» Datenschutz darf nicht kompliziert sein «

Im Google Safety Engineering Center (GSEC) in München bündelt Google seit 2019 das Engagement für Datenschutz und Datensicherheit im Internet. Ein Gespräch mit Standortleiter Wieland Holfelder über neue Entwicklungen, die Arbeitsweise seines Teams und den Digitalstandort München

Herr Holfelder, 2019 eröffnete in München das Google Safety Engineering Center, kurz GSEC. Was geschieht dort?

Das GSEC ist Googles weltweites Entwicklungszentrum für Datensicherheit und Datenschutz. Wir entwickeln dort neue Produkte, erkunden die Bedürfnisse unserer Nutzerinnen und Nutzer, vermitteln unser Wissen und stärken gemeinsam mit Partnern die Internetsicherheit.

Datenschutzfragen spielen in Deutschland eine große Rolle. Wurde das Google Safety Engineering Center bewusst hier etabliert?

Ja, schon vor zwölf Jahren, als ich in München das Google-Büro aufbaute, wurde schnell deutlich, dass Datenschutz in Deutschland einen sehr hohen Stellenwert für unsere Nutzerinnen und Nutzer hat. Im Bereich Datenschutz und Datensicherheit haben wir dann auch zuerst spezielle Entwicklungsteams aufgebaut. Und nachdem wir zehn Jahre in München diese Themen entwickelt hatten, wollten wir das noch breiter aufstellen und uns auch noch mehr öffnen. Deshalb ergab es Sinn zu sagen: Wir etablieren das GSEC dort, wo großes Interesse an diesen Fragen vorhanden ist. Unter anderem haben wir hier all unsere Produkte an die Anforderungen der Europäischen Datenschutz-Grundverordnung angepasst. Dieses Wissen und diese Achtsamkeit strahlen in andere Länder aus, das Thema Datenschutz und Datensicherheit gewinnt auf der ganzen Welt an Aufmerksamkeit.

Welche Ihrer Arbeiten begegnen Internetnutzerinnen und
-nutzern im Alltag?

Wenn Sie Google-Produkte verwenden, haben Sie sich vielleicht schon mal gefragt, welche Daten für die Personalisierung verwendet werden, um Ihnen etwa bessere Suchergebnisse zu zeigen. Das Google-Konto bietet Ihnen einen Überblick über die Aktivitätsdaten, die für solche Personalisierungen genutzt werden. Darüber hinaus können Sie im Google-Konto einstellen, ob diese weiter gesammelt werden sollen. Hierfür haben wir mit dem Privatsphärecheck ein Tool entwickelt, durch das Sie schnell Datenschutzeinstellungen in Ihrem Google-Konto vornehmen können. Für Chrome und Android haben wir den Passwortmanager entwickelt, der auf Wunsch für jede Webseite und App, die Sie nutzen, automatisch ein Passwort erstellt und speichert. Nutzerinnen und Nutzer können ihre gespeicherten Passwörter auf Sicherheitsdefizite mit dem Passwortcheck überprüfen. Innerhalb weniger Sekunden können sie sehen, ob einige ihrer Passwörter bei einem Datendiebstahl veröffentlicht wurden und wie man diese Passwörter anpassen kann. Auf diese Werkzeuge zum sicheren Umgang mit Passwörtern aus dem GSEC bin ich besonders stolz.

Weshalb?

Der Passwortmanager kann nicht von Phishing-Webseiten überlistet werden. Sie können für jede Webseite ein neues, starkes Passwort erstellen. Damit vermeiden Sie, dass schwache Passwörter von Hackern erraten werden können – und Sie vermeiden, dass das gleiche Passwort auf mehreren Seiten verwendet wird.

Warum wäre das ein Problem?

Nehmen wir an, ich bestelle auf einer Webseite Blumen für meine Frau und vergebe für das Kundenkonto eilig ein Passwort, das ich auch sonst verwende. Wenn ein Angreifer Zugang zum entsprechenden Server hat und in den Besitz dieses Passwortes kommt, kann diese Person schnell testen, ob mit der gleichen Kombination auch auf mein E-Mail-Konto oder mein Google-Konto zugegriffen werden kann. Sie kann auch Zugangsdaten zu weiteren Konten verändern, indem sie neue Passwörter erstellt. Mit den individuell und automatisch generierten Passwörtern des Passwortmanagers sind Sie schon mal sicherer unterwegs.

Was wäre noch sicherer?

Die Zwei-Faktor-Authentisierung, die wir auch für das Google-Konto anbieten: Bei diesem Prozess muss jede Anmeldung durch einen Code bestätigt werden, den wir Ihnen per Telefon senden.

Wie genau entwickeln Sie solche neuen Produkte im GSEC?

Wir laden zum Beispiel Nutzerinnen und Nutzer in unser »User Experience Research Lab« oder zu Online-Interviews ein, um etwas von ihnen zu lernen – etwa wie sie das Internet benutzen oder wie sie nach etwas suchen. Dabei versuchen wir zu verstehen, welche Werkzeuge und Hilfestellungen sie allgemein benötigen, um eine fundierte Entscheidung bezüglich ihrer Datenschutzeinstellungen treffen zu können. Wir stellen den Menschen Fragen wie »Können Sie uns erzählen, wie Sie den Chrome Browser mit verschiedenen Familienmitgliedern zusammen nutzen?« und lassen sie mit unseren Produkten interagieren, um ihre Reaktionen darauf zu sehen und zu verstehen. Diese Erkenntnisse sind sehr wichtig, weil wir so zum Beispiel erkennen, ob unsere Informationen richtig platziert sind, ob die Gestaltung der Flächen und Buttons zielführend ist. Auf diese Art stimmen wir unsere Produkte mit den Bedürfnissen der Nutzerinnen und Nutzer ab. Sicherheit darf nicht kompliziert sein, finden wir. Datenschutz darf nicht kompliziert sein. Diese Prämissen und die Tatsache, dass Bedürfnisse in diesem Zusammenhang sehr unterschiedlich sind, leiten auch künftig unser Engagement.

Sie arbeiten derzeit unter anderem daran, sogenannte Cookies von Drittanbietern in Teilen überflüssig zu machen. Was sind Cookies?

Seit das Internet existiert, gibt es Cookies. Das sind kleine Dateien, mit denen Webseitenanbieter lokal auf einem Rechner Informationen ablegen. Cookies sind zurzeit Grundlage vieler Aspekte des Internets, unter anderem braucht man sie, um Warenkörbe auf Shopping-Webseiten anbieten zu können. Oder sie erlauben es, relevante Werbung anzuzeigen: Mithilfe von Cookies lässt sich zum Beispiel speichern, dass Sie nach einem bestimmten Produkt gesucht haben. Wenn Sie auf der einen Webseite einen Rucksack suchen, kann ein Cookie das vermerken und Ihnen auf einer anderen Seite passende Rucksack-Werbung anzeigen.

Warum ist das so?

Das Internet ist eine offene und meist kostenlose Plattform. Die Angebote finanzieren sich vor allem durch Werbung, und je relevanter Werbung, desto besser ist dies für Nutzerschaft und Anbietende.

Über diese Cookies lassen sich die Bewegungen von Nutzerinnen und Nutzern online nachverfolgen. Sie arbeiten daran, dass dies künftig nicht mehr möglich ist, richtig?

Ja, wir arbeiten mit an der Entwicklung der »Privacy Sandbox«: Künftig werde ich für Werbetreibende bei Google nicht mehr über meine Cookies identifizierbar sein. Aber trotzdem möchte ich relevante Werbung angezeigt bekommen, wenn ich etwa nach einer Digitalkamera suche.

Wie löst Google das Problem?

Im Rahmen der Privacy-Sandbox-Initiative erarbeiten wir gemeinsam mit der Web-Community Standards, die den Datenschutz im Internet für Nutzer:innen fundamental verbessern sollen. Vor einiger Zeit haben wir zum Beispiel die Topics API vorgestellt, einen neuen API-Vorschlag für interessenbezogene Werbung. Topics ersetzt unseren ursprünglichen FLoC API-Vorschlag und basiert auf dem breiten Feedback, das wir von Entwicklern und der Community erhalten haben, sowie eigenen Erkenntnissen aus unseren früheren FLoC-Tests. Topics ermöglicht es Werbetreibenden, relevante Anzeigen auf der Grundlage von Interessensgebieten zu schalten, wie zum Beispiel “Sport”, die auf den Websites basieren, die ein Nutzer besucht hat. In der Vergangenheit wurden hierfür Cookies verwendet, aber die Idee hinter Topics ist, dass der persönliche Browserverlauf nie den Browser oder das Endgerät verlässt und dass er mit niemandem geteilt wird, auch nicht mit Google oder den Werbetreibenden. Das bedeutet, dass Nutzer weiterhin relevante Inhalte sehen und Unternehmen weiterhin Online-Anzeigen auf der Grundlage von Interessensgebieten schalten können, ohne auf verdeckte Tracking-Techniken zurückzugreifen.

Wir machen zudem große Fortschritte zu anderen Vorschlägen für die Privacy Sandbox, wie zum Beispiel FLEDGE und Measurement APIs. Kürzlich haben wir mit der britischen Wettbewerbs- und Marktaufsichtsbehörde (Competition and Markets Authority - CMA) zusammengearbeitet, um sicherzustellen, dass unsere Vorschläge so entwickelt werden, dass sie für alle funktionieren.

In den vergangenen Jahren entwickelte sich München zu einem Ort, in dem sich immer mehr digitale Start-ups und Unternehmen ansiedeln. Wie erleben Sie als Google-Standortleiter diese Entwicklung?

München macht eine bemerkenswerte Entwicklung durch. Apple, Amazon oder Google investieren hier in die Erweiterung der Standorte. Es gibt fantastische Firmen wie Celonis, ein Unicorn, das Unternehmen bei der Datenanalyse unterstützt. Wegen der Nachbarschaft zu starken Industriepartnern entstehen hier mehr B2B-Unternehmen als anderswo. Mit der LMU oder der TU haben wir fantastische Hochschulen mit angeschlossenen Entrepreneurship-Centern. Die Programme der Landesregierung, wie etwa die »Hightech Agenda Bayern«, suchen ihresgleichen. Was da an Geldern zum Beispiel bei der künstlichen Intelligenz oder beim Quantum Computing in die Hand genommen wird, ist toll. Diese Kombination aus starker Wirtschaftskraft, politischer Unterstützung, hervorragenden Ausbildungsstätten und hoher Lebensqualität zeichnet den Standort aus.

Derzeit wird in München am neuen Google-Standort gebaut. Verändern die Erfahrungen aus der Corona-Pandemie die Arbeiten?

Die Pandemie kam tatsächlich noch zur rechten Zeit, weil wir die Erfahrungen in die Planungen einbeziehen können. Wir waren vor der Pandemie alle stark im Büro präsent. Unser Haus ist ja bewusst mit Café-Bars, Meeting-Räumen und schönen Restaurants ausgestattet: Es ist auf Interaktion ausgelegt, um Kreativität zu fördern.

Lässt sich diese Stimmung im Homeoffice-Modus erhalten?

Unser Unternehmen wurde in der Cloud geboren, wurde in der Cloud groß, und wir alle leben in der Cloud. Deshalb versuchen wir, den persönlichen Austausch virtuell mit Frühstücksmeetings oder offenen Videokonferenzen nachzubilden. Trotzdem fragen wir uns, wie lange wir von dem sozialen Kapital zehren können, das wir die Jahre vorher aufgebaut haben. Wir haben viele Menschen eingestellt, die unser Büro noch überhaupt nicht gesehen haben. Es ist eine Herausforderung für alle Managerinnen und Manager, jede und jeden Einzelnen mitzunehmen.

Was heißt das für die künftige Arbeit im GSEC und am Münchner Standort?

Wir glauben sehr stark daran, dass wir die Menschen zum Arbeiten zusammenbringen müssen, und werden nicht 100 Prozent virtuell arbeiten. Aber brauchen alle noch einen festen Platz? Der Vertrieb kann ohnehin schon flexibel arbeiten. Viele Entwicklungstools unserer Engineers wandern in die Cloud. Jedes Team wird künftig selbst entscheiden, wie viele flexible und wie viele feste Arbeitsplätze es behalten möchte. Und vielleicht brauchen wir dann statt fest stehenden Schreibtischen vielleicht eher kreative Räume fürs Brainstorming, mit Kameras, Projektoren und elektronischen Whiteboards.

Fotos: Sima Dehgani