Der Einsatz von Google Analytics

Gerade aufgrund der Entscheidung des Europäischen Gerichtshofes (EuGH) vom 06.10.2015 (Rechtssache C-362/14 – Schrems) hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gemeinsam mit anderen deutschen Aufsichtsbehörden in der Vergangenheit mehrfach den Einsatz von Google Analytics mit Blick auf den Datenschutz überprüft, weshalb in regelmäßigen Abständen intensive Debatten darüber geführt werden, unter welchen Voraussetzungen ein datenschutzkonformer Einsatz von Google Analytics möglich ist.

Dieser Kurzartikel soll nüchtern Hinweise für die datenschutzkonforme Verwendung von Google Analytics bieten, die im Einklang mit den bisherigen Vorgaben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit stehen.

Bitte beachten Sie, dass auch die Europäische Datenschutz-Grundverordnung (DS-GVO), die ab Mai 2018 Anwendung findet, das Thema der Datenerhebung mit Web-Analyse-Systemen erneut erheblich verändern wird.

Vorangestellt sei zudem auch hier, dass sich die bisherigen Prüfungen der Aufsichtsbehörden vorrangig auf eine Klausel im Auftragsdatenverarbeitungsvertrag Google Analytics betreffend bezogen, die Bezug auf das aufgehobene Safe-Harbor-Abkommen nimmt, sowie andere Aspekte des transatlantischen Datenverkehrs.

Zertifizierung der Google Inc. für das EU-US-Privacy Shield

Die Google Inc. hat mittlerweile die Zertifizierung für das EU-US-Privacy Shield durchgeführt (vgl. https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und damit überhaupt die rechtlichen Voraussetzungen für die Angemessenheit des Datenschutzniveaus gemäß § 4b BDSG aF auch für die Erbringung des Dienstes Google Analytics im Wege der Auftragsverarbeitung geschaffen. Bereits am 27.09.2016 wurden Verwender des Dienstes über eine In-Product-Notice auf diese Zertifizierung hingewiesen.

Voraussetzungen für einen beanstandungsfreien Einsatz

Mit Abschluss der letzten formalen Prüfung stellte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit für seinen Zuständigkeitsbereich fest, dass ein beanstandungsfreier Einsatz des Dienstes Google Analytics weiterhin möglich ist, soweit folgende Voraussetzungen erfüllt sind:

1. Erstellung pseudonymer Nutzungsprofile – Widerspruchsrecht und Trennungsgebot

Die Nutzung von Google Analytics erfolgt ausschließlich zur Erstellung pseudonymer Nutzungsprofile unter Beachtung der in § 15 Abs. 3 Telemediengesetz (TMG) beschriebenen Zwecke und der dort genannten datenschutzrechtlichen Rahmenbedingungen. Dies erfordert den Hinweis auf das Widerspruchsrecht und dessen Umsetzung sowie die Beachtung des Trennungsgebotes.

Bitte beachten Sie hier die Bußgeldandrohung des § 16 Abs. 2 Nr. 5 TMG.

2. Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google

Zudem bedarf es weiterhin des Abschlusses eines Auftragsdatenverarbeitungsvertrages zwischen der Google Inc. und den jeweiligen Verwendern.

So müssen alle Nutzer den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Dieser Vertrag steht jedem Nutzer unter http://www.google.com/analytics/terms/de.pdf zur Verfügung. Dabei ist zu beachten, dass alle Nutzer trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber sind und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend Ihrer Weisungen handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt auch hier bestimmte Kontrollpflichten auf der Seite jedes Nutzers ein, bei denen Google alle Nutzer durch Vorlage entsprechender Nachweise unterstützt (Ziffer 5 des Auftragsdatenverarbeitungsvertrages).

Bestehende Verträge sind dahingehend anzuwenden, dass der Verweis in Ziffer 4.7 der Anlage 1 “Regelungen zur Auftragsdatenverarbeitung” auf die überholte Safe-Harbor-Regelung nichtig ist. Die Rechtmäßigkeit der restlichen vertraglichen Bedingungen, soweit diese im Einklang mit geltendem Datenschutzrecht stehen, wird dadurch nicht berührt.

3. Anpassung der Datenschutzerklärung

Weiter sind alle Nutzer der jeweiligen Website in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufzuklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinzuweisen. Hierbei sollte möglichst auf die entsprechende Seite http://tools.google.com/dlpage/
gaoptout?hl=de verlinkt werden.

Die ANMATHO AG unterstützt Sie hier gerne mit auf Ihre Datenschutzerklärung zugeschnittenen Textbausteinen.

Wichtig ist auch, dass der Anbieter der jeweiligen Website gem. § 13 Abs. 1 S. 1 TMG alle Nutzer ggf. darauf hinweist, wenn die Datenverarbeitung außerhalb des Anwendungsbereiches des EU-Rechts stattfindet. Dies wird in der Regel nicht der Fall sein, kann aber nicht gänzlich ausgeschlossen werden.

4. Implementierung eigener Widerspruchslösungen

Soweit das jeweilige Internetangebot mittels Browsern genutzt wird, für die die unter Ziffer 3 beschriebenen Widerspruchsmöglichkeiten nicht gegeben sind (insbesondere Browser von Smartphones, beispielsweise bei einem Webangebot, das speziell für die mobile Nutzung ausgelegt ist), müssen alle Websitebetreiber eine eigene Widerspruchslösung implementieren. Diese sollte den Schalter ‘ga-disable-UA-XXXXXX-Y’ (siehe https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable oder https://developers.google.com/analytics/devguides/collection/analyticsjs/user-opt-out?hl=de abhängig von der Implementierung) verwenden, der das Tracking programmgesteuert unterbindet.

Google bietet eine beispielhafte Umsetzung auf der oben genannten Website an, die verwendet werden kann, um allen Nutzern die Möglichkeit für ein Google Analytics-Opt-Out zu geben. Dieses Beispiel muss insbesondere im Hinblick auf den erläuternden Text des Widerspruchs-Links vom jeweiligen Anbieter der Website geeignet angepasst werden.

Im Zweifel sollte jeder Anbieter seine jeweilige Webdesign-Agentur nach einer Best-Practice-Lösung fragen, die die ANMATHO AG im Anschluss gerne für Sie überprüft.

5. Kürzung der IP-Adressen

Des Weiteren muss jeder Websiteinhaber durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „anonymizeIp“ zu ergänzen. Weitere Details können der technischen Anleitung von Google auf der Seite https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization entnommen werden.

6. Löschung von Altdaten bei unrechtmäßiger Erhebung

Wurde schon bisher Google Analytics in eine Webseite eingebunden, ist möglicherweise davon auszugehen, dass dabei Daten unrechtmäßig erhoben wurden. Diese Altdaten müssen bei unrechtmäßiger Erhebung gelöscht werden.

Bitte halten Sie hier ggf. mit der ANMATHO AG Rücksprache.

Google bietet für eine Löschung offensichtlich nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Bitte beachten Sie, dass Sie dabei möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und Ihre Webseiten entsprechend anpassen müssen.

Bitte beachten Sie, dass eine Bewertung der datenschutzrechtlichen Zulässigkeit anderer, im Zusammenhang mit Google Analytics angebotener Marketing-Instrumente und Werbe-Dienste (beispielsweise AdSense, AdWords oder erweiterte Funktionen von Google Universal Analytics), nicht im Rahmen der Prüfung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erfolgte. Diese waren ausdrücklich nicht Gegenstand der Prüfungen. Die vorstehenden Hinweise treffen damit auch keine Aussage über die datenschutzrechtliche Zulässigkeit des Einsatzes dieser Dienste, bei Fragen zu diesen, stehen wir Ihnen jedoch gerne zur Verfügung.

Bitte beachten Sie weiter, dass die hier beschriebenen Anforderungen den Stand von Januar 2018 widerspiegeln. Insbesondere im Zusammenhang mit der Datenschutz-Grundverordnung (DS-GVO) und einer geplanten Änderung der E-Privacy-Richtlinie können sich spätestens ab Mai 2018 weitere Änderungen ergeben.

Sollten Sie noch Fragen haben oder Unterstützung bei diesem Thema benötigen, kommen Sie gerne auf uns zu.

/von

Eine kleine Ära geht zu Ende: aus PIWIK wird Matomo

Wie am 09.01.2018 bekannt wurde, ändert der Webanalysedienst „Piwik“ seinen Namen in Matomo. Laut Piwik-Gründer Matthieu Aubry wird sich jedoch – außer dem Namen und dem Logo – nichts ändern, was die angestrebte Auffrischung zunächst ziemlich althergebracht erscheinen lässt. Allerdings dürfte dies viele Websitebetreiber beruhigen, die das Open Source Webtracking-Tool einsetzen. Mit dem Release 3.3.0, dass in den nächsten Tagen zur Verfügung stehen soll, wird für alle Nutzer der neue Name erscheinen. Matomo ist japanisch und bedeutet „Ehrlichkeit“.

Version 4.0 von Piwik / Matomo

Die ebenfalls für dieses Jahr angekündigte Version 4.0 von „Piwik“ soll alle Anforderungen an die Datenschutz-Grundverordnung erfüllen können. „Piwik“ kann so bei entsprechender Implementierung datenschutzkonform eingesetzt werden, was das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein bereits mehrfach bestätigte. Trotzdem sollten Websitebetreiber mit dem neuen Release nicht nur den Namen des Tracking-Tools in ihrer Datenschutzerklärung ändern, sondern auch die weitere Entwicklung dieses Tools im Auge behalten.

Für langjährige Datenschutzbeauftragte – nicht nur den Autor selbst – geht mit dieser Namensänderung eine kleine Ära zu Ende, denn der eine oder andere verknüpft mit dem Namen „Piwik“ sicherlich leidenschaftlich geführte Besprechungen im komplizierten Spannungsverhältnis zwischen Marketing und Datenschutz.

/von
,

Rückblick ANMATHO Forum – EU-DSGVO

Was bedeutet die Datenschutz-Grundverordnung (DSGVO) für mein Unternehmen und wie gehe ich mit dem Anforderungskatalog um? Diese und viele andere Fragen rund um die DSGVO wurden am 13. Dezember 2017 auf dem ANMATHO Forum besprochen.

Auch dieses Jahr war der Veranstaltungsort der „Business-Club-Hamburg“ im Heine Park mit Blick auf die Elbe. Bei einem traumhaften Sonnenaufgang fanden sich viele der Teilnehmer bereits früh ein und hatten so die Möglichkeit, sich bei einem Kaffee bekannt zu machen.

Nach einer kurzen Einführung durch Herrn Westerkamp (Mitglied der Geschäftsführung – ANMATHO AG) in die aktuelle Thematik, startete das Forum pünktlich mit dem ersten Vortrag „Die EU-Datenschutz-Grundverordnung: Welche Anforderungen werden an Unternehmen gestellt?“ von Herrn Dr. Freiherr von dem Bussche ( Fachanwalt für Informationstechnologierecht bei der Wirtschaftskanzlei Taylor Wessing). Inhaltlich wurden die rechtlichen Neuerungen erörtert – welche Gesetze gelten für die gesamte EU, welche nationalen Ergänzungen gibt es, wie werden Datenschutzverletzungen gemeldet – und vieles mehr.

Die Sichtweise der Datenschutzbehörde auf die EU-DSGVO

Mit dem Vortrag von Herr Prof. Dr. Caspar (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit) „Die Sichtweise der Datenschutzbehörde auf die EU-DSGVO. Erwartungen und Empfehlungen“ schloss sich die schon lange erwartete Antwort der Aufsichtsbehörde zur Umsetzung der neuen Datenschutzregularien an. Insbesondere wies Prof. Dr. Caspar auf den Umbruch im Datenschutz hin und inwieweit die Betroffenenrechte durch das europaweite Gesetz gestärkt werden. Besonders interessant für die Unternehmen waren die Ausführungen, welcher Instrumente sich die Aufsichtsbehörde im Hinblick auf die Umsetzungsüberprüfung bedienen kann und mit welchen Herausforderungen und Schwierigkeiten die Behörde selbst zu kämpfen hat.

Nach diesen beiden spannenden Vorträgen war es kaum verwunderlich, dass es in der darauf folgenden Pause reichlich Diskussionsstoff gab und die Referenten sich vielen interessierten Fragen der Teilnehmer gegenüber sahen.

Das Datenschutz-Managementsystem

Nach der Pause, die ausreichend Platz für angeregte Gespräche bot, sprach Herr Westerkamp (ANMATHO AG) zur praktischen Umsetzung der DSGVO. Mit dem Vortrag „Das Datenschutz-Managementsystem – Einführung eines Regelprozesses zur Erfüllung der EU-DSGVO“ konnte die ANMATHO AG den Teilnehmern aufgrund ihrer langjährigen Erfahrung beim Aufbau und der Implementierung von Managementsystemen einen bewährten Ansatz liefern, um die Anforderungen und Pflichten der DSGVO strukturiert umzusetzen. Hier war für die Teilnehmer von besonderem Interesse, dass sich das von der DSGVO in Art. 32 Abs. 1 Ziff. d) geforderte Verfahren zum kontinuierlichen Verbesserungsprozess relativ leicht in ein bereits vorhandenes Informationssicherheits-Managementsystem implementiert werden kann. Aber auch die sinnvolle Nutzung und datenschutzrechtliche Umformung des ISO 27001-Standards als Umsetzungsrahmen, fanden offene Ohren.

Während des Lunchbuffets hatten die Teilnehmer die Möglichkeit, sich mit leckeren warmen und kalten Speisen zu stärken und sich untereinander zu den Umsetzungsproblematiken auszutauschen.

Datenschutzrechtliche Zertifizierungen und Siegel im Online-Bereich

Frisch gestärkt ging es nach der Mittagspause in den Vortrag „Datenschutzrechtliche Zertifizierungen und Siegel im Online-Bereich. Was ist für andere Branchen im Bereich Zertifizierungen zu erwarten“ von Herrn Prof. Dr. Bauer (geschäftsführender Gesellschafter der ePrivacy GmbH). Hierbei gab es auch Informationen zu nutzungsbasierter Online-Werbung – sprich die Art von Werbung, die Anzeigen auf Webseiten und in mobilen Anwendungen nach dem Surfverhalten von Internetnutzern ausrichtet und wie man in Zukunft damit umgehen sollte.

Fortbildungsmöglichkeiten für den Bereich Datenschutz

Herr Koßmann (Seminarbereichsleiter Nord der TÜV Rheinland Akademie GmbH) setzte mit seiner Übersicht zu den „Fortbildungsmöglichkeiten für den Bereich Datenschutz“ einen sehr anschaulichen Abschluss der Vorträge.

Beim anschließenden „Get together“ konnten die Teilnehmer den Tag nochmal Revue passieren lassen und die vielen – teils neuen – Informationen untereinander diskutieren. Alles in allem war die Veranstaltung rundum gelungen, interessant und informativ – wozu neben den adäquaten Referenten auch wieder einmal das angenehmen Ambiente, der souveräne Service und die vorzügliche Küche des Business Clubs Hamburg beigetragen haben.

Wir freuen uns schon jetzt auf ein Wiedersehen mit Ihnen beim nächsten ANMATHO Forum im Jahr 2018!

/von

Die E-Privacy-Verordnung kommt

Am 26.10.2017 hat das EU-Parlament die E-Privacy-Verordnung beschlossen. Sie soll an die Datenschutz-Grundverordnung (DSGVO) anknüpfen und diese ergänzen. Die neue Verordnung gilt für Anbieter von elektronischen Kommunikationsdiensten wie Telefon, Internetzugang, Instant-Messaging-Dienste, E-Mails, Internet-Telefonie oder Personal-Messaging. Genau wie die DSGVO ist sie auch dann anwendbar, wenn die eigentliche Datenverarbeitung außerhalb der EU stattfindet, solange der Dienst  in der EU angeboten wird.

Sie regelt die Bereiche Cookie-Tracking, E-Mail- / Telefon-Marketing, E-Mail Werbung und Telefon Werbung und verdrängt die bereits vorhandenen Regelungen.

Nun werden die Vertreter der einzelnen Mitgliedstaaten und der EU-Kommission die Inhalte verhandeln. Dabei versuchen Gegner und Befürworter die Verordnung in ihrem Sinne zu beeinflussen. Es kann sich inhaltlich also noch einiges ändern.

Nicht ganz sicher ist, ob sie tatsächlich mit der DSGVO zusammen am 25.05.2018 in Kraft tritt. Firmen sollten sich allerdings schon darauf einstellen, denn auch bei der E-Privacy-Verordnung sind die Sanktionen empfindlich hoch.

Wer Fragen hat oder Unterstützung bei der Umsetzung möchte ist bei uns richtig. Kontaktieren Sie uns!

/von

Europäische Datenschutz-Grundverordnung

Europäische Datenschutz-Grundverordnung – Noch 1 Jahr zur Umsetzung

Die europäische Datenschutz-Grundverordnung (DS-GVO) ändert die aktuell geltenden Richtlinien und Gesetze in vielen Bereichen des Datenschutzes. Das hat weitreichende Folgen für die Unternehmen. Seit dem 27. April 2017 ist auch das Umsetzungsgesetz im Bundestag verabschiedet, womit die sogenannten Öffnungsklauseln für Deutschland geklärt sind. Mit dem 25. Mai 2018 ist die Frist zur Umsetzung der gesetzlichen Forderungen abgelaufen und anzuwenden. Eine Gnadenfrist für Versäumnisse wird es nicht geben.

Die Konsequenzen bei Verstößen wurden stark verschärft. Waren vorher Sanktionen bis 300.000 € möglich, sind es jetzt bis 20 Mio. € bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Und auch das Aufdecken von Verstößen hat sich verändert, denn es besteht die Möglichkeit von Verbraucherschutzverbänden, Kunden oder Konkurrenten abgemahnt zu werden. Die Beweispflicht liegt dann bei Ihnen.

Wer sicher gehen will, keine unangenehmen Überraschungen in Bezug auf die DS-GVO zu erleben, sollte sich professionelle Unterstützung bei der Umsetzung der Vorgaben holen.

Unser DS-GVO-Readyness-Check bietet Ihnen einen aufschlussreichen Überblick über den Stand des Datenschutzes in Ihrem Unternehmen und gibt damit Aufschluss, ob Ihr Unternehmen fit für die neuen Anforderungen der DS-GVO ist. Um der Dokumentations- und Nachweispflicht der DS-GVO gerecht zu werden, kann der Readyness-Check als rechtssicherer Nachweis über das bestehende Datenschutzniveau verwendet werden. Abschließend erhalten Sie konkrete Maßnahmen-empfehlungen zur Behebung vorhandener Schwachstellen und eine datenschutzrechtliche Priorisierung des Risikopotentials.

Inhalt des DS-GVO-Readyness-Checks:

  • Analyse bestehender Dokumentationen zum Datenschutz
  • Interview und Ortsbegehung zur Aufnahme der Ist-Situation
  • Aufnahme datenschutzrelevanter Informationen
  • Ermittlung potentieller Gefährdungen und Schwachstellen
  • Erstellung eines Prüfberichts
  • Erstellung konkreter Maßnahmenempfehlungen

Wer vorab prüfen möchte, ob das Unternehmen auf dem richtigen Weg ist, kann dies mit unserem verkürzten Check tun. Jedes “Nein” zeigt, mit welchem Bereich sich noch näher befasst werden sollte.

Auf Wunsch unterstützen wir Sie beim Aufbau einer DS-GVO konformen Datenschutzorganisation, der Erstellung des Verarbeitungsverzeichnisses, der korrekten Vornahme der Auftrags-datenverarbeitung. Wir führen mit Ihnen das neue Risk-Assessment und die Datenschutz-Folge-abschätzung durch, führen das in Ihrem Unternehmen notwendige Datenschutz-Management-systems (DSMS) ein und prüfen dabei die erforderlichen Aspekte der Informationssicherheit. Ebenso stellen wir für Ihr Unternehmen den externen Datenschutzbeauftragten.

Wenn Sie Fragen oder konkreten Umsetzungsbedarf haben: Kontaktieren Sie uns – wir unterstützen Sie gerne!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

[borlabs-cookie type=”btn-cookie-preference” title=”Cookie-Einstellungen” element=”link”/]