, dass eine Offenlegung vermutlich "sofortiges Interesse von Regulierern" und Vergleiche mit dem Facebook-Datenskandal um Cambridge Analytica auslösen würde. Ein internes Gremium habe entschieden, nicht an die Öffentlichkeit zu gehen, Google-Chef Sundar Pichai sei darüber informiert gewesen. Ein Google-Sprecher sagte der Zeitung, ausschlaggebend bei solchen Entscheidungen sei unter anderem, ob es Hinweise auf Missbrauch gebe und ob man betroffene Nutzer identifizieren könne.

Schnittstellen für App-Entwickler hatten auch eine zentrale Rolle in dem Mitte März ausgebrochenen Facebook-Datenskandal um Cambridge Analytica gespielt. Das Online-Netzwerk erlaubte es App-Entwicklern bis 2015, auch auf Daten von Freunden eines Nutzers zuzugreifen.

Der Entwickler einer Umfrage-App sammelte nicht nur die Daten von Teilnehmern einer Erhebung und derer Freunde - und reichte sie anschließend unberechtigterweise an die Datenanalyse-Firma Cambridge Analytica weiter. Facebook erfuhr zwar bereits 2016 davon, gab sich aber mit der Zusicherung zufrieden, dass alle Daten gelöscht seien und informierte die Betroffenen nicht. Diese Vorgehensweise sorgte für massive Kritik./so/DP/edh