Google Analytics und Co. datenschutzkonform umsetzen

2,364 views

Published on

Published in: Technology, Business
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,364
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Google Analytics und Co. datenschutzkonform umsetzen

  1. 1. Webtracking:Google Analytics und Co. datenschutzkonform umsetzen<br />RA und FA für IT-Recht Stephan Schmidt<br />teclegal Rhein-Main Rechtsanwälte, Mainz<br />
  2. 2. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />2<br />Webanalyse-Tools<br />Bildquelle: Webtrekk Whitepaper „Website-Optimierung braucht mehr als Mittelwerte“<br />
  3. 3. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />3<br />Webanalyse-Tools<br />Webseitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung das Nutzungsverhalten der Leser<br />Webanalysetools speichern in der Regel IP-Adressen<br />Internetanschluss des Nutzers kann daher theoretisch identifiziert werden<br />Verarbeitung der Daten bei einigen Anbietern in den USA<br />Problem: Haftung des Nutzers des Analyse-Tools (§ 7 BDSG)<br />
  4. 4. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />4<br />Historie<br />23.01.09 – ULD: Datenschutzrechtliche Bewertung des Einsatzes von Google Analytics<br />20.11.09 – BfDI fordert von Krankenkassen den Verzicht auf Google Analytics<br />27.11.09 – Beschluss des Düsseldorfer Kreises<br />05/06.10 – Google bietet Version mit IP-Maskingund JavaScript-Funktion „_anonymizeIp()” an<br />07.01.11 – Rheinland-Pfälzischer DSB: „Google Analytics nicht datenschutzkonform“<br />11.01.11 – Hamburger DSB Caspar droht in der FAZ Unternehmen die Tracking-Software einsetzen mit „empfindlichen Bußgeldern“ – Google dementiert<br />14.01.11 – Webseite des Hamburger DSB geht offline, weil das Tracking-Tool der IVW genutzt wurde<br />15.03.11 – ULD empfiehlt Piwik als Analysetool<br />
  5. 5. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />5<br />Grenzen des TMG (I)<br />Erhebung und Verwendung personenbezogener Daten ist nur in den Grenzen des § 12 Absatz 1 TMGerlaubt<br />Keine Erhebung personenbezogener Daten eines Nutzers ohne Einwilligung, wenn dies nicht für die Inanspruchnahme von Telemedien oder deren Abrechnung nötig ist<br />Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen mangels anderweitiger gesetzlicher Grundlage nur mit bewusster, eindeutiger Einwilligung zulässig<br />Einwilligung müsste vor „Betreten der Webseite“ erfolgen<br />  in der Praxis nicht umsetzbar<br />
  6. 6. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />6<br />Grenzen des TMG (II)<br />§ 15 Absatz 3 TMG erlaubt die Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Telemedien<br />Pseudonymisierung liegt nur dann vor, wenn die IP-Adresse von den übrigen Daten getrennt gespeichert wird, und so die Bestimmung der betroffenen Personen zumindest wesentlich erschwert wäre (§ 3 Abs.6a BDSG). <br />Nutzer muss widersprechen können und auf dieses Recht (in der Datenschutzerklärung) hingewiesen werden<br />
  7. 7. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />7<br />Grenzen des TMG (III)<br />Widersprüche müssen auch tatsächlich umgesetzt werden<br />Profile dürfen nicht mit dem Träger des Pseudonyms zusammengeführt werden (§ 13 Absatz 4 Nr. 6 TMG)<br />pseudonymisierte Nutzungsdaten sind zu löschen, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt<br />
  8. 8. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />8<br />IP-Adresse als personenbezogenes Datum (I)<br />Sind dynamische IP-Adressen aus Sicht des Webseitenbetreibers personenbezogene Daten?<br />Pro:<br />bei Übermittlung an Dritte, können diese durch eigene Zusammenführung Rückschlüsse auf bestimmbare Personen ziehen<br />BDSG – mittelbare Zuordenbarkeit ausreichend<br />Contra: BMI und BSI<br />OLG Hamburg- Beschluss vom 03.11.2010 - 5 W 126/10<br />IP-Adresse kein personenbezogenes Datum - Herstellung des Personenbezugs erfordert nämlich weitere Daten<br />Normaler Webseitenbetreiber verfügt nicht über diese Daten<br />
  9. 9. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />9<br />IP-Adresse als personenbezogenes Datum (II)<br />ABER: Art. 2 lit. a der RL 95/46/EG<br />indirekte Identifizierbarkeit ist ausreichend und gem. Erwägungsgrund 26 sind alle Mittel zu berücksichtigen, die vernünftigerweise von einem Dritten eingesetzt werden könnten<br /> Tatbestandsvoraussetzungen für die Erhebung der vollständigen IP-Adresse liegen regelmäßig nicht vor<br />
  10. 10. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />10<br />Anforderungen aus § 11 BDSG<br />Bei der Nutzung von Analysetool-Anbietern liegt Auftragsdatenverarbeitung vor<br />Seit der 2. BDSG-Novelle stellt § 11 BDSG zehn inhaltliche Anforderungen an entsprechende Verträge<br />Wenn kein Individualvertrag vorhanden ist, müssen die gesetzlichen Vorgaben durch AGB des Anbieters erfüllt werden<br />Bußgelder bis zu 50.000 Euro möglich<br />
  11. 11. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />11<br />Beschluss des Düsseldorfer Kreises vom 26.11.09<br />Hinweispflicht nachkommen<br />Nur Nutzungsprofile mit Pseudonymen sind erlaubt<br />Widerspruchsmöglichkeit muss eingeräumt und technisch umgesetzt werden<br />IP-Adressen dürfen nicht verarbeitet oder gespeichert werden<br />Daten müssen strikt getrennt aufbewahrt werden<br />Vorgaben der Auftragsdatenverarbeitung beachten<br />
  12. 12. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />12<br />Lösungen<br />Verkürzung der IP-Adressen<br />Verbot der Zusammenführung mit technischen und organisatorischen Maßnahmen durchsetzen<br />Ausgestaltung von Cookies<br />Umfassende Information der Nutzer über Widerspruchsrecht<br />Opt-Out-Lösung zur Umsetzung von Widersprüchen<br />Begrenzung der Lebensdauer von Cookies (ULD: 7 Tage)<br />Verfahrensverzeichnis des Dienstleisters anfordern<br />Vertrag zur Auftragsdatenverarbeitung abschließen<br />
  13. 13. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />13<br />Muster für Opt-Out-Lösung<br />„Wenn Sie vermeiden wollen, dass bei Ihrem Besuch unserer Webseite Daten erhoben werden, können Sie von uns einen „Opt-Out-Cookie“ erhalten. Klicken Sie dafür auf das Feld (oder den Link) „Opt-Out-Cookie erhalten. Es werden dann keine Daten Ihres Besuchs mehr gespeichert.“<br />Bereitstellung der Opt-Out-Lösung in der Datenschutzerklärung derzeit wohl ausreichend<br />
  14. 14. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />14<br />Google Analytics<br />Derzeit nicht datenschutzkonform nutzbar<br />IP-Adresse wird erst nach der Übermittlung in die USA anonymisiert<br />Plugin nicht für alle Browser verfügbar (nicht für Safari und Opera)<br />Keine endgültige Löschung der Rohdaten möglich<br />Mindestanforderungen<br />“_anonymizeIp()” im Analytics-Code nutzen im IP-Adresse zu verkürzen<br />Datenschutzerklärung anpassen<br />Roadmap sieht Lösung bis zum 30.06.2011 vor<br />
  15. 15. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />15<br />Datenschutzkonforme Tools<br />Webanalyse-Anbieter (teilweise sind bestimmte Einstellungen und der Abschluss von Verträgen nach § 11 BDSG notwendig)<br />Econda Site Monitor – www.econda.de<br />Omniture (Adobe) – http://www.omniture.com/de/ (a.A. Xamit)<br />WiredMinds – www.wiredminds.de<br />Stats4free.de – www.stats4free.de<br />Analytics 10 – www.webtrends.com<br />Q3 – www.webtrekk.de<br />eTracker – www.etracker.com<br />Tools zum Einsatz auf dem eigenen Server<br />Piwik – de.piwik.org (Nachfolger von phpMyVisites)<br />Statify - playground.ebiene.de/2661/statify-wordpress-statistik/<br />
  16. 16. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />16<br />Ausblick<br />Änderungen durch EU-Datenschutzrichtlinie RL 2002/58/EG in der Fassung des Telekom-Reformpaketes (RL 2009/136/EG) vom 25.11.2009<br />Neuer Artikel 5 Absatz 3 der EU-Datenschutzrichtlinie sieht bei entsprechender Auslegung ein Einwilligungsbedürfnis für die Speicherung von Cookies vor (Opt-In-Lösung)<br /><ul><li>auch Piwik wäre dann in jetziger Ausgestaltung nicht mehr legal</li></ul>Umsetzung in nationales Recht eigentlich bis 25.05.2011<br />Bundesregierung will Diskussionen auf europäischer Ebene und mögliche Selbstregulierungsansätze der Werbewirtschaft abwarten, bevor sie in diesem Feld gesetzgeberisch tätig werden will<br />
  17. 17. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />17<br />Fragen?<br />Rechtsanwalt Stephan Schmidt<br />Fachanwalt für Informationstechnologierecht<br />Isaac-Fulda-Allee 5<br />D-55124 Mainz<br />Telefon: +49 - (0) 6131 - 302 90 460Telefax: +49 - (0) 6131 - 302 90 466<br />E-Mail: schmidt@teclegal-rheinmain.deInternet: www.teclegal-rheinmain.de<br />

×