Schlagwort: Online-Datenschutz

Bericht über massives Lobbying zur E-Privacy-Verordnung

18. Oktober 2017

Laut einer Quelle aus dem Europäischen Parlament sei im Zusammenhang mit der geplanten E-Privacy-Verordnung eine der intensivsten Lobbykampagnen wahrzunehmen, die es auf europäischer Ebene je gegeben habe. Dies geht aus dem Bericht „Big Data Is Watching You“ der Initiative ´Corporate Europe Observatory´ hervor. Vonseiten der Online-Industrie werde demnach lehrbuchartig in die Werkzeugkiste der Beeinflussungsmethoden gegriffen, u.a. in Form von direkten Treffen oder Diskussionsveranstaltungen in kleineren Kreisen mit Cocktailempfang.

Bei der E-Privacy-Verordnung geht es um den Datenschutz im Internet. Hier stehen sich die Interessen der Nutzer an der Privatheit Ihrer elektronischen Kommunikation und die kommerziellen Interessen der Diensteanbieter gegenüber. Insofern überrascht es nicht, dass eine Verordnung zur Regelung von Themen wie der Profilbildung von Usern, der Nutzung von Cookies und Metadaten u.v.m. die Aufmerksamkeit der Online- und Werbeindustrie genießt.

Die E-Privacy-Verordnung wird neben der Datenschutz-Grundverordnung einen weiteren wichtigen Maßstab dessen darstellen, was im Kontext der Datenverarbeitung von Unternehmen zu beachten ist. Geht man von den bisherigen Vorschlägen für die besagte Verordnung aus, muss auch hier mit einem gewissen Anpassungsaufwand zur Sicherstellung der künftigen Verordnungskonformität gerechnet werden.

 

PSD2 ermöglicht Drittanbietern Zugriff auf Kontodaten

30. Juni 2017

PSD2 ist die Abkürzung für Payment Service Directive 2, eine neue EU-Richtlinie, die es ab 2018 auch anderen lizenzierten Drittanbietern ermöglicht, Zugriff auf Kontodaten ihrer Kunden zu erhalten. Damit müssen sich Banken, die bisher die absolute Marktmacht hinsichtlich der Finanzen und auch der Zugriffsmöglichkeit auf die Kundenkontendaten hatten, auf dem Markt neu positionieren. Unter die Drittanbieter fallen nicht nur andere Geldhäuser, sondern auch sogenannten Fintechs. Letztere sind junge Unternehmen, die im Umfeld der Finanzindustrie spanennde neue technologiebasierte Zahlungslösungen für den Onlinehandel oder intelligente Finanz-Apps zur Geldanlage anbieten. Ein Beispiel ist die Sofortüberweisung der SOFORT GmbH. Dabei handelt es sich um eine Onlinezahlungsart, bei welcher der Kunde seine PIN und TAN an die Anbieter der Sofortüberweisung übermittelt. Diese überprüfen dann seinen Kontostand und veranlassen anschließend die Überweisung. Problematisch war bisher, dass die AGB vieler Banken vorsehen, dass der Kunde die Daten gar nicht weitergeben darf. Dazu hat das Bundeskartellamt im Fall der Sofortüberweisung bereits klargestellt, dass die AGB-Verbote der Banken wettbewerbswidrig sind. Diese gesetzliche Grauzone wird nun durch die PSD2 beseitigt und die Banken sind gezwungen, sich gegenüber den digitalen Entwicklungen des Marktes zu öffnen.

Aus Kundenperspektive ist die neue EU-Richtlinie durchaus begrüßenswert, denn sie bringt ausschließlich Vorteile mit sich. So können Kunden zukünftig selbst entscheiden, wer Zugriff auf ihr Konto haben soll, indem sie Drittanbietern ihre Einwilligung per PIN oder TAN erteilen, wenn diese ihr Konto einsehen möchten. Darüber hinaus profitieren Kunden von neuen Diensten, die in diesem Zusammenhang entstehen womit für sie der Markt auch an Transparenz und Vielfalt gewinnt.

Britische Innenministerin fordert Zugriffsmöglichkeiten auf Messenger-Apps

5. April 2017

Nicht zuletzt aufgrund des Terroranschlages in London vor rund einer Woche äußerte sich die britische Innenministerin Amber Rudd in einem TV-Interview mit dem BBC kritisch zu den fehlenden Zugriffsmöglichkeiten auf verschlüsselnde Messenger-Apps wie WhatsApp. „Früher hat man Briefumschläge mit Dampf geöffnet oder Telefone abgehört, wenn man herausfinden wollte, was Leute taten, auf legale Weise, mit richterlichen Beschlüssen, aber in dieser Situation müssen wir sicherstellen, dass unsere Geheimdienste die Möglichkeit haben, Dinge wie verschlüsseltes WhatsApp zu durchdringen.“

Vor dem Hintergrund, dass Attentäter eines Terroranschlags oftmals im Vorhinein mit Mitwissern oder Mittätern mit Hilfe der Messenger-Apps kommunizieren – Berichten zufolge so auch vor dem Terroranschlag in London – sei es „vollkommen inakzeptabel“, dass Sicherheitsbehörden die Nachrichten der Apps nicht einsehen können. Hierbei ginge es ihr nicht um die Möglichkeit auf alle Chat-Nachrichten zuzugreifen, sondern um „vorsichtig durchdachte, gesetzlich abgesicherte Vereinbarungen“. Bestenfalls strebe sie es an, dass die App-Hersteller freiwillig mit der britischen Regierung zusammenarbeiten und damit keine Gesetze nötig wären. Rudd kündigte an, sich mit ihrem Anliegen an die Unternehmen zu wenden.

Darüber hinaus forderte sie die Unternehmen auf, extremistische Veröffentlichungen bereits vor der Veröffentlichung wirksamer zu blockieren. „Die Firmen kennen die Technik und die Hashtags am besten, um zu verhindern, dass dieses Zeug online geht, nicht nur, um es nachträglich zu sperren“. Auch an diesem Punkt bevorzuge sie eine freiwillige Vereinbarung mit dem Firmen, anstatt neue Gesetze einzuführen. Kritisch sehe sie daher die vom deutschen Justizminister Heiko Maas geplanten hohen Geldstrafen für Plattformbetreiber, die illegale Inhalte nicht schnell löschen.

 

Datenschutzbeauftragte: Datenschutz als Bildungsauftrag

20. März 2017

Die Landes-Datenschutzbeauftragte Niedersachens Barbara Thiel hat ein eigenständiges Schulfach Medienkompetenz gefordert. Der Ansatz des Kultusministeriums in Hannover, das Thema in alle Unterrichtsfächer zu integrieren, reiche nicht aus, sagte die Behördenleiterin der Deutschen Presse-Agentur. „Jugendliche unterschätzen die Gefahren mobiler Medien und gehen zu leichtfertig mit ihren persönlichen Daten um“. Dies gehe nicht nur aus Studien hervor, die belegten, dass deutsche Schüler im europäischen Vergleich beim Umgang mit Computern hinterherhinkten.

Ziel des Unterrichtsfaches Medienkompetenz sei es, den Kindern und Jugendlichen aufzuzeigen, dass sie die Herrschaft über ihre Daten verlieren können, wenn sie ins Internet gehen. Dabei fehle es nicht nur bei den Kindern und Jugendlichen an der nötigen Aufklärung, sondern auch bei einem Großteil der erwachsenen Bevölkerung. „Datenschutz ist ein Bildungsauftrag, damit muss man eigentlich schon im Kindergarten anfangen.“ Als mögliche „Lehrer“ nannte Thiel Medienscouts, die heute schon in den Schulen beraten und dies gemeinsam mit Datenschützern machen könnten.

Die Schüler sollten vor allem Antworten auf Fragen wie „Wozu ist mein Gerät in der Lage und was macht es mit mir?“ erhalten. Ein weiteres Thema sei der Selbstdatenschutz: Den Schüler sollten technische Möglichkeiten aufgezeigt und erklärt werden, wie sie sich selbst schützen und absichern können.

 

Leak-it-yourself: Sicherheitsrisiko Intranet

12. Juni 2015

Wie schnell Unternehmen die Kontrolle über vertrauliche Daten verlieren können, zeigt die Recherche eines Teams der Nachrichten-Website Heise online. In diesem Falle wurde gezielt nach der Datenleck-Stelle „Intranet“ gesucht. Aufwendige Tools braucht man dafür genauso wenig wie besonderes Expertenwissen: Die Recherche funktioniert über Google.

Dabei wurde der Suchoperator einfach so konfiguriert, dass die Suchmaschine nur Inhalte herausfiltert, welche Intranets entstammen („inurl:intranet“). Damit konnten zahlreiche Dokumente gefunden werden, welche nie für eine Öffentlichkeit bestimmt waren, und zudem personenbezogene Daten im Sinne des § 3 Absatz 1 Bundesdatenschutzgesetz (BDSG) beinhalteten. Neben Geburtsdaten, Telefonnummern und Angaben mit familiärem Bezug wurden sogar Dokumente online gefunden, welche Gesundheitsdaten aufführten – besonders sensible personenbezogene Daten also, welche der Gesetzgeber im Bundesdatenschutzgesetz unter ein erhöhtes Datenschutzniveau stellt.

Offenkundig wurden solche Dokumente von Mitarbeitern der betroffenen Unternehmen selbst aus dem Intranet heraus online verfügbar gemacht – wohl unwissentlich.

Wie sicher betriebliche Prozesse ablaufen, liegt dabei in der Hand der Unternehmen selbst. Wer seine Prozesse hinterfragt, seine Mitarbeiter durch Schulungen sensibilisiert und die technischen und organisatorischen Maßnahmen zum Datenschutz regelmäßig aktualisiert, vermeidet leicht solche Datenpannen, die mitunter nicht nur bußgeldbewährt sein können, sondern auch die Unternehmensreputation nachhaltig schädigen können. Die Hinzuziehung eines externen Datenschutzbeauftragten kann dabei eine sinnvolle Investition darstellen, die dazu beiträgt, Haftungsrisiken abzuwenden und Kosten zu minimieren.

Ranking: Die zehn größten Bedrohungen für die IT-Sicherheit

30. März 2015

Informationssicherheit bedeutet die Gewährleistung sowohl des Datenschutzes hinsichtlich personenbezogener Daten als auch des Schutzes von Geschäfts- und Unternehmensgeheimissen. Nahezu jegliche sensible Daten – seien sie privater oder geschäftlicher Natur – werden heutzutage digital erhoben, verarbeitet und genutzt. Entscheidend für den Schutz von Informationen sind daher mehr denn je Maßnahmen und Eigenschaften der IT-Sicherheit. Doch wovon gehen die größten Gefahren für die IT-Sicherheit aus?
Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) hat unter Bezugnahme auf einen entsprechenden Report der European Network and Information Security Agency gerade ein Ranking der zehn größten Gefahren für die IT-Sicherheit erstellt:

1. Demnach sind es Trojaner und Würmer, die der IT-Sicherheit am gefährlichsten werden. Malware also, die sich in Computersystemen bewegt, indem sie sich entweder selbst verbreitet oder an eine scheinbar nützliche Datei versteckt anhängt, um von dort aus sensible Daten zu übertragen oder infizierte E-Mails zu verschicken. 350.000 solcher IT-Schädlinge tauchen im Internet auf – pro Tag! Der BITKOM empfiehlt als Schutz nicht nur aktuelle Versionen von Anti-Viren-Programmen, sondern gibt den Expertenratschlag (insbesondere für Unternehmen und Organisationen) weiter, Abwehrmaßnahmen über Endgeräte hinaus auch in der Netzwerkarchitektur zu implementieren.
2. Platz zwei der Liste macht webbasierte Schadsoftware aus, die sich beim Aufrufen manipulierter Websites über veraltete Versionen von Plug-Ins wie Java, Flash oder den Acrobate Reader herunterlädt (sog. Drive-by-Downloads), um dann im infiltrierten System Viren und Co. alle Pforten zu öffnen. Allein im Jahr 2014 ließen sich 145 Millionen solcher Websites identifizieren. Schützen kann man sich laut BITKOM, indem man von solchen Plug-Ins stets nur die aktuellste Version verwendet.
3. Bronze geht an infizierte Websites und mobile Apps für Smartphones oder Tablets. Solchen werden Codes eingefügt, die u.a. sensible Login-Daten ausspähen können (sog. SQL-Injection). Man kann dem vorbeugen, indem im Browser Plug-Ins wie Java oder Flash deaktiviert werden, und man nur Schadsoftware-geprüfte Apps aus offiziellen App-Stores bezieht.
4. Platz 4: Botnetze – aus mehreren Computern bestehende Netzwerke, die der sog. Botmaster kontrolliert. Dieser kann Passwörter oder persönliche Daten ausspähen, über das Netzwerk Spam- oder Phishing-Mails versenden u.a. BITKOM rät Nutzern, aktuelle Software und die neueste Virenscanner inklusive Firewall zu verwenden. Informationen dazu unter http://www.botfrei.de.
5. Es folgen Denial-of-Service-Attacken (Angriffe zur Blockierung eines Dienstes). Dabei werden Webserver oder Internetdienste mit Datenpaketen überflutet, bis diese schließlich nicht mehr erreichbar sind. Ausgeführt werden solche Angriffe von einzelnen Computern oder auch Botnetzen (s. 4.).
6. Zwar insgesamt rückläufig, aber immer noch gefährlich: Spam. Diese unerwünschten E-Mails machen immerhin Dreiviertel des gesamten E-Mail-Verkehrs aus. E-Mails mit gefälschten Absendern werden dabei häufig infizierte Dateien oder ein Download-Link für Schadsoftware angehängt. Trotz Spam-Filtern der jeweiligen Provider, die potenziell gefährliche E-Mails aussortieren, ist Vorsicht geboten. Mails unbekannter Herkunft sollten nie geöffnet werden.
7. Ebenfalls um gefälschte E-Mails dreht sich auch das Phishing. Solche enthalten Links zu bekannten Websites, mit der Aufforderung, sich dort einzuloggen. U.a. mittels unbekannten Trojanern können Kriminelle dann die Identität der Opfer samt zugehörigen Zugangsdaten beispielsweise zum Online-Banking ermitteln. BITKOM hält die Nutzer an, E-Mails stets kritisch zu hinterfragen. So bitten Banken und andere Unternehmen ihre Kunden niemals per E-Mail, vertrauliche Daten im Netz einzugeben. Diese E-Mails oder solche mit unbekanntem Dateianhang sollten umgehend gelöscht werden.
8. Auch für technische Laien zu benutzen, und nicht zuletzt daher gefährlich sind Viren-Baukästen (sog. Exploit-Kits), mit denen sich verschiedenste Schadsoftware individuell entwickeln lässt.
9. Ausnahmsweise keine Gefahr aus dem Internet, sondern so analog wie vermeidbar ist der physische Verlust von Daten. Immer mehr mobile Endgeräte wie Notebooks, Tablets und Smartphones werden gestohlen oder gehen verloren. Vor allem sensible Daten sollten unbedingt so gesichert werden, dass in einem solchen Falle Dritte auf diese keinen Zugriff bekommen. Passwortgesicherter Zugang zu den Geräten und Datenverschlüsselung sind dabei unersetzbar. Geräte im Online-Modus können zudem auch per Remote-Zugriff bedient oder gesperrt werden, was vor allem für dienstlich genutzte Geräte vorab eingerichtet werden sollte.
10. Noch in die Top-Ten sortiert der BITKOM den Datenverlust als solchen ein. Beschreibt dieser wohl eher die Folge einer Cyber-Attacke oder des physichen Abhandenkommens von Daten, dürfte jedem Nutzer dennoch klar sein, was Datenverlust bedeuten kann: Verlust vertraulicher persönlich oder geschäftlich sensibler Informationen, Missbrauch von Kreditkartendaten, Konto-Abbuchungen im Online-Banking, Schädigung der individuellen oder Unternehmensreputation usw. usf.

Natürlich ist diese Liste nicht abschließend. Aber Anlass zur Frage bietet sie allemal: Wie sicher ist die IT-gestützte Verarbeitung von Daten in Ihrem Unternehmen vor Gefahren von außen?

Data Dealer: Spielerische Aufklärung zum Thema Onlinedatenschutz

30. Mai 2012

Ein kleines, nicht kommerziell arbeitendes Team aus Österreich möchte auf ungewöhnliche Weise Verständnis für die wirtschaftliche Bedeutung von (privatem) Onlinedatenschutz wecken. Dazu entwickeln sie das Browserspiel Data Dealer, in welchem der Spieler sich zum mächtigten Datenhändler aufschwingen soll. Getreut dem Untertitel „Legal, illegal, scheißegal“ stehen dabei nicht ausschließlich gesetzeskonforme Methoden, die man sich als Datenschützer wünschen würde, zur Verfügung. Auch wenn die bereits erhätliche Demo durchaus auch als humoriges Spiel zu verstehen ist, verdeutlicht sie dennoch, wie aus personenbezogenen Daten Profit geschlagen wird. Das Spiel schafft es, ein grundlegendes Verständnis für den Wert der eigenen Daten zu vermitteln, ohne dabei allzu mahnend oder kulturpessimistisch zu wirken und könnte so auch eine Zielgruppe erreichen, für die Datenschutz bisher wenig relevant erscheint. Insofern ist das große mediale Echo, welches diesem kleinen Projekt zuteil wird, verständlich.

Kategorien: Online-Datenschutz
Schlagwörter: ,

Apple und Facebook mit dem BigBrotherAward 2011 „ausgezeichnet“

6. Mai 2011

Bei der Verleihung der deutschen BigBrotherAwards 2011 am 1. April 2011 in Bielefeld wurden von dem Organisator FoeBuD e.V. die Apple GmbH sowie die Facebook Deutschland GmbH mit dem „Oscar für Datenkraken“ in der Kategorie „Kommunikation“ ausgezeichnet.

Apple „verdiente“ sich den Preis zwar nicht vordergründig aufgrund der in den letzten Tagen in Öffentlichkeit und Medien breit diskutierten Erhebung und Nutzung von Standortdaten seiner iPhone- und iPad-Kunden. Grund für die Preisverleihung ist nach der Begründung der Organisatoren vielmehr „die Geiselnahme ihrer Kunden mittels teurer Hardware und die darauf folgende Erpressung, den firmeneigenen zweifelhaften Datenschutzbedingungen zuzustimmen“. Hiernach sei es dem Nutzer im Falle einer Nichtzustimmung mit den 117-iPhone-Display-Seiten langen Regelwerken maximal möglich, dass teure und technisch potente Gerät gerade einmal zum Telefonieren zu nutzen.

Facebook wurde mit der Auszeichnung einmal mehr für seinen immensen Datenhunger und für die „gezielte Ausforschung von Menschen und ihrer persönlichen Beziehungen hinter der netten Fassade eines vorgeblichen Gratisangebots“ kritisiert. Das Unternehmen schaffe mit seinen vielfältigen zahlreichen Features und Applikationen wie „Freundefinder“, „Handy-App“ oder dem „Gefällt-mir“-Button eine „„Gated Community“ im Netz, in der Menschen auf Schritt und Tritt beobachtet werden“ und verdiene auf diese Weise mit systematischen Datenschutzverstößen Milliarden, heißt es hier weiter in der Begründung.

Google Analytics und die datenschutzkonforme Ausgestaltung von Websiteanalysen

14. März 2011

Immer wieder taucht die Frage auf, ob Dienste wie Google Analytics datenschutzkonform sind. Dies richtet sich entscheidend nach den Regelungen des TMG (Telemediengesetz).

Die dabei maßgeblichen Kriterien hat der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) bereits im November 2009 herausgearbeitet. Festzuhalten ist dabei vor allem, dass Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden dürfen. Eine IP-Adresse ist dabei kein Pseudonym im Sinne des Telemediengesetzes.

Der Düsseldorfer Kreis hält im Einzelnen folgende Vorgaben aus dem TMG für beachtlich:

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Was bedeutet dies nun für Google Analytics? Google selber gibt in den Bedingungen für Google Analytics unter Punkt 8.1 an, die IP-Adresse in die USA zu übertragen und dort zu speichern.  Die Schlussfolgerung liegt damit auf der Hand: Ohne Einwilligung des Websitenutzers zu dieser Übertragung und Speicherung ist der Einsatz von Google Analytics nicht datenschutzkonform.

Diese Einschätzung teilt auch das ULD (Unabhängiges Landeszentrum für Datenschuzt Schleswig-Holstein) und hat prägnant festgestellt, „dass „Google Analytics“ nach deutschem Recht nicht datenschutzkonform eingesetzt werden kann.“

Auf Grund dieser Kritik hat Google mittlerweile die Funktion „_anonymizeIp()“ hinzugefügt. Mit Hilfe dieser Funktion wird das letzte Oktett der IP-Adresse vor der Speicherung durch Google abgeschnitten. Wird diese Funktion verwendet, erfolgt die Analyse des Nutzungsverhaltens somit nicht mehr unter Verwendung der vollständigen IP-Adresse des Nutzers. Formell scheint damit auf den ersten Blick den Anforderungen des Düsseldorfer Kreises insofern Genüge getan sein. Das ULD fordert jedoch an anderer Stelle die Löschung der letzten beiden Oktette und begründet diese Ansicht mit den Ausführungen der Artikel29-Datenschutzgruppe in deren Arbeitspapier WP 148:

„Bei der Anonymisierung von Daten sollte jegliche Möglichkeit der Identifizierung von Personen ausgeschlossen werden. Auszuschließen ist selbst das Kombinieren der anonymisierten Informationen eines Suchmaschinenbetreibers mit Informationen, die ein anderer Beteiligter gespeichert hat (beispielsweise ein Internet-Diensteanbieter). Derzeit schneiden einige Suchmaschinenbetreiber IPv4-Adressen ab, indem sie die letzte Achtergruppe entfernen, womit sie effektiv Informationen über den Internet-Diensteanbieter oder das Teilnetz des Benutzers speichern, ohne die Person direkt zu identifizieren. Die Aktivität könnte dann von einer beliebigen der 254 IP-Adressen ausgehen. Dies ist für eine Anonymisierungsgarantie möglicherweise aber nicht immer ausreichend.“

Weiterhin ist zu beachten, dass die Nutzer auch eine wirksame Möglichkeit haben müssen, der Erstellung von Nutzungsprofilen zu widersprechen. Dazu bietet Google für Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Apple Safari und Opera ein Browser-AddOn an, welches Google Analytics für alle mit dem Browser aufgerufenen Seiten blockiert.

Sowohl zur Frage, ob die „_anonymizeIp()“ Funktion ausreichend ist, als auch bezüglich der Frage, ob die Installation eines Browser-AddOns eine wirksame Widerspruchsmöglichkeit gegen die Erstellung von Nutzerprofilen darstellt, steht eine Stellungnahme der Datenschuztbehörden noch aus.

Unternehmen, die dem Online-Datenschutz Rechnung tragen und dennoch das Nutzungsverhalten der Besucher ihres Webangebotes mit Google-Analytics auswerten möchten, muss daher geraten werden, zumindest die Funktion „_anonymizeIp()“ zu verwenden.

Wer nicht unbedingt auf Google-Analytics angewiesen ist, kann auch auf Websiteanalysetools wie das Open-Source Tool Piwik auszuweichen. Für Piwik existiert sogar eine Anleitung des ULD, die explizit beschreibt, wie dieses datenschutzkonform verwendet werden kann. (se)