Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln — im Zwei­fel mit­tels Abmah­nung — gezwun­gen werden.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/​16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Monaten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestätigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool umzusetzen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Eine gemein­sam erar­bei­te­te Vor­la­ge samt Anlei­tung fin­den Sie unter www​.goog​le​.com/​a​n​a​l​y​t​i​c​s​/​t​e​r​m​s​/​d​e​.​pdf oder Sie suchen bei goog​le​.de nach „ana­ly­tics +tos.pdf“.
  2. Detail­lier­te For­mu­lie­rung der Nut­zung in der Daten­schutz­er­klä­rung Ihrer Web­sei­te zusam­men mit dem Hin­weis auf die Wider­spruchs­mög­lich­keit durch das Goog­le Tool „gaop­taut“ inkl. Down­load­link.
  3. Akti­vie­rung der anony­mi­zeIP-Funk­ti­on (Ach­tung: hier­für ist ein geson­der­ter Tracking-Code notwendig!)
  4. Löschen ALLER bis­her zu Unrecht erho­be­nen Daten

Viel Erfolg beim daten­schutz­kon­for­men Ein­satz von Goog­le Ana­ly­tics. Wer es unkom­pli­zier­ter mag, setzt auf das Open Source Tool PIWIK, wie in unse­rem Blog­bei­trag beschrieben.

Was ist mit Safe Har­bor 1.0 passiert?

Am 06.10.2015 hat für eini­ge der größ­te Durch­bruch der letz­ten Jahr­zehn­te im Daten­schutz statt­ge­fun­den und für ande­re end­lich die lang­jäh­ri­ge bewuß­te Selbst­täu­schung ein Ende gefun­den. Die Rede ist vom soge­nann­ten Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs. Voll­kom­men zu Recht hat der EuGH die­ses Zuläs­sig­keits­ver­fah­ren für Daten­über­mitt­lun­gen in die USA in Fra­ge gestellt und am Ende für nich­tig erklärt. Wer sich mit den Hin­ter­grün­den befasst hat, ist davon wenig überrascht.
Was jedoch in der Pra­xis in den ers­ten Wochen der Unsi­cher­heit nach die­sem Urteil nun statt­fand, war teil­wei­se purer markt­schreie­ri­scher Aktio­nis­mus gepaart mit einer gehö­ri­gen Por­ti­on Weltfremdheit.

06.10.2015 Das Safe Har­bor Urteil des Euro­päi­schen Gerichtshofs

Jede Daten­über­mitt­lung benö­tigt eine recht­li­che Grund­la­ge zur Zuläs­sig­keit. Dies schrei­ben unse­re deut­schen und euro­päi­schen Daten­schutz­ge­set­ze so vor. Zur ver­ein­fach­ten Legi­ti­ma­ti­on von Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in die USA durch euro­päi­sche Unter­neh­men wur­de vor 15 Jah­ren (also auch lan­ge vor dem NSA Skan­dal) Safe Har­bor ins Leben geru­fen. Der “siche­re Hafen” defi­nier­te Richt­li­ni­en zum Daten­schutz und zur Daten­si­cher­heit, unter denen die Über­mitt­lung per­so­nen­be­zo­ge­ne Daten in die USA als zuläs­sig ein­ge­stuft wur­de. Ame­ri­ka­ni­sche Anbie­ter konn­ten sich die­sen Richt­li­ni­en unter­wer­fen und an zen­tra­ler Stel­le dies doku­men­tie­ren las­sen. Eine Über­prü­fung, ob die gefor­der­ten Stan­dards wirk­lich in die Tat umge­setzt waren, fand nicht statt. Allei­ne schon des­we­gen stand die­ses Ver­fah­ren von Anfang an unter Beschuss sei­tens Ver­tre­tern des Datenschutzes.

Zusätz­lich bot Safe Har­bor kei­nen Schutz vor US-geheim­dienst­li­chen Zugrif­fen auf Daten deut­scher /​ euro­päi­scher Bür­ger, selbst wenn deren Daten in euro­päi­schen Rechen­zen­tren die­ser ame­ri­ka­ni­schen Unter­neh­men gespei­chert waren.

Die­sem Umstand trug der EuGH in sei­nem Urteil vom 06.10.2015 Rech­nung und hat Safe Har­bor für unzu­läs­sig erklärt. In der Urteils­be­grün­dung wur­de wei­ter­hin die Auto­no­mie der Daten­schutz­be­hör­den der Mit­glieds­län­der in die­ser Sache bekräf­tigt. Und ab hier wird es bunt …

Die Bun­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­si­cher­heit spricht von einem “Mei­len­stein für den Daten­schutz”.

Das ULD pos­tu­lier­te “Das ULD wird prü­fen, ob Anord­nun­gen gegen­über nicht­öf­fent­li­chen Stel­len getrof­fen wer­den müs­sen, auf deren Basis Daten­über­mitt­lun­gen in die USA aus­ge­setzt oder ver­bo­ten wer­den müs­sen.” 

Recht blau­äu­gig reagiert hin­ge­gen die EU Kom­mis­si­on, die für das bis­he­ri­ge Safe Har­bor Ver­fah­ren ver­ant­wort­lich zeich­net. Das Urteil wird als “Wei­ter so” betrach­tet, in Form von  Neu­ver­hand­lun­gen zu Safe Har­bor. Bis die­se nicht abge­schlos­sen sind, wäre kein Grund zum Han­deln laut der Kommission.

Doch es gibt auch Erfreu­li­ches zu berichten

Die Arti­kel 29 Grup­pe (der Zusam­men­schluss der EU Daten­schutz­be­auf­trag­ten) zeigt hier etwas mehr Augen­maß. Sie sieht die Not­wen­dig­keit einer gemein­sa­mem Linie in der wei­te­ren Vor­ge­hens­wei­se. Bis dahin sol­len zumin­dest die EU stan­dard clau­ses für Rechts­si­cher­heit bei den Unter­neh­men auf bei­den Sei­ten des Atlan­tiks sor­gen. Die­se wur­den vom EuGH nicht für unzu­läs­sig erklärt, obwohl sich die Kri­tik an Safe Har­bor auch auf die clau­ses anwen­den lässt.

Vera Jou­ro­va, EU-Kom­mis­sa­rin für Jus­tiz, Ver­brau­cher­schutz und Gleich­stel­lung, äußer­te sich vor kur­zem in einer öster­rei­chi­schen Tages­zei­tung zuver­sicht­lich, ein neu­es Safe Har­bor Abkom­men mit den USA schon bald abschlie­ßen zu kön­nen. Bei dem Nach­fol­ger von Safe Har­bor dürf­te es sich tat­säch­lich um ein Abkom­men han­deln, nicht um eine ein­sei­ti­ge Ent­schei­dung der Kom­mis­si­on (mit einer der Kri­tik­punk­te an der frü­he­ren Regelung).

„Idea­ler­wei­se soll­ten wir uns über alle Streit­fra­gen bis Mit­te Jän­ner 2016 eini­gen“, so Vera Jou­ra­va im Inter­view. Das mag opti­mis­tisch klin­gen, aber der Druck auf bei­den Sei­ten des Atlan­tiks ist enorm. Unter­neh­men in den USA und ihre Ver­trags­part­ner auf Sei­ten der EU müs­sen sich plötz­lich mit den EU-Stan­dard­ver­trags­klau­seln beschäf­ti­gen. Und auch die­se stel­len schlimms­ten­falls nur eine Inte­rims­lö­sung dar.

Bis hier­über Klar­heit herrscht, soll­ten bis­he­ri­ge Ver­ein­ba­run­gen zur Daten­über­mitt­lung, die sich aus­schließ­lich auf Safe Har­bor bezie­hen, auf die EU-Stan­dard­ver­trags­klau­seln umge­stellt wer­den. Die Erfah­run­gen der letz­ten Wochen zei­gen, dass ame­ri­ka­ni­sche Anbie­ter hier kon­struk­tiv mit­ar­bei­ten und die Umstel­lung unter­stüt­zen. Ende Janu­ar 2016 wird man sehen, was die Zukunft bringt. Die Zeit soll­te man jedoch nicht unge­nutzt ver­strei­chen las­sen. Denn recht­lich sind unse­re deut­schen Lan­des­da­ten­schutz­be­hör­den durch­aus in der Lage, den “Ste­cker zu zie­hen”.

Micro­soft führt zur Zeit einen Mus­ter­pro­zess in den USA (2nd U.S. Cir­cuit Court of Appeals, No. 14–2985). Das Unter­neh­men will die Her­aus­ga­be von per­so­nen­be­zo­ge­nen Daten an US-Behör­den ver­hin­dern, die auf euro­päi­schen Ser­vern gespei­chert sind. Geht die­ses Urteil zuguns­ten von Micro­soft aus, wäre das ein wirk­li­cher Pau­ken­schlag. Im ande­ren Fall wird eine gan­ze Bran­che mit Gigan­ten wie Micro­soft, Apple, Goog­le, Face­book & Co. schwer zu kämp­fen haben. Das Wall Street Jour­nal berich­tet noch am Tag des Urteils über die Bemü­hun­gen ame­ri­ka­ni­scher Unter­neh­men, die per­so­nen­be­zo­ge­nen Daten euro­päi­scher und deut­scher Bür­ger dem Zugriff der US-Behör­den zu entziehen.

Was kön­nen Sie tun?

Trotz der Panik­ma­che sei­tens der deut­schen Lan­des­da­ten­schutz­be­hör­den hilft purer Aktio­nis­mus nicht wei­ter. Auch wenn sich deut­sche und euro­päi­sche Anbie­ter nun die Hän­de rei­ben, sie müs­sen sich an Leis­tung und Preis der trans­at­lan­ti­schen Kon­kur­renz mes­sen las­sen. Und selbst den Daten­schutz­be­hör­den soll­te klar sein, dass die Migra­ti­on eines lang­jäh­rig genutz­ten CRM Sys­tems oder ande­rer ele­men­ta­rer Bau­stei­ne nicht auf Knopf­druck erfol­gen kann, selbst wenn ein alter­na­ti­ver Anbie­ter gefun­den wurde.

  1. Umschau­en scha­det nicht: Ob und wie eine Ersatz­re­ge­lung für Safe Har­bor gefun­den wer­den kann, steht zur Zeit in den Ster­nen. Wer also per­so­nen­be­zo­ge­ne Daten zu US-ame­ri­ka­ni­schen Anbie­tern über­trägt und /​ oder deren Ser­vices nutzt, soll­te zumin­dest den euro­päi­schen und deut­schen Markt nach geeig­ne­ten mög­li­chen Alter­na­ti­ven sondieren.
  2. Aus­wei­chen auf die EU stan­dard clau­ses: Noch sind die­se nicht per Urteil außer Kraft gesetzt und kön­nen daher bis auf wei­te­res aus Sicht der Art.29-Gruppe als Legi­ti­ma­ti­ons­er­satz die­nen. Gera­de Nut­zer der Micro­soft Cloud­ser­vices haben es hier rela­tiv ein­fach, hat das Unter­neh­men doch mit sei­nen Rege­lun­gen den Segen der Art.29-Gruppe erhal­ten. Die Doku­men­te für die Micro­soft Ser­vices fin­den Sie hier.
  3. Ein­wil­li­gung der Betrof­fe­nen statt ver­trag­li­cher Rege­lun­gen mit den US-Unter­neh­men: Hier schei­den sich die Geis­ter. Wäh­rend bei­spiels­wei­se der ehe­ma­li­ge Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar als einer von vie­len eine sau­ber für die­sen Zweck for­mu­lier­te und ein­ge­hol­te Ein­wil­li­gung samt aus­führ­li­cher Infor­ma­ti­on über die Risi­ken der Daten­über­mitt­lung in die USA oder an US-Unter­neh­men für zuläs­sig hält, sehen das eini­ge Lan­des­da­ten­schutz­be­auf­trag­te anders. In deren Augen kann die Ein­wil­li­gung — als eigent­lich stärks­tes Zuläs­sig­keits­in­stru­ment — dies nicht leisten.
  4. Küh­len Kopf bewah­ren: Bei aller Panik­ma­che sei­tens der Schutz­be­hör­den soll­te das The­ma nun ruhig und kon­zen­triert ange­gan­gen wer­den. Bei­de Sei­ten des Atlan­tiks sind hier auf­ein­an­der ange­wie­sen, gera­de auch wirt­schaft­lich. Gan­ze Bran­chen kön­nen hier nicht wech­sel­sei­tig auf­ein­an­der ver­zich­ten. Von daher steht zu erwar­ten, dass auf bei­den Sei­ten Bewe­gung in die Sache kom­men. Eine Garan­tie gibt es hier­für jedoch kei­ne. Daher gilt wie­der Punkt 1 Umschau­en scha­det nicht” 🙂

Heu­te, am 08.04.2014 hat der Euro­päi­sche Gerichts­hof die EU Richt­li­nie zur Vor­rats­da­ten­spei­che­rung gekippt.

Die­se Richt­li­nie aus dem Jahr 2006 sah für die Mit­glied­staa­ten der EU eine Rege­lung über die Spei­che­rung von Ver­kehrs­da­ten auf Vor­rat für einen Zeit­raum von 6 Mona­ten vor. Kri­tik­punkt war damals schon die künst­li­che Schaf­fung einer Ver­pflich­tung durch die natio­na­len Regie­run­gen auf euro­päi­scher Ebe­ne zur Ein­füh­rung einer Vor­rats­da­ten­spei­che­rung. Zuvor waren die Anläu­fe auf natio­na­ler Ebe­ne wei­test­ge­hend geschei­tert. Durch die Ver­pflich­tung über die EU Schie­ne soll­te die­ses Man­ko im Sin­ne eini­ger sam­mel­wü­ti­ger Regie­run­gen aus­ge­he­belt werden.

Die danach ent­stan­de­nen deut­schen Rege­lun­gen im Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG) wur­den durch das Bun­des­ver­fas­sungs­ge­richt Anfang 2010 größ­ten­teils für nich­tig erklärt. Dabei wur­de jedoch nicht die Vor­rats­da­ten­spei­che­rung an sich in Fra­ge gestellt, son­dern das Gericht sah ledig­lich Defi­zi­te in der Umset­zung. Ein neu­es Gesetz zur Vor­rats­da­ten­spei­che­rung wur­de in Deutsch­land seit­her nicht auf den Weg gebracht.

Nach dem heu­ti­gen Urteil zei­gen sich erneut die Fron­ten zwi­schen Befür­wor­tern und Geg­nern einer nicht anlaß­be­zo­ge­nen Samm­lung und Spei­che­rung von per­so­nen­be­zo­ge­nen Daten auf Vor­rat. Wäh­rend Bun­des­jus­tiz­mi­nis­ter Hei­ko Maas nun Augen­maß beim Umgang mit dem The­ma for­dert und vor­ei­li­ge Schüs­se aus­schließt, zögert Bun­des­in­nen­mi­nis­ter Tho­mas de Mai­zie­re nicht, eine zeit­na­he Ein­füh­rung einer deut­schen Vor­rats­da­ten­spei­che­rung voranzutreiben.

Die “Betrof­fe­nen” (gemäß Wort­laut des Bun­des­da­ten­schutz­ge­set­zes die Per­so­nen, auf die sich die gesam­mel­ten Daten bezie­hen), also alle Bür­ger die­ses Lan­des dür­fen wei­ter gespannt sein.

Update 14.04.2014

Golem​.de mel­det das Aus für einen neu­en Geset­zes­ent­wurf zur Vor­rats­da­ten­spei­che­rung der schwarz-roten Koali­ti­on in die­ser Legis­la­tur­pe­ri­ode. Dabei beruft sich der Online-Ser­vice auf einen Bericht des Spie­gel. Es soll eine neue rechts­kon­for­me EU-Richt­li­nie abge­war­tet wer­den, bevor eine natio­na­le Rege­lung auf den Weg gebracht wird.

Das Ver­wal­tungs­ge­richt Schles­wig hat ent­schie­den: die Klar­na­men­pflicht für Face­book-Nut­zer aus Deutsch­land bleibt (vor­erst) bestehen! Das Unab­hän­gi­ge Lan­des­da­ten­schutz­zen­trum Schles­wig-Hol­stein (ULD)  hat­te gegen die­se Ver­pflich­tung geklagt.  Dem­nach wäre eine Pseud­ony­mi­sie­rung der Nut­zer­na­men auf­grund deut­scher Rechts­vor­schrif­ten not­wen­dig. Deut­sches Recht sei anzu­wen­den, da Face­book eine GmbH mit Sitz in Ham­burg habe.

Das Gericht ist der Argu­men­ta­ti­on des ULD nicht gefolgt. Nach des­sen Sicht­wei­se sei die euro­päi­sche Nie­der­las­sung in Irland aus­schlag­ge­bend und somit gel­te iri­sches Recht. Damit stell­te das Gericht gene­rell die Zustän­dig­keit deut­scher Daten­schutz­be­hör­den in Fra­ge. Das iri­sche Daten­schutz­recht kennt kein sol­ches Anrecht auf Pseudonyme.

Thi­lo Wei­chert, Lei­ter des ULD zeigt sich über­rascht: “Die Ent­schei­dun­gen sind mehr als ver­blüf­fend und gehen in der Argu­men­ta­ti­on über das Vor­brin­gen von Face­book hin­aus, das die Nicht­an­wend­bar­keit des deut­schen Daten­schutz­rech­tes damit begrün­de­te, Face­book Inc. in den USA sei nur der Auf­trags­da­ten­ver­ar­bei­ter der Face­book Ire­land Ltd. Sie sind in sich wider­sprüch­lich, wenn sie die feh­len­de recht­li­che Rele­vanz von Face­book Ger­ma­ny damit erklä­ren, dass dort kei­ne Daten ver­ar­bei­tet wür­den, zugleich aber das Unter­neh­men in Irland für zustän­dig erklä­ren, obwohl dort auch kei­ne Daten ver­ar­bei­tet wer­den.” Die Ent­schei­dung sei auch im Hin­blick auf das euro­päi­sche Daten­schutz­recht wenig nachvollziehbar.

Quel­le:

 

Datenschutz Recht2011 ging das Ereig­nis als bis­her größ­te Daten­pan­ne der Geschich­te durch die Medi­en (wir berich­te­ten). Hackern gelang es, über 75 Mil­lio­nen Kun­den­da­ten aus dem Sony Netz­werk zu ent­wen­den, dar­un­ter Namen, Anmel­de­da­ten und Zah­lungs­an­ga­ben. In wei­te­ren nach­fol­gen­den Hacker-Atta­cken wur­den wei­te­re Mil­lio­nen Daten­sät­ze ent­wen­det mit teil­wei­se noch aus­führ­li­che­ren Nutzerangaben.

Das Kri­sen­ma­nage­ment des Kon­zern war durch­aus als sub­op­ti­mal ein­zu­stu­fen — sie­he Bericht. Auf­grund des Fir­men­sit­zes in Japan wog man sich jedoch in Sicher­heit vor der Ver­fol­gung durch die Schutz­be­hör­den. Doch damit ist nun Schluss. Was nicht nur zahl­rei­che Poli­ti­ker und Daten­schüt­zer, son­dern auch gera­de Kun­den von Sony gefor­dert haben, hat die bri­ti­sche Daten­schutz­be­hör­de nun in die Tat umge­setzt. Sie ver­häng­te eine Geld­stra­fe in Höhe von 300.000 Euro, gegen das Unter­neh­men. Begrün­dung: Wer für so vie­le sen­si­blen Daten mit Miß­brauchs­po­ten­ti­al ver­ant­wort­lich ist, muss dem Schutz die­ser Daten obers­te Prio­ri­tät einräumen.

Sony hat Wider­stand gegen die Stra­fe ange­kün­digt, schließ­lich sei man “Opfer” einer kri­mi­nel­len Atta­cke gewor­den. Das Unter­neh­men blen­det dabei aus, dass es selbst erst durch Män­gel in der IT Infra­struk­tur (schwa­che Pass­wör­ter, feh­len­de Sicher­heits­patches) die Mög­lich­keit für die­se mehr­fa­chen Angrif­fe geschaf­fen hat. The­ma ver­fehlt, Sechs, setzen!

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Ihr Daten­schutz­be­auf­trag­ter muss kein IT Pro­fi sein. Er wird jedoch aus­rei­chend Fach­wis­sen mit­brin­gen, um unter ande­rem auch auf Sicher­heits­lü­cken durch schwa­che Pass­wör­ter oder nicht zeit­na­he /​ feh­len­de Sicher­heits­patches kon­se­quent hin­zu­wei­sen. Lösun­gen las­sen sich meist unkom­pli­ziert durch tech­ni­sche und /​ oder orga­ni­sa­to­ri­sche Maß­nah­men her­bei­füh­ren und das Schutz­ni­veau wei­ter erhö­hen. Sei­en Sie schlau­er und spre­chen Sie mit Ihrem Daten­schutz­be­auf­trag­ten. Ver­mei­den Sie Daten­pan­nen und die damit ver­bun­de­nen Buß­gel­dri­si­ken. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Wir hel­fen ger­ne weiter.