Die EU-Kommission ist gerade dabei, um Google mithilfe des DSA (Digital Service Act) dazu zu zwingen, die Internetsuche per API für Drittanbieter zu öffnen. Gut gedacht, aber schlecht gemacht, das ist der Tenor dessen, was Sicherheitsforscher von diesem Ansatz halten. Durch die Öffnung der Such-API für Drittanbieter erhalten diese Zugriff auf die sensiblen Daten der Suchenden. Ein Datenschutz- und Sicherheits-GAU aller erster Güte, heißt es.
Vorschlag der EU zum Teilen von Daten
Es wurde Mitte April 2026 bekannt, die EU-Kommission hat Google Vorschläge gemacht, wie der Konzern seine Suche und KI-Anwendungen wettbewerbskompatibel machen kann. heise hat das Thema beispielsweise in diesem Beitrag aufgegriffen und zitiert Wettbewerbskommissarin Teresa Ribera mit: "Daten sind ein wichtiger Input für die Online-Suche und für das Entwickeln neuer Dienste, einschließlich KI".
Die Idee ist nun, dass Google konkrete Daten zur Internetsuche sowie KI-Suche mit Drittanbietern teilen muss. Über den Preis für diese geteilten Daten gibt es derzeit noch keinerlei Informationen. Denn Details hat die EU-Kommission dem heise-Beitrag wohl nicht mitgeteilt. Aber der Digital Service Act (DSA) ermöglicht der EU-Kommission das Vorhaben durchzusetzen.
Risiken für Datenschutz und Sicherheit?
Gut gedacht ist nicht immer gut gemacht. Daraus weist Lukasz Olejnik, europäischer Datenschutz und Sicherheitsexperte, in nachfolgendem Tweet und seiner Ausarbeitung The European Commission is turning Google Search into a privacy and national-security risk hin.
Denn in dem Vorschlag der EU-Kommission, heißt es, dass Google jede Suchanfrage (Query) durch Endbenutzer an seine Suchmaschine mit Drittanbietern teilen muss (siehe folgende Abbildung).
Zudem sollen auch die Meta-Daten über Ort, Zeit und Sprache mit den Drittanbietern geteilt werden. Olejnik schreibt, dass der Entwurf vorsehe, dass die gesamte Suchanfrage des Nutzers, der Zeitstempel, grobe, aber aussagekräftige Standortdaten, die Suchsprache, die Gerätekennung, der Zeitpunkt und die Reihenfolge von Klicks, Hover-, Scroll- und Wischgesten sowie Erweiterungsereignisse, die vollständige Abfolge von Such-, Anzeige-, Klick- und Ranking-Daten, die im Laufe der Zeit mit einem Nutzer verknüpft sind, und vieles mehr weitergegeben werden müssen.
Damit schafft die EU, so Olejnik quasi einen staatlich erzwungenen "Trojaner" in der Google Suche. Der Vorschlag der Europäischen Kommission könnte eines der größten Risiken für den Datenschutz und die nationale Sicherheit in Europa seit Jahrzehnten mit sich bringen, argumentiert Olejnik. Würde der EU-Kommissionsvorschlag so umgesetzt, würde Google gezwungen, sensible Suchdaten von Millionen Europäern an Dritte weiterzugeben.
Die Weitergabe an Dritte könnte auch Einrichtungen umfassen, die von feindlich gesinnten Akteuren als Tarnung genutzt werden. Sie müssten lediglich einige formale Anforderungen erfüllen, um über Tarnfirmen an sensible Daten heranzukommen – und das alles mit dem Segen der EU-Kommission. Das Datenschutzrisiko sei ernst (denn Suchanfragen sind schnell deanonymisiert), und das Risiko für die nationale Sicherheit ist real, meint Olejnik.
In seiner Ausarbeitung The European Commission is turning Google Search into a privacy and national-security risk beruft er sich auf seine über 15-jährige Erfahrung und schlägt Alarm, indem er die entstehenden Risiken benennt. Suchanfragen seien äußerst private Daten, die oft mit sensiblen Geheimnissen der Nutzer verbunden sind. Das kann etwa Erkrankungen, sexuelle Vorlieben, Beziehungen und viele andere Arten von Informationen umfassen, von denen die Nutzer nicht erwarten, dass sie weitergegeben werden – insbesondere nicht an beliebige Dritte und in großem Umfang. In der von der EU-Kommission geforderten Größenordnung birgt eine unzureichende Anonymisierung nicht nur ein verbleibendes Datenschutzrisiko, sondern ermöglicht wahrscheinlich auch die dauerhafte Nachverfolgung und Überwachung von Personen, Orten, Institutionen und Ereignissen in ganz Europa. Und damit ist man bei der nationalen Sicherheit.
Olejnik schreibt, dass es von entscheidender Bedeutung sei, dass jeder Ansatz, der zur Weitergabe solcher Daten führt, einen starken Datenschutz gewährleistet, der eine Verknüpfbarkeit, De-Anonymisierung und andere Verwendungen der Daten, die die Datenschutzvorstellungen der Nutzer untergraben würden, verhindert. Die Kommission schlägt im Proposal zwar ein Filtersystem vor, das auf Zulassungslisten für Stellen, Schwellenwerten für die Abfragelänge, der Verallgemeinerung von Metadaten und vertraglichen Kontrollen basiert. Für diese Art von Daten, hält Olejnik diesen Ansatz in diesem Umfang und bei einer täglichen Übermittlung auf Datensatzebene an mehrere Dritte derzeit für nicht angemessen. Er reiche schlichtweg nicht aus. Er behandele Suchdaten so, als könne der Datenschutz dadurch gewährleistet werden, dass man vage andeutet, wofür die Daten verwendet werden sollen, anstatt zu verstehen, wofür sie tatsächlich verwendet werden.
EU-Bürokratie als fünfte Kolonne?
Generell scheint sich die EU-Kommission samt angelagerter Bürokratie sich (ungewollt, gut gedacht, schlecht gemacht) zur "fünften Kolonne" zu entwickeln, die gegen die Interessen der EU-Bürger handeln.
- Tarnkappe greift in diesem Artikel das Thema der von der EU-Kommission verfolgten Altersverifizierung auf, die der Proton-CEO als Trojanisches Pferd bezeichnet.
- Aktuell gibt es zudem die Meldung, dass die EU-Kommission Google über den DSA dazu zwingt, Android im Hinblick auf KI-(Such-)Funktionen für Dritte zu öffnen. Hier könnte ein ähnliches Szenario drohen – von einer Forderung, dass jegliche KI-Funktionen abschaltbar sein müssen, habe ich noch nichts gelesen.
Diese Informationssplitter zeigen, was da mit der Bürokratie in der EU schief läuft. Die Tage bin ich auf den Focus-Beitrag Europa ist wirtschaftlich eng an die USA gebunden. Eigene Entscheidungen und Regulierung haben diese Abhängigkeit mitverursacht (eine Übersetzung des The Economist) gestoßen, der die Folgen beschreibt.
MVP: 2013 – 2016
