Schlagwort-Archiv: Datenschutz

Jetzt möglich: Google Analytics rechtskonform nutzen

Heute ausnahmsweise mal eine positive Meldung zum Thema Datenschutz: Google und die deutschen Datenschutzbehörden haben sich geeinigt.

Daher gibt es nun die Möglichkeit, Google Analytics rechtskonform auch nach deutschen Datenschutzgesetzen einzusetzen. Allerdings muss man hierzu aktiv werden, das passiert nicht automatisch.

Folgende Kriterien müssen erfüllt werden:

  • Erwähnen Sie in Ihrer Datenschutzerklärung, dass Google Analytics auf Ihrer Website eingesetzt wird.
  • Veranlassen Sie Google, die IP-Adresse nicht vollständig zu speichern, sondern das letzte Oktett zu kürzen. Dazu ist eine kleinere Anpassung des Google-Analytics-Codes nötig.
  • Weisen Sie Ihre Besucher in Ihren Datenschutzbestimmungen auf die Möglichkeit hin, Google Analytics durch ein entsprechendes Browser-Plugin zu deaktivieren (inzwischen verfügbar für Chrome, Firefox, Internet Explorer, Safari und Opera). Dann werden keie Analyse-Informationen an Google gesendet.
  • Außerdem gibt es neue Nutzungsbedingungen von Google, die mit den Datenschutzbehörden abgestimmte Regelungen zur Auftragsdatenverarbeitung beinhalten. Dies war eine Auflage der Behörden.

Damit gibt es nun erstmals die Möglichkeit, Google Analytics den deutschen Datenschutzbestimmungen entsprechend rechtskonform zu nutzen.

„Macht ein Webseitenbetreiber von diesen Möglichkeiten Gebrauch, wird dadurch ein beanstandungsfreier Betrieb von Google Analytics gewährleistet“, schreibt dazu die Hamburger Datenschutzbehörde in einer Pressemitteilung.

Weitere Informationen gibt es beim Hamburger Datenschutzbeauftragten und bei Google. Sollten Sie noch Fragen haben, stellen Sie sie einfach hier im Blog oder rufen Sie Ihren Account-Manager an.

Facebook: Datenschutzprobleme beim Like-Button und bei Fanpages – ULD droht mit Bußgeld

Kaum ein Besuch auf einer Website wird nicht getrackt. Website-Betreiber wollen wissen, woher die Besucher kommen, welche Seiten sie sich ansehen und wo sie am Ende wieder aussteigen. Ganz besonders interessant ist das bei Online-Shops, da man so erkennen kann, an welcher Stelle im Bestellprozess die Fast-Käufer wieder aussteigen. Dies ermöglicht eine gezielte Optimierung an dieser Stelle, macht den Usern das Leben leichter und bringt dem Shop-Betreiber mehr Umsatz.

Paragraphen/RechtFür das Tracking kommen verschiedenste Tools zum Einsatz. Ein besonders beliebtes ist Google Analytics, das von Google kostenlos bereitgestellt wird und trotzdem sehr hochwertige Analysen ermöglicht.

Aus Datenschutz-Sicht problematisch hierbei: Das Surfverhalten der Besucher bekommt so nicht nur der Website-Betreiber mit, sondern auch Google. Und während der Website-Betreiber sich in der Regel nicht für einzelne User interessiert (und sie in Google Analytics auch gar nicht sehen kann), sondern für aggregierte und oft auch relative Daten (z.B. 30 % derjenigen, die Produkt x in den Warenkorb legen, schließen die Bestellung auch ab), interessiert sich Google durchaus für die Vorlieben eines einzelnen Nutzers. Damit will Google die Suchergebnisse passgenau auf den einzelnen User zuschneiden. Noch dazu ist es datenschutzrechtlich problematisch, dass die Besucherdaten hierbei in die USA übertragen werden.

Aktuelle Diskussion zu Facebook-Fanpages und Like-Buttons

Und was hat das nun mit Facebook zu tun? Nun, hier passiert im Prinzip genau das gleiche: Durch die Einbindung des Like-Buttons in die eigene Website (wie auch hier im Blog) werden die Besucherdaten an Facebook – in den USA – übertragen. Facebook bekommt so jeden Aufruf einer Website mit Like-Button mit und kann diesen Besuch auf den einzelnen User bezogen speichern. Und das tun sie sogar zwei Jahre lang.

Nach dem deutschen Datenschutzrecht ist das sehr problematisch. Das (und anderes) ist auch schon lange bekannt. Ebenso bekannt ist, dass das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein besonders strikt bei der Anwendung der Datenschutz-Gesetze ist. Da bislang nichts passiert ist, hat das ULD nun eine klare Drohung ausgesprochen, die bei vielen für Aufruhr sorgt:

Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro.

(Den wesentlichen Inhalt gibt es beim Pottblog auch als Video-Interview mit Dr. Moritz Karg vom ULD.)

Soweit mein Wissen und Verständnis als Nicht-Jurist reicht, gilt das grundsätzlich für jede Website, die in Schleswig-Holstein abrufbar ist. Unabhängig davon sind ja ohnehin mit dem TMG und dem BDSG Bundesgesetze betroffen. Daher schreibt auch der Stuttgarter Rechtsanwalt Carsten Ulbricht, der sich auf Online-Recht spezialisiert hat:

Auch wenn das Unabhängige Datenschutzzentrum Schleswig Holstein zunächst nur für Schleswig Holstein zuständig ist, halte ich es für durchaus wahrscheinlich, dass sich andere Landesdatenschutzbehörden der Auffassung des ULD anschließen.

Es ist also definitiv kein spezifisch auf Schleswig-Holstein bezogenes Problem, sondern bundesweit. Die Gefahr einer Abmahnung scheint allerdings (auch laut Carsten Ulbricht) sehr gering. Dennoch könnte das ULD (oder die entsprechenden Behörden anderer Länder) hier Bußgelder bis zu 50.000 EUR verhängen. Das ULD hat jedoch weitere Maßnahmen als diese Drohung erst nach Ende September angekündigt.

Wünschenswert wäre zudem ja, dass sich das ULD mit Facebook direkt einigt und dieser Konflikt nicht mit jedem einzelnen Website-Betreiber ausgetragen werden muss. Bezüglich der oben beschriebenen Google-Analytics-Problematik laufen entsprechende Gespräche mit Google ja bereits. Das ULD betont auch, dass es ihnen hier nicht um kleine Blogger oder kleine Unternehmen geht, die Facebook für ihr Marketing nutzen.

Es bleibt zu hoffen, dass es in diesem Fall ebenso läuft wie bei Google und dass diese Gespräche dann zu einer Lösung führen. Bis dahin bleibt den Website-Betreibern wohl nur abwarten und hoffen oder um auf Nummer sicher zu gehen, in den sauren Apfel zu beißen und den Like-Button zu entfernen (oder umzubauen, siehe Fazit) – und die Fanpage gleich mit, denn die ist ebenso betroffen. Letzteres lässt sich übrigens 14 Tage lang rückgängig machen, es empfiehlt sich also um so mehr nicht übereilt zu handeln. Noch dazu gibt es auch Juristen, die die Rechtmäßigkeit der ULD-Aufforderung anzweifeln.

Fazit

Kein neues Problem, aber eines, das von Behörden-Seite nun sehr forsch angegangen wird. Ein Abschalten der Facebook-Fanpage wäre ein sehr gravierender Eingriff zu dem das ULD aber derzeit keine Alternative sieht. Beim Like-Button sieht das ULD eine theoretische Alternative einer datensparsamen Einbindung. Da Hoffnung auf eine Einigung mit Facebook direkt besteht, sehen wir aber zumindest bis Ende September keinen akuten Handlungsbedarf. Bis dahin wird sich die Lage dann hoffentlich etwas geklärt haben. Danach muss man die veränderte Lage betrachten und darauf aufbauend dann Entscheidungen treffen.

Unser Autor ist kein Jurist und dieser Blog-Eintrag stellt selbstverständlich keine Rechtsberatung dar. Im konkreten Einzelfall sollte ein Rechtsanwalt mit Schwerpunkt Online-Recht konsultiert werden.

Facebook und der Datenschutz

Immer wieder gerät die Social Community Facebook bezüglich der deutschen Datenschutzrichtlinien massiv in Kritik. Dr. Martin Bahr hat in seinem Artikel „Facebook: Eine datenschutzrechtliche Analyse“ im Magazin Website Boosting Facebook etwas unter die Lupe genommen. Wir möchten Ihnen hier ein paar Fälle vorstellen:

AGB und Nutzung

Facebook Anmeldeformular

Registriert sich ein Nutzer bei Facebook in Deutschland kommt automatisch das Bundesdatenschutzgesetz ins Spiel. Schon zu Beginn verstößt Facebook hier gegen deutsche Datenschutzrichtlinen.

Im linken Anmeldeformular bietet Facebook seinen Nutzern keine Möglichkeit aktiv den Allgemeinen Geschäftsbedingungen und sonstigen Datenschutzrichtlinien von Facebook zuzustimmen. Hier fordert der deutsche Datenschutz eine wirksame Miteinbeziehung, in der Regel in Form einer nicht vorselektierten Checkbox.

Die Bestimmungen von Facebook sind in die Bereiche Nutzungsbedingungen und Datenschutzrichtlinien unterteilt und es wird mehrfach in den Bestimmungen auf weitere Dokumente verwiesen. Dieses drunter und drüber macht die Richtlinien für die Nutzer sehr undurchsichtig und dadurch erfüllen diese die zwingend notwendige Transparenz nicht.

So beginnen die Nutzungsbedingungen mit der Erklärung, dass bei sprachlichen Widersprüchen zwischen der deutschen Übersetzung und der englischen Version immer die englische Originalfassung zum Tragen kommt. Diese Erklärung von Facebook reicht jedoch nicht aus, und kommt es zu einem Streitfall in Deutschland, gilt in jedem Fall die deutsche Regelung.

Der „Gefällt mir“-Button

Die allgemeine Pflicht eines Webseiten-Betreibers sieht vor, dass diese aus datenschutzrechtlicher Sicht die Vorgaben des Telemediengesetzes beachten müssen und somit die Webseiten-Benutzer darüber informieren, wenn personenbezogene Daten gespeichert oder übermittelt werden. Beim „Gefällt mir“-Button scheitert diese Informationspflicht kläglich, da niemand weiß, welche Daten die Software wo hin schickt. Facebook stellt nur Informationen für die technische Einbindung bereit.

Stellen die deutschen Webseiten-Betreiber keine Information für die Benutzer über diese Tatsache der Datennutzung bereit, liegt eine eigene Datenschutzverletzung vor. Google Analytics Nutzer kennen diese Art der Informationspflicht und sind dadurch gezwungen, einen Datenschutzhinweis auf ihrer Webseiten aufzunehmen. Hier ein Beispiel für eine solche Einbindung von MOSAIQ MEDIA. Werden solche Hinweise auf einer Webseite nicht integriert, kann eine solche Handlung mit einem Bußgeld von bis zu 50.000 Euro geahndet werden.

Und nun?

Inzwischen begegnet ein Internetnutzer fast auf jeder Seite dem „Gefällt mir“-Button. Diese Funktion ist eine schicke Sache und ist ein wahrer Segen für das Empfehlungsmarketing! Doch sollen wir jetzt alle lieber auf Nummer sicher gehen und die Buttons wieder überall entfernen?

Die Praxis sieht derzeit so aus, dass in der strafrechtlichen Verfolgung von Datenschutzwidrigkeiten nicht wirklich viel passiert. Das liegt daran, dass solche Verstöße Angelegenheit der Bundesländer sind. Die Aufsichtsbehören sind derzeit schlichtweg unterbesetzt, um eine solche Verfolgung zu stemmen. So prognostiziert Dr. Martin Bahr in seinem Artikel, dass auch in Zukunft Facebook und alle anderen Social-Portale sich um das Datenschutzrecht nicht kümmern werden.

Nun, letztlich sind es die Nutzer und deren personenbezogene Daten um die es hier geht. Es bleibt abzuwarten, ob die Aufsichtsbehörden irgendwann anfangen zu reagieren. Die Entscheidung liegt somit aktuell bei denWebseiten-Betreibern selbst und es muss jeder für sich entscheiden, ob der „Gefällt mir“-Button auf der Seite entfernt wird.

Was raten wir Unternehmen? Wer auf der sicheren Seite sein will, sollte einen Fachanwalt dazu befragen. So oder so: wir bleiben dran und berichten, wenn es Neues zu vermelden gibt!