Anzeige

Datenklau II: Google verleiht Gemini Vollzugriff auf Nutzerdaten

Datenklau II: Google verleiht Gemini Vollzugriff auf NutzerdatenErneut schlechte Nachrichten – diesmal für Besitzer von Smartphones und Tablets mit Android: Googles KI-Assistent Gemini erhält weitreichenden Zugriff auf Android-Systeme – inklusive Apps, Nachrichten und Nutzerdaten. Der Hersteller spricht von einer besseren Anwendungserfahrung, demgegenüber stehen erhebliche Datenschutz- und Compliance-Verletzungen.

Mit der jüngsten Ausbaustufe seines KI-Systems Gemini hat Google die Systemintegration unter Android deutlich vertieft. Der KI-Assistent kann nun standardmäßig auf App-Inhalte wie Nachrichten, Kalender, Anrufverläufe und sogar Messenger-Kommunikation zugreifen – inklusive WhatsApp, Signal und SMS. Die Erlaubnis dazu wird unter dem Deckmantel einer »intelligenten Nutzererfahrung« erteilt. In der Praxis jedoch entsteht ein weitreichendes Zugriffsmodell auf personenbezogene Daten – mit unklarer Kontrolle für Anwender.

Für IT-Verantwortliche in Unternehmen, insbesondere im Mittelstand mit BYOD-Strategien oder firmengestellten Android-Geräten, verschärft sich damit die Problemlage: Gemini ist tief im Android-System verankert, häufig vorinstalliert und lässt sich nicht ohne Weiteres abschalten oder deinstallieren. Die KI wird zudem standardmäßig mit dem Google-Konto synchronisiert – und verarbeitet Daten, die auf den ersten Blick gar nicht als KI-relevant erscheinen.

Problemstellung: Datenzugriff ohne klaren Rahmen

Was auf den ersten Blick wie ein Assistenzdienst aussieht – etwa Erinnerungen an Termine, automatisches Verfassen von Nachrichten oder Hilfe beim Annehmen von Anrufen – hat tiefgreifende Folgen. Google räumt sich über Gemini das Recht ein, Inhalte aus Dritt-Apps nicht nur zu analysieren, sondern auch für Trainingszwecke zu verwenden. Zwar verweist das Unternehmen darauf, dass keine personenbezogenen Daten dauerhaft gespeichert werden sollen – in der Praxis jedoch wird ein Großteil der Nutzereingaben für bis zu 72 Stunden auf den Servern zwischengespeichert. Diese Zeitspanne nutzen offenbar auch menschliche Prüfer zur Sichtung und Bewertung der Interaktionen, um die KI weiter zu trainieren.

Besonders kritisch: Auch nach dem Deaktivieren der »Aktivitätsdaten« in den Google-Einstellungen bleibt laut Dan Goddin von ars Technica die 72-Stunden-Zwischenspeicherung aktiv. Und während das Feature offiziell als »Opt-in« bezeichnet wird, ist die Option auf vielen Geräten standardmäßig aktiviert – oder lässt sich ohne Rooting gar nicht abschalten.

Anzeige

Datenschutz-Implikationen und Compliance-Fragen

Aus Sicht des betrieblichen Datenschutzes und der DSGVO entstehen mehrere Konfliktpunkte:

  • Fehlende Transparenz: Nutzer erfahren nicht exakt, welche Daten Gemini wann und wie nutzt.
  • Zugriff durch Dritte: Durch die »menschliche Überprüfung« können Dritte Einsicht in betriebliche Inhalte erhalten – etwa Kundendaten, interne Kommunikation oder Terminpläne.
  • Unkontrollierte Datenflüsse: Selbst, wenn das Gerät MDM-gemanagt ist, lässt sich der Datenabfluss auf Betriebssystemebene kaum unterbinden.

Für Unternehmen, die mit sensiblen oder personenbezogenen Daten arbeiten, stellt sich damit die Frage: Wie kann man Gemini wirkungsvoll beschränken – oder besser: vollständig abschalten?

Praxisanleitung für Admins: Gemini einschränken oder blockieren

Die Kollegen von tom’s guide zitieren einen Google-Sprecher, der behauptet, das Update wäre gut für die Nutzer und »Wie immer können Nutzer die Verbindung von Gemini zu Apps jederzeit deaktivieren, indem sie zu https://gemini.google.com/apps navigieren.«

Ein vollständiges Entfernen von Gemini ist jedoch auf aktuellen Android-Versionen ohne Root-Rechte kaum möglich. Dennoch gibt es Maßnahmen, um das Risiko zu verringern:

1. Deaktivieren der Google-App (soweit möglich):
Gemini ist integraler Bestandteil der Google-App. Wer die Google-App deaktiviert, deaktiviert damit auch viele KI-Funktionen. Nachteil: Auch die Google-Suche ist dann nicht mehr nutzbar.
Pfad:

Einstellungen → Apps → Google → Deaktivieren

2. Gemini Assistant blockieren (nur ADB/Developer-Tools):
Mit Android Debug Bridge (ADB) lassen sich spezifische Komponenten der Gemini-Integration deaktivieren:

adb shell pm disable-user --user 0 com.google.android.apps.gemini

Diese Methode setzt ADB-Zugriff voraus (z. B. über ein MDM-System oder via USB mit Entwickleroptionen). Achtung: Bei zukünftigen Android-Updates kann der Dienst reaktiviert werden.

3. Aktivitätsverlauf in Google-Konto deaktivieren:
Auch wenn nicht vollständig wirksam, sollte der Aktivitätsverlauf im Google-Konto deaktiviert werden.
Pfad:

myactivity.google.com → Aktivitätseinstellungen → Web- und App-Aktivitäten → Deaktivieren

Fazit: Android-Handys für Firmen nicht mehr tragbar

Google macht mit Gemini vor, wie KI tief ins Betriebssystem eingebettet werden kann – komfortabel für Nutzer, aber intransparent für Unternehmen. Der Zugriff auf App-Daten und persönliche Inhalte kann zur Schwachstelle in der IT-Sicherheitsarchitektur werden. Unternehmen müssen daher eine klare Strategie entwickeln: Geräteverwaltung, Aufklärung, MDM-Regeln und gegebenenfalls Policy-Vorgaben für BYOD-Geräte.

Wer keine vollständige Kontrolle über die eingesetzten mobilen Betriebssysteme hat, läuft Gefahr, gegen Compliance-Vorgaben zu verstoßen. Ein auf den ersten Blick harmloser KI-Assistent kann so zur rechtlichen Grauzone oder sogar zum Sicherheitsrisiko werden.

Nach dem Videobearbeitungsprogramm CapCut versucht mit Gemini eine weitere Software, sich ungefragt Zugriff auf die Daten der Anwender zu verschaffen. Aus Datenschutzsicht ist das für Unternehmen ein Desaster. Da eine komplette Abschaltung von Gemini nur schwer möglich ist, sind Firmen nun de facto gezwungen, Android-Geräte auszusortieren.


Anzeige