Schlagwort: Google Analytics
4. Juli 2012
Bei ihrem Juni-Treffen hat sich die Artikel 29 Datenschutzgruppe nicht nur zu Binding Corporate Rules geäußert, sondern auch dazu Stellung genommen, wann nach der sogenannten Cookie-Richtlinie keine Einwilligung zum Setzen eines Cookies erforderlich ist. Ein Cookie darf generell ohne Einwilligung gesetzt werden, wenn die Ausnahmekriterien von Artikel 5 Absatz 3 der Richtlinie vorliegen. Demnach muss der alleinige Zweck [des Cookies] die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz sein, oder [das Setzen eines Cookies] unbedingt erforderlich sein, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Anhand praktischer Beispiele führt die Artikel 29 Datenschutzgruppe auf, welche Situationen von dieser Ausnahmeregelung gedeckt sein können:
- „Nutzer-Eingabe“ Cookies, die dazu genutzt werden, um dem Nutzer Eingaben bei mehrseitigen Formularen oder die richtigen Artikel im Warenkorb zuzuordnen, sollen der Ausnahme unterfallen können, wenn es sich um First-Party Cookies handelt, die nur für kurze Dauer (z.B. die aktuelle Sitzung) Gültigkeit haben.
- Authentifizierungscookies, z.B. das Login bei einer Online-Bank, sollen ebenfalls unter den genannten Voraussetzungen von der Ausnahme umfasst sein. Über die Dauer einer Sitzung gespeicherte Authentifizierungscookies bedürfen jedoch einer Einwilligung des Nutzers. Dazu soll aber bereits die Checkbox „Eingeloggt bleiben (setzt ein Cookie)“ ausreichend sein.
- Nutzerbezogene Sicherheitscookies, z.B. die Aufzeichnung wiederholt fehlgeschlagener Loginversuche, können sogar einwilligungsfrei sein, wenn sie dauerhaft gespeichert werden, da sie sonst ihren Zweck nicht erreichen könnten.
- Audio-Video Session Cookies / Flash Cookies sind solche Cookies, die dazu genutzt werden, um technische Daten zur Wiedergabe von Audio- oder Videoinhalten (Bildqualität, Verbindungsgeschwindigkeit, Zwischenspeicherungsparameter) zu speichern. Auch diese sollen keine Einwilligung voraussetzen, solange sie ausschließlich diesem Zweck dienen und nur bis zum Ende der aktuellen Sitzung gespeichert werden.
- Load-Balancing Session Cookies sollen ebenfalls für die Dauer einer Sitzung ohne Einwilligung gesetzt werden könne, wenn es erforderlich ist, dass der Nutzer immer demselben Server zugewiesen wird.
- Cookies zur Speicherung von Anzeigepräferenzen, bei denen beispielsweise die gewünschte Sprache oder die Anzahl der Suchergebnisse pro Seite gespeichert wird, können nach Ansicht der Artikel 29 Datenschutzgruppe ebenfalls der Ausnahmeregelung unterfallen, solange sie nur bis zum Ende der aktuellen Sitzung gespeichert werden. Soll die Einstellung dauerhaft gespeichert werden, ist jedoch eine Einwilligung notwendig, die bereits darin liegen könne, dass neben der Flagge, auf die der Nutzer klickt, um die Sprache zu wechseln, der Hinweis „verwendet Cookies“ angezeigt wird.
- Cookies um Inhalte per Social-Plugins zu teilen – Auch die vielfach umstrittenen Social-Plugins sollen einwilligungsfrei Cookies setzen können, wenn diese dem Nutzer das Teilen und Kommentieren der Inhalte der Betreiberwebsite in einem sozialen Netzwerk ermöglichen. Diese Ausnahme kann nach Ansicht der Datenschützer jedoch nur für Nutzer gelten, die aktuell bei einem sozialen Netzwerk eingeloggt sind. Selbst in diesem Fall soll die Einwilligungsfreiheit auf die aktuelle Sitzung beschränkt sein.
Weiterhin führt die Artikel 29 Gruppe auch Szenarien auf, die nicht von der Ausnahmeregelung gedeckt sein sollen. Eine Einwilligung soll in diesen Fällen folglich nicht entbehrlich sein:
- Social-Plugin Tracking Cookies – Während das Teilen von Inhalten noch unbedingt erforderlich sein könne, um den vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen, könne davon bei verhaltensbasierter Werbung, Analyse oder Marktforschung etc. infolge eines Nutzertrackings nicht mehr die Rede sein.
- Third-Party Advertising / Werbenetzwerke – Hier halten die Datenschützer fest, dass für jegliche Form von Third-Party Advertising nicht von einem Vorliegen der Ausnahmen ausgegangen werden könne, da es immer an dem ausdrücklichen Wunsch des Nutzers fehle. Dies gelte auch für eher technische Zwecke wie Frequency Capping, Financial Logging, Ad Affiliation, Click Fraud Detection, Forschung und Marktanalyse, Produktverbesserung und Debugging.
- Websiteanalyse-Tools – An dieser Stelle arbeitet die Artikel 29 Gruppe schön heraus, dass zwar viele Seitenbetreiber Websiteanalyse-Tools als absolut notwendig ansehen, aber nur die Sicht des Nutzers maßgeblich sei. Demnach fallen weder Tools, bei denen die Daten auf dem Server des Betreibers bleiben (z.B. Piwik), noch Tools, bei denen die Daten zu einem Dritten übertragen werden (z.B. Google Analytics), unter die Ausnahmeregelung der Richtlinie. Nichtsdestotrotz vertritt die Arbeitsgruppe die Auffassung, dass Cookies von First-Party Websiteanalyse-Tools keine Risiken für die Privatsphäre begründen, solange diese sich ausschließlich auf durch den Websitebetreiber (First-Party) aggregierte statistische Zwecke beschränken, die Website verständliche Informationen über diese Cookies in Ihrer Datenschutzerklärung enthält und angemessene Schutzmaßnahmen für die Privatsphäre getroffen werden. Solche Schutzmaßnahmen sollen nach Meinung der Arbeitsgruppe einen nutzerfreundlichen Opt-Out-Mechanismus sowie Anonymisierungsmechanismen bezüglich solcher Informationen, die zur Identifizierung von Nutzern verwendet werden könnten (z.B. IP-Adressen), umfassen. Infolge dieser Einschätzung schlägt die Arbeitsgruppe vor, bei einer zukünftigen Richtlinienrevision eine dritte Ausnahme für solche First-Party Websiteanalyse Cookies aufzunehmen.
Die Datenschützer weisen darauf hin, dass sich keine allgemein gültige Aussage derart treffen lässt, dass beispielsweise ein First-Party Cookie für die Dauer einer Sitzung immer einwilligungsfrei wäre, wohingegen ein dauerhaftes Cookie eines Dritten immer eine Einwilligung erfordere. Vielmehr käme es auf die konkrete Implementierung des Cookies im Einzelfall an. Insbesondere sei zu beachten, dass ein Cookie, welches mehreren Zwecken dient, z.B. dem Tracking und Speicherung von Nutzerpräferenzen, nur dann einwilligungsfrei sein könne, wenn sämtliche Zwecke von der Ausnahmeregelung umfasst würden.
Ferner gibt die Arbeitsgruppe zu bedenken, dass diese Erläuterungen nicht auf Cookies im technischen Sinne beschränkt seien, sondern Geltung für sämtliche Methoden zum Speichern von Informationen auf dem Endgerät des Nutzers hätten.
30. Mai 2012
Deutschland:
Auch wenn zwischenzeitlich sowohl vom Bundesrat, als auch von der SPD-Fraktion, ein Entwurf zur Änderung des Telemediengesetzes in den Bundestag eingebracht wurde, ist die E-Privacy Richtlinie (= Cookie-Richtlinie) in Deutschland bisher nicht umgesetzt worden, da die Vorschläge bei der schwarz-gelben Regierungsmehrheit nicht auf Zustimmung stießen. Obwohl Deutschland ein Vertragsverletzungsverfahren droht, da die Richtlinie bereits bis Mai letzten Jahres hätte umgesetzt sein müssen, zeichnet sich eine zeitnahe Änderung des TMG somit weiterhin nicht ab. Nichtsdestotrotz hält der Bundesbeauftragte für den Datenschutz, Peter Schaar, die E-Privacy Richtlinie nach Medienberichten für unmittelbar in Deutschland anwendbar. Eine unmittelbare Anwendung von EU-Richtlinien in Mitgliedsländern, ohne die im Normalfall notwendige Umsetzung in nationales Recht, ist möglich, wenn die Umsetzungsfrist abgelaufen ist, die Richtlinie unbedingt und hinreichend bestimmt ist. Diese Vorraussetzungen sieht Schaar als gegeben an, und folgert daraus, dass die deutschen Datenschutzbehörden ihre Aufsichtsmaßnahmen direkt auf die E-Privacy Richtlinie stützen könnten.
EU:
Basierend auf den bereits skizzierten Einschätzungen ihres Vorsitzenden Jakob Kohnstamm hat auch die Artikel-29-Gruppe eigene Best Practice Empfehlungen für den datenschutzkonformen Einsatz von Cookies im Rahmen des Behavorial Targetings veröffentlicht.
UK:
Ende Mai 2012 ist eine einjährige Übergangsfrist abgelaufen, innerhalb derer das ICO (Information Commissioner’s Office) keine formalen Maßnahmen wegen Verstößen gegen die in den Data Protection Act aufgenommenen Bestimmungen der Cookie-Richtlinie ergreifen wollte. Von nun an drohen bei schweren Verstößen Strafen bis zu 500.000 £. Um solch drastische Sanktionen zu vermeiden, beantwortet das ICO die am häufigsten gestellten Fragen rund um die datenschutzkonforme Implementierung von Cookies in einem Video und stellt ausführliche Leitlinien zum Cookieeinstatz zur Verfügung. Auch die ICC (International Commerce Chamber) hält eigene Informationsmaterialien zu dem Thema bereit. Wie eine solche Umsetzung aussehen kann, zeigt beispielsweise die Website der BBC, welche sich für eine Leiste am oberen Bildrand entscheidet. Aboutcookies.org wählt hingegen eine dauerhaft präsente Box am unteren Bildschirmrand.
Irland:
In Irland wurde die Cookie-Richtlinie durch S.I. No. 336 of 2011 umgesetzt. Der irische Data Protection Commissioner hat gegenüber der Website the Sociable in Bezug auf diese Umsetzung ausgeführt, dass keine gesonderte Einwilligung für den Einsatz von seitenfremden Analysewerkzeugen, wie z.B. Google Analytics, notwendig ist, solange der Website-Betreiber die Information bereitstellt, dass auch Cookies von Drittanbietern gesetzt werden.
9. Mai 2012
Obwohl es seit geraumer Zeit eine Möglichkeit gibt, Google Analytics datenschutzkonform zu betreiben, machen davon nur sehr wenige Website-Betreiber Gebrauch. Prüfungen des Bayerischen Landesamtes für Datenschutzaufsicht ergaben beispielsweise, dass lediglich 3 % der bayerischen Website-Betreiber Google Analytics in datenschutzkonformer Weise einsetzen. Beanstandungen durch die zuständige Datenschutzaufsichtsbehörde, Kundenunzufriedenheit und Komplikationen im Alltagsgeschäft sind bei rechtswidrigem Einsatz vorprogrammiert.
Erforderliche Schritte zum rechtskonformen Einsatz von Google Analytics
Vier Schritte sind erforderlich, um Google Analytics rechtskonform einsetzen zu können:
- Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google
- Erweiterung um die Funktion „anonymize IP“
- Einräumung eines Widerspruchsrechtes der User (Browser Add-On)
- Anpassung Ihrer Datenschutzerklärung: Information über Einsatz von Google Analytics und Widerspruchsrecht
Was tun bei derzeit rechtswidrigem Einsatz von Google Analytics?
Sollten Sie bis dato die oben genannten Maßnahmen nicht umgesetzt haben, ist der Einsatz von Google Analytics rechtswidrig. Ihre Website sollte daher dringend den derzeitigen rechtlichen Regelungen entsprechend angepasst werden und Sie sollten sicherstellen, dass mittels Google Analytics gewonnene Altdaten gelöscht werden. Dies erfordert eine Schließung des bestehenden Google Analytics Profils und die Neueröffnung eines neuen Profils.
Benötigen Sie Unterstützung bei der datenschutzkonformen Ausgestaltung des Einsatzes von Goolge Analytics oder Unterstützung bei der Kommunikation mit Ihrer Aufsichtsbehörde?
Treten Sie mit uns in Kontakt!
19. September 2011
Fast zwei Jahre wurde verhandelt, jetzt die Einigung: Der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, verkündete am Donnerstag vergangene Woche, dass Google die Bedingungen für das Statistik-Tool Google Analytics geändert hat.
Im Kern waren für die Datenschützer drei Punkte entscheidend, um Google Analytics den Segen zu erteilen:
- Künftig haben Nutzer über eine Browser-Erweiterung die Möglichkeit, Google Analytics persönlich zu deaktivieren. Dieses Add-on wird Google für alle gängigen Browser anbieten.
- Seitenbetreiber können die so genannte IP-Maskierung aktivieren. Dann wird Google Analytics die IP-Adresse der Nutzer nur anonymisiert speichern. Anonymisierung bedeutet dabei, dass der letzte Zahlenblock der IP-Adresse nicht mitgespeichert wird. Eine Zuordnung der Adresse zu einem Nutzer ist dann nicht mehr möglich.
- Außerdem wird Google mit den Seitenbetreibern einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes (§ 11 BDSG) abschließen.
Die Datenschutzbehörde bietet auf ihrer Website eine Checkliste (pdf) für Seitenbetreiber an, die Google Analytics datenschutzkonform verwenden möchten. Neben den Änderungen müssten vor allem die alten Daten ohne IP-Maskierung gelöscht werden.
Caspar erinnerte auch daran, dass letztendlich die Seitenbetreiber für den Datenschutz verantwortlich seien – und nicht Google. Hamburgs oberster Datenschützer wies darauf hin, dass die jetzige Abstimmung mit Google nur der Anfang sei. Technische Fortschritte und die Umsetzung der E-Privacy-Richtlinie machten auch in Zukunft Gespräche notwendig. (ssc)
14. März 2011
Immer wieder taucht die Frage auf, ob Dienste wie Google Analytics datenschutzkonform sind. Dies richtet sich entscheidend nach den Regelungen des TMG (Telemediengesetz).
Die dabei maßgeblichen Kriterien hat der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) bereits im November 2009 herausgearbeitet. Festzuhalten ist dabei vor allem, dass Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden dürfen. Eine IP-Adresse ist dabei kein Pseudonym im Sinne des Telemediengesetzes.
Der Düsseldorfer Kreis hält im Einzelnen folgende Vorgaben aus dem TMG für beachtlich:
- Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
- Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
- Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
- Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
- Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.
Was bedeutet dies nun für Google Analytics? Google selber gibt in den Bedingungen für Google Analytics unter Punkt 8.1 an, die IP-Adresse in die USA zu übertragen und dort zu speichern. Die Schlussfolgerung liegt damit auf der Hand: Ohne Einwilligung des Websitenutzers zu dieser Übertragung und Speicherung ist der Einsatz von Google Analytics nicht datenschutzkonform.
Diese Einschätzung teilt auch das ULD (Unabhängiges Landeszentrum für Datenschuzt Schleswig-Holstein) und hat prägnant festgestellt, “dass „Google Analytics“ nach deutschem Recht nicht datenschutzkonform eingesetzt werden kann.”
Auf Grund dieser Kritik hat Google mittlerweile die Funktion “_anonymizeIp()” hinzugefügt. Mit Hilfe dieser Funktion wird das letzte Oktett der IP-Adresse vor der Speicherung durch Google abgeschnitten. Wird diese Funktion verwendet, erfolgt die Analyse des Nutzungsverhaltens somit nicht mehr unter Verwendung der vollständigen IP-Adresse des Nutzers. Formell scheint damit auf den ersten Blick den Anforderungen des Düsseldorfer Kreises insofern Genüge getan sein. Das ULD fordert jedoch an anderer Stelle die Löschung der letzten beiden Oktette und begründet diese Ansicht mit den Ausführungen der Artikel29-Datenschutzgruppe in deren Arbeitspapier WP 148:
„Bei der Anonymisierung von Daten sollte jegliche Möglichkeit der Identifizierung von Personen ausgeschlossen werden. Auszuschließen ist selbst das Kombinieren der anonymisierten Informationen eines Suchmaschinenbetreibers mit Informationen, die ein anderer Beteiligter gespeichert hat (beispielsweise ein Internet-Diensteanbieter). Derzeit schneiden einige Suchmaschinenbetreiber IPv4-Adressen ab, indem sie die letzte Achtergruppe entfernen, womit sie effektiv Informationen über den Internet-Diensteanbieter oder das Teilnetz des Benutzers speichern, ohne die Person direkt zu identifizieren. Die Aktivität könnte dann von einer beliebigen der 254 IP-Adressen ausgehen. Dies ist für eine Anonymisierungsgarantie möglicherweise aber nicht immer ausreichend.“
Weiterhin ist zu beachten, dass die Nutzer auch eine wirksame Möglichkeit haben müssen, der Erstellung von Nutzungsprofilen zu widersprechen. Dazu bietet Google für Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Apple Safari und Opera ein Browser-AddOn an, welches Google Analytics für alle mit dem Browser aufgerufenen Seiten blockiert.
Sowohl zur Frage, ob die “_anonymizeIp()” Funktion ausreichend ist, als auch bezüglich der Frage, ob die Installation eines Browser-AddOns eine wirksame Widerspruchsmöglichkeit gegen die Erstellung von Nutzerprofilen darstellt, steht eine Stellungnahme der Datenschuztbehörden noch aus.
Unternehmen, die dem Online-Datenschutz Rechnung tragen und dennoch das Nutzungsverhalten der Besucher ihres Webangebotes mit Google-Analytics auswerten möchten, muss daher geraten werden, zumindest die Funktion “_anonymizeIp()” zu verwenden.
Wer nicht unbedingt auf Google-Analytics angewiesen ist, kann auch auf Websiteanalysetools wie das Open-Source Tool Piwik auszuweichen. Für Piwik existiert sogar eine Anleitung des ULD, die explizit beschreibt, wie dieses datenschutzkonform verwendet werden kann. (se)
