Schlagwort-Archive: Datenschutzbehörden

Fragenkataloge der Datenschutzbehörden für Unternehmen zur Umsetzung der DSGVO – Teil 11 zur EU-DSGVO

Der (virtuelle) Schreibtisch ist mehr als voll mit Arbeit. Das liegt unter anderem daran, dass die Datenschutzgrundverordnung (DSGVO) vor der Tür steht. In knapp sechs Monaten, genau genommen am 25. Mai 2018, ist es soweit. Dies ist den treuen Lesern dieses Blogs ebenso bekannt, wie die Tatsache, dass auf Unternehmen erhebliche Arbeit zukommt, um die eigenen Geschäftsprozesse den Anforderungen der DSGVO anzupassen.

Nun verhält es sich aber auch so, dass viele Unternehmen – wenn überhaupt – gerade erst anfangen, sich näher mit dem Thema DSGVO und deren Umsetzung zu beschäftigen. Sollten Sie an dieser Stelle stehen, dann können Sie natürlich sehr gerne einen Blick in unsere Beitragsreihe „Die EU-Datenschutzgrundverordnung ist da! – Worauf müssen sich Unternehmen einstellen?„. Allerdings sind wir hier, einschließlich dieses Beitrags, bei inzwischen 10 Artikeln und das ist dann doch eine ganze Menge Stoff auf einmal und Sie fühlen sich vielleicht als würden Sie den Wald vor lauter Bäumen gar nicht mehr sehen können…

Weiterlesen

Neue Orientierungshilfe der Datenschutzbehörden: Arbeitgeber sind TK-Anbieter – oder doch nicht!?!

Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben kürzlich eine aktuelle „Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ herausgegeben. Diese Orientierungshilfen sind nicht nur deswegen interessant, weil sie unter anderem oft auch Checklisten und Mustervereinbarungen, hier z.B. für Arbeitgeber, enthalten, sondern weil die Datenschutzbehörden über die Datenschutzkonferenz bzw. die Orientierungshilfen auch ihre Postion zu bestimmten datenschutzrechtlichen Themen erkennen lassen.

Weiterlesen

Es wird alles nicht leichter – Google Analytics in der mobilen Nutzung

Dass Google Analytics nach Meinung der Datenschutzbehörden durchaus rechtskonform genutzt werden kann, beschrieb ich schon im September 2011 im Artikel „Google Analytics kann rechtskonform verwendet werden!„.

Voraussetzung für die datenschutzkonforme Nutzung war bislang, dass

  • dem Nutzer einer Website die Möglichkeit zum Widerspruch (Opt-out) gegen die Erfassung von Nutzungsdaten mittels des Deaktivierungs-Add-On eingeräumt wird (für alle gängigen Browsern),
  • dass Google auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist
  • und dass der Webseitenbetreiber einen schriftlichen Vertrag zur Auftragsdatenverarbeitung nach Vorgabe von § 11 BDSG abschließt (Den Vertrag mit Google gibt es hier als pdf.)

Der Kollege Thomas Gramespacher merkte in den Kommentaren schon 2011 an „… und was ist mit Mobil-Browsern/mobilen Versionen? Immer werden die armen kleinen Mobilversionen vergessen! ;-(

Recht hatte er schon damals. Denn das Deaktivierungs-Add-On funktioniert mobile nicht. Soweit so gut. Gekümmert hat das zunächst nicht. Doch in den letzten zwei Jahren hat die Nutzung von Smartphones, um im #Neuland zu surfen, erheblich zugenommen. Und so tauchte dieses Problem in diesem Jahr nun doch auch auf der Agenda der Datenschutzbehörden auf.

Diesen zu Folge muss ein Seitenbetreiber, der ein Webangebot vorhält, dass speziell für mobile Nutzung ausgelegt ist (was eigentlich das Ziel eines jeden Seitenbetreibers sein sollte…) eine eigene Widerspruchslösung für die mobile Version implementieren.

Google bietet auch hier Hilfe an und zeigt hier unter dem Punkt „Disabling Tracking“ anhand eines einfachen Beispiels wie diese Widerspruchslösung (Opt-Out) ein- bzw. aufgebaut werden kann.

Mit unschönen Schreiben von den Datenschutzbehörden wegen der rechtswidrigen Einbindung von Google Analytics auf mobilen Seiten ist zwar aufgrund der grundsätzlichen Überlastung der Datenschutzbehörden (derzeit) nicht so zwingend zu rechnen, als dass Webseitenbetreibern nun akut der Schweiß auf der Stirn stehen müsste. Aber seit dem Urteil des OLG Hamburg zur wettbewerbsrechtlichen Abmahnfähigkeit von mangelhaften Datenschutzerklärungen durch Mitbewerber, können eben diese mit Abmahnung angreifen.

Insoweit sollten – gerade wenn man Google Analytics nutzt UND die Webseiten (von Apps ganz zu schweigen) mobile-optimiert sind – Webseitenbetreiber an die Umsetzung nach der Empfehlung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit denken.

Der geschätzte Kollege Schwenke hat sich heute übrigens auch mit dem Thema befasst und teilt meine Einschätzung, dass es die Umsetzung zur datenschutzkonformen Verwendung schlicht kompliziert, bzw. „benutzerunfreundlich“ ist. Tja. Ist ja nicht so schlimm. Google Analytics benutzt ja kaum einer… *hust.

In diesem Sinne,

auf dass es einfacher werden möge!

Google Analytics kann rechtskonform verwendet werden!

Hin und her ging es zwischen Google und insbesondere dem Hamburger Datenschutzbeauftragten – Google Analytics war nach Auffassung von letzterem nicht in Übereinstimmung mit geltendem Datenschutzrecht zu verwenden (ein wenig mehr dazu findet sich in diesem Artikel und in diesem). Seit Ende 2009 führten der Hamburgische Datenschutzbeauftragte im Auftrag des Düsseldorfer Kreises (informelle Vereinigung der obersten Datenschutzaufsichtbehörden für den nicht-öffentlichen Bereich) Gespräche über erforderliche Änderungen des Tracking-Tools für den rechtskonformen Einsatz. Nun, offensichtlich waren diese Gespräche im Ergebnis erfolgreich. Google änderte das Tracking-Verfahren, so

  • dass den Nutzern einer Website die zwingend notwendige Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten mittels des Deaktivierungs-Add-On eingeräumt werden kann und zwar für alle gängigen Browsern,
  • dass auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist (Obacht: Das ist zwingend für deutsche Webseitenbetreiber zum rechtskonformen Einsatz!),
  • und dass schließlich die Webseitenbetreiber einen schriftlichen Vertrag (Ja, wirklich schriftlich mit Unterschrift und so!) zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließen können (müssen). Dieser Vertrag findet sich hier.

Darüber hinaus muss der Webseitenbetreiber natürlich eine ordnungsgemäße Datenschutzerklärung erstellen. Hilfestellung bei der rechtskonformen Einbindung des Tracking-Tools gibt es vom Hamburger Datenschutzbeauftragten an dieser Stelle: Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen.

Also, es geht! Das kleine Deutschland mit den in vielen Augen „komischen“ Datenschutzgesetzen zwingt den Riesen Google. Da kann man dann ja guter Hoffnung sein, dass auch Facebook weitere Schritte unternimmt. 

Und nein, wir wollen jetzt nicht jammern, dass es Irrsinn sei, schriftlich Verträge mit Google abschließen zu müssen. Wir freuen uns jetzt erstmal einfach, dass man Google Analytics rechtskonform benutzen kann. Jawoll.

In diesem Sinne,

Meckerfritzen bitte erstmal nach hinten!

(Wenn ich das Haar in der Suppe gefunden habe, dürfen natürlich auch die wieder alle sofort kommen. 😉 )