Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Google Analytics und das Kirchliche Datenschutzgesetz (KDG)

102 views

Published on

Wie kann ich Google Analytics Datenschutz-konform nach dem Kirchlichen Datenschutzgesetz (KDG) der katholischen Kirche nutzen? Ein Beispiel aus der Praxis.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Google Analytics und das Kirchliche Datenschutzgesetz (KDG)

  1. 1. Alle Angaben ohne Gewähr. KIRCHE DER ZUKUNFT - WEBSITE DER ZUKUNFT MIT GOOGLE ANALYTICS KDG-KONFORM “TRACKEN” Ralf Simon | @rasibo | Web Content Manager | www.missio-hilft.de Münster | 14. März 2019 | #KIW19
  2. 2. Alle Angaben ohne Gewähr. Wie kam ich auf die Session-Idee? Quelle: https://www.facebook.com/photo.php?fbid=10210033733518668&set=a.2699560186991&type=3
  3. 3. Alle Angaben ohne Gewähr. Wie kam ich auf die Session-Idee? Quelle: https://twitter.com/rasibo/status/1067750094408159232 & https://barcamptools.eu/KIW19/sessions
  4. 4. Alle Angaben ohne Gewähr. Wie kam ich auf die Session-Idee? Quelle: https://blog.ralf-simon.de/2018/11/kiw-rueck-und-ausblick-auf-2019
  5. 5. Alle Angaben ohne Gewähr. Unterschied ANALYTICS vs. TRACKING ● Beides ist nicht gesetzlich definiert. ● Allgemeiner Sprachgebrauch ○ ANALYTICS = misst „nur“ statistische Aussagen über eine Gruppe von Nutzern. Zweck: bedarfsgerechte Gestaltung von Website´s, Marktforschung. ○ TRACKING = misst einzelne Nutzer und ihr Nutzungsverhalten. Zweck: individuelle Werbung, Preise, etc. ○ UNTERSCHIED: Durch individuelle Identifizierung beim Tracking können Persönlichkeitsprofile und Verhaltens- muster gebildet werden. Google Analytics
  6. 6. Alle Angaben ohne Gewähr. Die Rechtmäßigkeit der Verarbeitung personen- bezogener Daten ist in Art. 6 Abs. 1 KDG geregelt. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn (u.a.) ● die Einwilligung der betroffenen Person vorliegt oder ● sie zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist oder ● die Verarbeitung zur Erfüllung einer rechtli- chen Verpflichtung erforderlich ist oder ● sie für die Wahrnehmung einer Aufgabe Google Analytics erforderlich ist, die im kirchlichen Interesse liegt oder ● die Verarbeitung zur Wahrung der be- rechtigten Interessen des Verant- wortlichen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person , die den Schutz personenbezogener Daten erfordern, überwiegen. Hier sind v.a. die Rechtsgrundlagen der Ein- willigung nach Art. 6 Abs. 1 lit. a KDG und der Interessenabwägung nach Art. 6 Abs. 1 lit. f KDG anwendbar.
  7. 7. Alle Angaben ohne Gewähr. Google Analytics = Google Universal Analytics (seit 2014/15) Google Analytics und Datenschutz sind eigentlich ein Widerspruch. Nach jahrelangen Streitigkeiten hat sich der Suchmaschinen- konzern aber mit den Datenschützern auf eine rechtskonforme Nutzung von Google Analytics geeinigt. Seitenbetreiber müssen hier aber einiges tun, um Google Analytics Datenschutz-konform nutzen zu können. Die korrekte Einbindung von Google Analytics ist mittlerweile eine Kunst für sich: ● (1) ADV-Vertrag mit Google abschließen; ● (2) richtiger Einbau des Tracking Codes auf der Website; ● (4) Aufbewahrungsdauer der Daten; ● (5) passende Formulierungen In der Datenschutzerklärung; ● (6) Löschung von Altdaten. Google Analytics
  8. 8. Alle Angaben ohne Gewähr. (1) Vertrag zur Auftragsdatenverarbeitung Websitebetreiber, die Google Analytics nach den Vorgaben der Datenschützer nutzen wollen, müssen mit Google einen so genannten ADV- Vertrag (Vertrag zur Auftragsdatenverarbeitung) abschließen. Das ist mit Geltung der DSGVO (und des KDG) nun auch auf elektronischem Weg möglich - direkt aus dem Google-Analytics-Konto heraus. Das alte Prozedere des Ausdruckens und per Post an Google senden ist damit hinfällig. Google Analytics Der Weg dorthin: ● Google Analytics ● Verwaltung (unten links) ● Kontoebene: “Kontoeinstellungen” ● Seitenende: “Zusatz zur Datenver- arbeitung”
  9. 9. Alle Angaben ohne Gewähr. (2a) Richtiger Einbau des GA-Codes auf der Website: Google Analytics Verwaltung (unten links) Property Trackinginformationen Trackingcode mit anonymizIP Google Analytics GA-Quellcode MUSS manuell vom Webmaster/Entwickler um anonymizeIP ergänzt werden! <!-- Global site tag (gtag.js) - Google Analytics --> <script async src="https://www.googletagmanager.com/gtag/js?id= UA-XXXXXXX-X"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', '<UA-XXXXXXX-X>', { 'anonymize_ip': true }); gtag('config', 'UA-6303862-1'); </script>
  10. 10. Alle Angaben ohne Gewähr. (2b) Richtiger Einbau des GA-Codes auf der Website und weitere Einstellungen. Der Weg dorthin: ● Google Analytics ● Verwaltung (unten links) ● Property ● Trackinginformationen ● Datenerfassung ○ Remarketing: AUS ● User-ID: AUS Google Analytics
  11. 11. Alle Angaben ohne Gewähr. (3) Mit dem gtag.js bindet Google Analytics quasi automatisch den haus- eigenen Tag Manager ein - auch wenn man ihn nicht nutzt. Wer ihn jedoch nutzt, muss in jeder Tag-Konfiguration auch dort zusätzlich das anonymizeIP manuell hinzufügen: (Einschub) Google Tag Manager
  12. 12. Alle Angaben ohne Gewähr. (4) Aufbewahrungsdauer der Daten festlegen Voreinstellung: 26 Monate Empfehlung: 14 Monate (wg. Art. 27 KDG) Aufbewahrungsdauer gilt nur für Daten auf Nutzer- und Ereignisebene, die mit Cookies, User-IDs und Werbe-IDs verknüpft sind. Aggregierte Daten sind nicht betroffen. Google Analytics
  13. 13. Alle Angaben ohne Gewähr. (5) Datenschutzerklärung auf der eigenen Website anpassen Nutzung von Google Analytics ist in der Datenschutzerklärung zwingend anzugeben: Bestandteil sind auch die “Nutzungsbedingungen für Google Analytics”: www.google.com/analytics/terms/de.html Google Analytics ● Umfang der Datenerhebung, Art. 14 und 15 KDG ● Rechtsgrundlage, Art. 15 KDG ● Speicherdauer bzw. Kriterien für Festlegung der Dauer, Art. 15 Abs.2 lit.a KDG ● Widerrufsrecht, Art. 8 Abs.6 DSGVO ● Hinweis zum Deaktivierungs-Add-on und Opt-Out-Cookie ● Hinweis zu anonymizeIp
  14. 14. Alle Angaben ohne Gewähr. (6) Löschung von Altdaten Wurden durch Google Analytics Nutzerprofile ohne IP-Anonymisierung erstellt, sind diese Daten rechtswidrig erhoben worden und somit zu löschen: Löschung erfolgt nach 35 Tagen. Google Analytics
  15. 15. Alle Angaben ohne Gewähr. (7) Fazit ● Das Beispiel zeigt, dass ein datenschutzkonformer Einsatz von Google Analytics möglich ist. ● Es kann nicht ausgeschlossen werden, dass Gesetzesänderungen zukünftig weitere Anpassungen erforderlich machen. ● Bitte lasst euch Euer Vorgehen von eurem betrieblichen Datenschützer “absegnen”. Google Analytics
  16. 16. Alle Angaben ohne Gewähr. Hilfreiche Links zum KDG und zur DSGVO blog.ralf-simon.de/2019/01/hilfreiche-links-zum-kdg-und-zur-dsgvo/ oder einfach: rasibo.de Google Analytics
  17. 17. Alle Angaben ohne Gewähr. Danke für eure Aufmerksamkeit. Ralf Simon @rasibo Google Analytics

×