Schlagwort: Google Analytics

Task Force zur Bearbeitung von Beschwerden gegen die Nutzung von Google- und Facebook-Services

7. September 2020

Auf gemeinsame Initiative von Deutschland und Frankreich hin gründete der Europäischen Datenschutzausschusses (EDSA) eine „Task Force“ zur einheitlichen Bearbeitung von Beschwerden gegen europäische Unternehmen, die Google Analytics und Facebook Services nutzen.

Hintergrund für das Vorgehen sind die 101 Beschwerde der NGO „noyb“ (non-of-you-business). Diese hat nach dem Schrems II Urteil des EuGH Beschwerden bei nationalen Datenschutzaufsichtsbehörden, darunter auch bei fünf Landesdatenschutzbehörden in Deutschland, eingelegt. Gegenstand der Beschwerden ist die Nutzung von Google Analytics und Facebook Connect durch europäische Unternehmen. Dem liegt wiederum die datenschutzrechtliche Frage zu Grunde, ob Google und Facebook über ihre Dienste personenbezogene Daten der Nutzer in die USA übermitteln dürfen. Davon hängt schlussendlich ab, ob europäische Unternehmen, die diese Dienste nutzen, datenschutzrechtliche Anforderungen einhalten.

Dazu sagte der BfDI Ulrich Kelber: „Der EDSA sendet mit der Task Force ein starkes Signal. Die entscheidende Frage, ob diese Google- und Facebook-Services das europäische Datenschutzrecht einhalten, kann jetzt endlich europaweit einheitlich beantwortet werden.

Schrems und noyb gehen weiter gegen Datentransfers in die USA vor

21. August 2020

Max Schrems, Jurist und Datenschutz-Aktivist aus Österreich, der insbesondere durch sein langjähriges juristisches Vorgehen gegen Facebook bekannt geworden ist, geht auch nach der sog. „Schrems-II-Entscheidung“ des EuGH (wir berichteten) weiter gegen Datentransfers in die USA vor. Mit seinem Projekt noyb hat Schrems nun 101 Beschwerden bei Aufsichtsbehörden in 30 verschiedenen Staaten der EU und EEA eingelegt.

Hintergrund der eingelgeten Beschwerden sei die fortgesetzte Nutzung insbesondere von Google Analytics und Facebook Connect durch die betroffenen Unternehmen, obwohl diese Dienste von den US-amerikanischen Überwachungsgesetzen erfasst seien und beide Unternehmen die Datentransfers scheinbar ohne rechtliche Grundlage durchführten. Zwar würden beide Unternehmen behaupten, dass die Transfers zulässig seien – Facebook verweise auf die verwendeten Standard-Vertragsklauseln (SCC), Google sogar immer noch auf den EU-US-Privacy-Shield – dieser Ansicht widerspricht noyb jedoch vehement. Insbesondere habe der EuGH in seiner Entscheidung ausdrücklich festgestellt, dass es nicht möglich sei Datentransfers in die USA auf die SCCs der EU zu stützen, wenn der Empfänger der Daten unter die US-amerikanischen Überwachungsgesetze fällt. Genau dies sei aber bei Google und Facebook der Fall. Dabei wird den amerikanischen Unternehmen sogar vorgeworfen, ihre Kunden über diese Tatsache hinwegzutäuschen, obwohl sie diesbezüglich zur Aufklärung verpflichtet seien und sich andernfalls schadensersatzpflichtig machten.

Um zu überprüfen, ob ein Datentransfer an Google und Facebook trotz der Schrems-II-Entscheidung weiterhin stattfindet, hatte noyb nach eigener Aussage „auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt“, und wurde dabei wiederholt fündig. Gegen 101 Unternehmen, die weiterhin solche Transfers durchführen, hat noyb daher Beschwerde bei den zuständigen Aufsichtsbehörden erhoben und fordert die Behörden dazu auf, die europäischen Regeln auch durchzusetzen. Gleichzeit wurde auch gegen Google und Facebook selbst wegen Verstößen gegen die DS-GVO in den USA Beschwerde erhoben.

noyb ist eine NGO mit Sitz in Wien, die 2017 unter anderem von Max Schrems gegründet wurde und sich für die Durchsetzung des Datenschutzes innerhalb der EU und EEA einsetzt. Dabei wird mit rechtlichen Mitteln insbesondere gegen große datenverarbeitende Unternehmen – wie z.B. Facebook oder Google – vorgegangen. Durch noyb eingelegte Beschwerden waren bereits Grundlage einiger verhängter Bußgelder, wie das äußerst empfindliche Bußgeld in Höhe von 50 Millionen Euro gegen Google.

BfDI- personenbezogenes Webtracking nur mit Einwilligung

14. November 2019

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber erklärte in einer Pressemitteilung vom 14.11.19, dass Webtracking nur noch mit expliziter Einwilligung der User möglich ist.

Wenn Website-Betreiber Dritt-Dienste wie z.B. Google Analytics auf ihrer Internet-Seite mit einbinden und diese die personenbezogenen Daten für eigene Zwecke nutzen, benötigen sie eine Einwilligung des Betroffenen. Diese muss datenschutzkonform sein und kann nicht durch Cookie-Banner oder voraktivierte Kästchen ersetzt werden.

Daher rief Ulrich Kelber die Website-Betreiber dazu auf ihre Websites auf Dritt-Dienste zu kontrollieren. Für einen datenschutzkonformen Einsatz dessen sollte der Website-Betreiber die Einwilligung der User einholen. Andernfalls wird zur Löschung der Dritt-Dienste geraten.

Ist Google Signale datenschutzkonform?

5. September 2018

Google Signale ist eine neue Erweiterung von Google, die im Rahmen von Google Analytics genutzt werden kann. Aktuell befindet sich diese Funktion noch als BETA-Version im Rollout.

Sobald der Google-Nutzer Google Signale aktiviert, werden die Google Analytics Funktionen aktualisiert.

Google kann das geräteübergreifende Verhalten der Nutzer, die Google Signale aktiviert haben, abschätzen. Die Daten der Nutzer werden grundsätzlich für eine Dauer von 26 Monaten gespeichert.

Google erhält Statistiken, die auf Anmeldung und Gerätetypen aller Nutzer basieren.

Datenschutzrechtlich hat dies viele Auswirkungen. Google nutzt für diese Statistiken die Logins im Google-Netzwerk und führt damit ein sog. Cross-Device Tracking durch. Cross- Device Tracking umfasst eine geräteübergreifende Analyse von Besucherströmen auf einer Webseite. Bei dieser Methode werden Besucher mit einer ID markiert. Durch das Cross-Device Tracking können Nutzer eindeutig identifiziert werden.

Die Einhaltung der geltenden Datenschutzbestimmungen spielt hierbei eine große Rolle. Die Konto-Einstellungen „personalisierte Werbung“ scheint zumindest derzeit ein Opt-Out zu sein. Folglich holt Google aktuell keine Einwilligung für das Cross-Device Tracking ein, sondern es wird nur eine Widerspruchsmöglichkeit zur Verfügung gestellt.

Google: Aktualisierte Datenschutzrichtlinien zwingen zur Anpassung der Datenschutzerklärung auf Unternehmenswebsites

15. April 2014

Das Unternehmen Google hat am 31.03. seine Datenschutzrichtlinien aktualisiert und in diesem Zuge die Links zu den datenschutzrechtlichen Informationen zu dem Analysetool Google Analytics und zu den datenschutzrechtlichen Informationen zu dem +1 Button verändert.

Jedem Unternehmen, das auf seiner Unternehmenswebsite Google Analytics einsetzt oder den +1 Button eingebunden hat, wird daher geraten, die in der Datenschutzerklärung bisher genannten Links zu prüfen und ggf. ebenfalls zu aktualisieren, damit der User hinreichende Informationen über den Umgang mit seinen personenbezogenen Daten erhält. Die Links zu den allgemeinen datenschutzrechtlichen Hinweisen von Google sowie zu dem Browser-Add-on  zur Deaktivierung von Google Analytics sind nicht geändert worden, so dass diesbezüglich keine Maßnahmen erforderlich werden.

Datenschutzverstöße bei baden-württembergischen Websites

17. Februar 2014

Der Landesbeauftragte für den Datenschutz Baden-Württemberg (Klingbeil) hat am vergangenen Freitag die Ergebnisse der datenschutzrechtlichen Überprüfung von insgesamt 12.205 baden-württembergischen Websites mitgeteilt. Von den geprüften Internetseiten sollen  2533 das Analyse-Tool Google Analytics zur Beobachtung des Nutzerverhaltens eingesetzt haben. Bei rund 65 Prozent dieser Websites seien Mängel bei der Umsetzung der datenschutzrechtlichen Vorgaben ermittelt worden.

„Die von uns ermittelten Webseitenbetreiber werden von uns angeschrieben und in einem ersten Schritt aufgefordert, die festgestellten Mängel zu beheben. Dazu gehört unter anderem, dass die Betreiber das Programm so anpassen, dass die von Google Analytics erfassten IP-Adressen verkürzt werden, bevor sie weiter verarbeitet werden. Damit ist es nicht mehr möglich, den jeweiligen Nutzer zu identifizieren. Eine wesentliche Beeinträchtigung der Auswertungsergebnisse für den Webseitenbetreiber erfolgt dadurch nicht,“ so Klingbeil. „Unsere Untersuchung hat wieder einmal gezeigt, dass die Rechte der Nutzer im Internet oftmals vernachlässigt werden. Dies wird den meisten Betreibern beim Einsatz von Google Analytics vermutlich gar nicht bewusst gewesen sein. Insofern diente unsere Aktion auch dem Ziel, das Datenschutzbewusstsein der in Baden-Württemberg ansässigen Unternehmen zu stärken.“

Hinweise zu Reichweitenanalysediensten im Internet sind einem Merkblatt auf dem Internetauftritt des Landesbeauftragten für den Datenschutz Baden-Württemberg zu entnehmen.

BVDW veröffentlicht Whitepaper zu „Webanalyse und Datenschutz“

11. Juli 2012

Der Bundesverband Digitale Wirtschaft (BVDW), eine Lobbyvereinigung von Unternehmen, die im im Bereich interaktives Marketing, digitale Inhalte und interaktive Wertschöpfung tätig sind, hat ein kostenloses Whitepaper zum Thema „Wabanalyse und Datenschutz“ veröffentlicht. Am Beispiel von Google Analytics wird dabei herausgearbeitet, welche Maßnahmen seitens des Websitebetreibers notwendig sind, um Websiteanalyse-Tools datenschutzkonform einzubinden.

Inhaltlich enthält das Papier keine neuen Erkenntnisse, greift es doch im Wesentlichen auf die Anforderungen zurück, die der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, bereits im September 2009 veröffentlicht hat. Nichtsdestotrotz empfiehlt sich das Papier für einen einfachen Einstieg in die Materie, da grundlegende Streitstände und Probleme gut nachvollziehbar und in leicht verständlichen Worten wiedergegeben werden. Am Ende des Dokuments findet sich zudem noch eine Checkliste, anhand derer Websitebetreiber Punkt für Punkt nachprüfen können, ob sie alle notwendigen Maßnahmen für eine datenschutzkonforme Websiteanalyse getroffen haben.

Kategorien: Websiteanalyse
Schlagwörter: , ,

Artikel 29 Gruppe äußert sich zur Frage, wann keine Einwilligung zum Setzen eines Cookies erforderlich ist

4. Juli 2012

Bei ihrem Juni-Treffen hat sich die Artikel 29 Datenschutzgruppe nicht nur zu Binding Corporate Rules geäußert, sondern auch dazu Stellung genommen, wann nach der sogenannten Cookie-Richtlinie keine Einwilligung zum Setzen eines Cookies erforderlich ist. Ein Cookie darf generell ohne Einwilligung gesetzt werden, wenn die Ausnahmekriterien von Artikel 5 Absatz 3 der Richtlinie vorliegen. Demnach muss der alleinige Zweck [des Cookies] die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz sein, oder [das Setzen eines Cookies] unbedingt erforderlich sein, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Anhand praktischer Beispiele führt die Artikel 29 Datenschutzgruppe auf, welche Situationen von dieser Ausnahmeregelung gedeckt sein können:

  • Nutzer-Eingabe“ Cookies, die dazu genutzt werden, um dem Nutzer Eingaben bei mehrseitigen Formularen oder die richtigen Artikel im Warenkorb zuzuordnen, sollen der Ausnahme unterfallen können, wenn es sich um First-Party Cookies handelt, die nur für kurze Dauer (z.B. die aktuelle Sitzung) Gültigkeit haben.
  • Authentifizierungscookies, z.B. das Login bei einer Online-Bank, sollen ebenfalls unter den genannten Voraussetzungen von der Ausnahme umfasst sein. Über die Dauer einer Sitzung gespeicherte Authentifizierungscookies bedürfen jedoch einer Einwilligung des Nutzers. Dazu soll aber bereits die Checkbox „Eingeloggt bleiben (setzt ein Cookie)“ ausreichend sein.
  • Nutzerbezogene Sicherheitscookies, z.B. die Aufzeichnung wiederholt fehlgeschlagener Loginversuche, können sogar einwilligungsfrei sein, wenn sie dauerhaft gespeichert werden, da sie sonst ihren Zweck nicht erreichen könnten.
  • Audio-Video Session Cookies / Flash Cookies sind solche Cookies, die dazu genutzt werden, um technische Daten zur Wiedergabe von Audio- oder Videoinhalten (Bildqualität, Verbindungsgeschwindigkeit, Zwischenspeicherungsparameter) zu speichern. Auch diese sollen keine Einwilligung voraussetzen, solange sie ausschließlich diesem Zweck dienen und nur bis zum Ende der aktuellen Sitzung gespeichert werden.
  • Load-Balancing Session Cookies sollen ebenfalls für die Dauer einer Sitzung ohne Einwilligung gesetzt werden könne, wenn es erforderlich ist, dass der Nutzer immer demselben Server zugewiesen wird.
  • Cookies zur Speicherung von Anzeigepräferenzen, bei denen beispielsweise die gewünschte Sprache oder die Anzahl der Suchergebnisse pro Seite gespeichert wird, können nach Ansicht der Artikel 29 Datenschutzgruppe ebenfalls der Ausnahmeregelung unterfallen, solange sie nur bis zum Ende der aktuellen Sitzung gespeichert werden. Soll die Einstellung dauerhaft gespeichert werden, ist jedoch eine Einwilligung notwendig, die bereits darin liegen könne, dass neben der Flagge, auf die der Nutzer klickt, um die Sprache zu wechseln, der Hinweis „verwendet Cookies“ angezeigt wird.
  • Cookies um Inhalte per Social-Plugins zu teilen – Auch die vielfach umstrittenen Social-Plugins sollen einwilligungsfrei Cookies setzen können, wenn diese dem Nutzer das Teilen und Kommentieren der Inhalte der Betreiberwebsite in einem sozialen Netzwerk ermöglichen. Diese Ausnahme kann nach Ansicht der Datenschützer jedoch nur für Nutzer gelten, die aktuell bei einem sozialen Netzwerk eingeloggt sind. Selbst in diesem Fall soll die Einwilligungsfreiheit auf die aktuelle Sitzung beschränkt sein.

Weiterhin führt die Artikel 29 Gruppe auch Szenarien auf, die nicht von der Ausnahmeregelung gedeckt sein sollen. Eine Einwilligung soll in diesen Fällen folglich nicht entbehrlich sein:

  • Social-Plugin Tracking Cookies – Während das Teilen von Inhalten noch unbedingt erforderlich sein könne, um den vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen, könne davon bei verhaltensbasierter Werbung, Analyse oder Marktforschung etc. infolge eines Nutzertrackings nicht mehr die Rede sein.
  • Third-Party Advertising / Werbenetzwerke – Hier halten die Datenschützer fest, dass für jegliche Form von Third-Party Advertising nicht von einem Vorliegen der Ausnahmen ausgegangen werden könne, da es immer an dem ausdrücklichen Wunsch des Nutzers fehle. Dies gelte auch für eher technische Zwecke wie Frequency Capping, Financial Logging, Ad Affiliation, Click Fraud Detection, Forschung und Marktanalyse, Produktverbesserung und Debugging.
  • Websiteanalyse-Tools – An dieser Stelle arbeitet die Artikel 29 Gruppe schön heraus, dass zwar viele Seitenbetreiber Websiteanalyse-Tools als absolut notwendig ansehen, aber nur die Sicht des Nutzers maßgeblich sei. Demnach fallen weder Tools, bei denen die Daten auf dem Server des Betreibers bleiben (z.B. Piwik), noch Tools, bei denen die Daten zu einem Dritten übertragen werden (z.B. Google Analytics), unter die Ausnahmeregelung der Richtlinie. Nichtsdestotrotz vertritt die Arbeitsgruppe die Auffassung, dass Cookies von First-Party Websiteanalyse-Tools keine Risiken für die Privatsphäre begründen, solange diese sich ausschließlich auf durch den Websitebetreiber (First-Party) aggregierte statistische Zwecke beschränken, die Website verständliche Informationen über diese Cookies in Ihrer Datenschutzerklärung enthält und angemessene Schutzmaßnahmen für die Privatsphäre getroffen werden. Solche Schutzmaßnahmen sollen nach Meinung der Arbeitsgruppe einen nutzerfreundlichen Opt-Out-Mechanismus sowie Anonymisierungsmechanismen bezüglich solcher Informationen, die zur Identifizierung von Nutzern verwendet werden könnten (z.B. IP-Adressen), umfassen. Infolge dieser Einschätzung schlägt die Arbeitsgruppe vor, bei einer zukünftigen Richtlinienrevision eine dritte Ausnahme für solche First-Party Websiteanalyse Cookies aufzunehmen.

Die Datenschützer weisen darauf hin, dass sich keine allgemein gültige Aussage derart treffen lässt, dass beispielsweise ein First-Party Cookie für die Dauer einer Sitzung immer einwilligungsfrei wäre, wohingegen ein dauerhaftes Cookie eines Dritten immer eine Einwilligung erfordere. Vielmehr käme es auf die konkrete Implementierung des Cookies im Einzelfall an. Insbesondere sei zu beachten, dass ein Cookie, welches mehreren Zwecken dient, z.B. dem Tracking und Speicherung von Nutzerpräferenzen, nur dann einwilligungsfrei sein könne, wenn sämtliche Zwecke von der Ausnahmeregelung umfasst würden.

Ferner gibt die Arbeitsgruppe zu bedenken, dass diese Erläuterungen nicht auf Cookies im technischen Sinne beschränkt seien, sondern Geltung für sämtliche Methoden zum Speichern von Informationen auf dem Endgerät des Nutzers hätten.

Neues zur Cookie-Richtlinie

30. Mai 2012

Deutschland:

Auch wenn zwischenzeitlich sowohl vom Bundesrat, als auch von der SPD-Fraktion, ein Entwurf zur Änderung des Telemediengesetzes in den Bundestag eingebracht wurde, ist die E-Privacy Richtlinie (= Cookie-Richtlinie) in Deutschland bisher nicht umgesetzt worden, da die Vorschläge bei der schwarz-gelben Regierungsmehrheit nicht auf Zustimmung stießen. Obwohl Deutschland ein Vertragsverletzungsverfahren droht, da die Richtlinie bereits bis Mai letzten Jahres hätte umgesetzt sein müssen, zeichnet sich eine zeitnahe Änderung des TMG somit weiterhin nicht ab. Nichtsdestotrotz hält der Bundesbeauftragte für den Datenschutz, Peter Schaar, die E-Privacy Richtlinie nach Medienberichten für unmittelbar in Deutschland anwendbar. Eine unmittelbare Anwendung von EU-Richtlinien in Mitgliedsländern, ohne die im Normalfall notwendige Umsetzung in nationales Recht, ist möglich, wenn die Umsetzungsfrist abgelaufen ist, die Richtlinie unbedingt und hinreichend bestimmt ist. Diese Vorraussetzungen sieht Schaar als gegeben an, und folgert daraus, dass die deutschen Datenschutzbehörden ihre Aufsichtsmaßnahmen direkt auf die E-Privacy Richtlinie stützen könnten.

EU:

Basierend auf den bereits skizzierten Einschätzungen ihres Vorsitzenden Jakob Kohnstamm hat auch die Artikel-29-Gruppe eigene Best Practice Empfehlungen für den datenschutzkonformen Einsatz von Cookies im Rahmen des Behavorial Targetings veröffentlicht.

UK:

Ende Mai 2012 ist eine einjährige Übergangsfrist abgelaufen, innerhalb derer das ICO (Information Commissioner’s Office) keine formalen Maßnahmen wegen Verstößen gegen die in den Data Protection Act aufgenommenen Bestimmungen der Cookie-Richtlinie ergreifen wollte. Von nun an drohen bei schweren Verstößen Strafen bis zu 500.000 £. Um solch drastische Sanktionen zu vermeiden, beantwortet das ICO die am häufigsten gestellten Fragen rund um die datenschutzkonforme Implementierung von Cookies in einem Video und stellt ausführliche Leitlinien zum Cookieeinstatz zur Verfügung. Auch die ICC (International Commerce Chamber) hält eigene Informationsmaterialien zu dem Thema bereit. Wie eine solche Umsetzung aussehen kann, zeigt beispielsweise die Website der BBC, welche sich für eine Leiste am oberen Bildrand entscheidet. Aboutcookies.org  wählt hingegen eine dauerhaft präsente Box am unteren Bildschirmrand.

Irland:

In Irland wurde die Cookie-Richtlinie durch S.I. No. 336 of 2011 umgesetzt. Der irische Data Protection Commissioner hat gegenüber der Website the Sociable in Bezug auf diese Umsetzung ausgeführt, dass keine gesonderte Einwilligung für den Einsatz von seitenfremden Analysewerkzeugen, wie z.B. Google Analytics, notwendig ist, solange der Website-Betreiber die Information bereitstellt, dass auch Cookies von Drittanbietern gesetzt werden.

Google Analytics: Was Sie als Website-Betreiber beachten müssen!

9. Mai 2012

Obwohl es seit geraumer Zeit eine Möglichkeit gibt, Google Analytics datenschutzkonform zu betreiben, machen davon nur sehr wenige Website-Betreiber Gebrauch. Prüfungen des Bayerischen Landesamtes für Datenschutzaufsicht ergaben beispielsweise, dass lediglich 3 % der bayerischen Website-Betreiber Google Analytics in datenschutzkonformer Weise einsetzen. Beanstandungen durch die zuständige Datenschutzaufsichtsbehörde, Kundenunzufriedenheit und Komplikationen im Alltagsgeschäft sind bei rechtswidrigem Einsatz vorprogrammiert.

Erforderliche Schritte zum rechtskonformen Einsatz von Google Analytics

Vier Schritte sind erforderlich, um Google Analytics rechtskonform einsetzen zu können:

  • Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google
  • Erweiterung um die Funktion „anonymize IP“
  • Einräumung eines Widerspruchsrechtes der User (Browser Add-On)
  • Anpassung Ihrer Datenschutzerklärung: Information über Einsatz von Google Analytics und Widerspruchsrecht

Was tun bei derzeit rechtswidrigem Einsatz von Google Analytics?

Sollten Sie bis dato die oben genannten Maßnahmen nicht umgesetzt haben, ist der Einsatz von Google Analytics rechtswidrig. Ihre Website sollte daher dringend den derzeitigen rechtlichen Regelungen entsprechend angepasst werden und Sie sollten sicherstellen, dass mittels Google Analytics gewonnene Altdaten  gelöscht werden. Dies erfordert eine Schließung des bestehenden Google Analytics Profils und die Neueröffnung eines neuen Profils.

Benötigen Sie Unterstützung bei der datenschutzkonformen Ausgestaltung des Einsatzes von Goolge Analytics oder Unterstützung bei der Kommunikation mit Ihrer Aufsichtsbehörde?

Treten Sie mit uns in Kontakt!

1 2