Bereits im März 2018 stellte Google fest, dass die Daten von rund 500.000 Nutzern des firmeneigenen Sozialen Netzwerks Google+ seit gut drei Jahren einsehbar waren. Dazu zählten unter anderem die E-Mail-Adresse, der Job, das Alter und das Geschlecht. Laut Johannes Caspar „hat Google den Vorfall bewusst verschwiegen, damit Gras über die Sache wächst“, schreibt Heise Online. Für ihn stelle sich die Frage, wann und wie zügig der Fehler genau erkannt und behoben wurde. Denn möglicherweise greift in diesem Fall nun die am 25. Mai in Kraft getretenen EU-Datenschutzverordnung – kurz DSVGO –, die harte und hohe Geldstrafen bei solchen Lücken androht.
Sollte es Google gelungen sein, das Datenleck bis Ende Mai 2018 zu schließen, gelte dafür noch das alte Recht des Bundesdatenschutzgesetzes. Ob das so war, muss nun herausgefunden werden. „Dies setzt bei der Informationspflicht hohe Hürden und greift nur für den Fall, dass besonders sensible Daten von der Lücke betroffen waren,“ so Caspar. Er und seine Behörde hätten von der Problematik aus den Medien erfahren. Der Versuch der Verschleierung erschwere es allerdings, den Tathergang zu rekonstruieren und den vollen Umfang aufzudecken.
Wie das Wall Street Journal berichtete, habe Google die Datenpanne aufgrund von drohenden rechtlichen Konsequenzen, Regulierungsbemühungen der US-Regierung und der Angst vor negativer Presse geheimgehalten. Caspar vergleicht das Vorgehen mit dem Handeln von Facebook beim Cambridge-Analytica-Skandal. Hier war die unbefugte Weitergabe von Facebook-Daten erst Jahre später bekannt geworden.