Google Analytics als Webtracking- und Analyse-Tool ist bei Webmastern recht beliebt. Eine aus Datenschutzsicht beanstandungsfreie Umsetzung ist seit geraumer Zeit möglich. Dabei gilt es jedoch, einiges zu beachten. Wer sich darum nicht kümmert, kann zukünftig vom Wettbewerb dazu mit rechtlichen Mitteln – im Zweifel mittels Abmahnung – gezwungen werden.

In einer einstweiligen Verfügung des Landgerichts Hamburg vom 10.03.2016 mit dem Aktenzeichen 312 O 127/16 untersagt das Gericht dem Betreiber einer Webseite den Einsatz von Google Analytics aufgrund fehlender Hinweise auf den Einsatz, beispielweise im Rahmen der Datenschutzerklärung. Das Landgericht Hamburg droht dem Webseitenbetreiber für den Fall der Zuwiderhandlung gegen diese Anordnung ein Ordnungsgeld von bis zu 250.000 Euro an (als Ersatz Ordnungshaft bis zu 6 Monaten).

Nicht eindeutig geklärt ist bisher, ob § 13 Absatz 1 Satz 1 Telemediengesetz (TMG) Grundlage für eine Abmahnung sein kann. Das Oberlandesgericht (OLG) München hat 2012 diesen Sachverhalt verneint. Dem entgegen hat das OLG Hamburg in 2013 die Abmahnfähigkeit bestätigt.

Wer demnach zur Zeit Abmahnung und weiteres Ungemach wegen des Einsatzes von Google Analytics vermeiden will, tut gut daran, die Empfehlungen aus 2011 für die Einführung und Nutzung von Google Analytics als Webtracking- und Analyse-Tool umzusetzen:

  1. Abschluss einer Regelung zur Auftragsdatenverarbeitung nach § 11 BDSG. Eine gemeinsam erarbeitete Vorlage samt Anleitung finden Sie unter www.google.com/analytics/terms/de.pdf oder Sie suchen bei google.de nach „analytics +tos.pdf“.
  2. Detaillierte Formulierung der Nutzung in der Datenschutzerklärung Ihrer Webseite zusammen mit dem Hinweis auf die Widerspruchsmöglichkeit durch das Google Tool „gaoptaut“ inkl. Downloadlink.
  3. Aktivierung der anonymizeIP-Funktion (Achtung: hierfür ist ein gesonderter Tracking-Code notwendig!)
  4. Löschen ALLER bisher zu Unrecht erhobenen Daten

Viel Erfolg beim datenschutzkonformen Einsatz von Google Analytics. Wer es unkomplizierter mag, setzt auf das Open Source Tool PIWIK, wie in unserem Blogbeitrag beschrieben.

Was ist mit Safe Harbor 1.0 passiert?

Am 06.10.2015 hat für einige der größte Durchbruch der letzten Jahrzehnte im Datenschutz stattgefunden und für andere endlich die langjährige bewußte Selbsttäuschung ein Ende gefunden. Die Rede ist vom sogenannten Safe Harbor Urteil des Europäischen Gerichtshofs. Vollkommen zu Recht hat der EuGH dieses Zulässigkeitsverfahren für Datenübermittlungen in die USA in Frage gestellt und am Ende für nichtig erklärt. Wer sich mit den Hintergründen befasst hat, ist davon wenig überrascht.
Was jedoch in der Praxis in den ersten Wochen der Unsicherheit nach diesem Urteil nun stattfand, war teilweise purer marktschreierischer Aktionismus gepaart mit einer gehörigen Portion Weltfremdheit.

06.10.2015 Das Safe Harbor Urteil des Europäischen Gerichtshofs

Jede Datenübermittlung benötigt eine rechtliche Grundlage zur Zulässigkeit. Dies schreiben unsere deutschen und europäischen Datenschutzgesetze so vor. Zur vereinfachten Legitimation von Übermittlungen personenbezogener Daten in die USA durch europäische Unternehmen wurde vor 15 Jahren (also auch lange vor dem NSA Skandal) Safe Harbor ins Leben gerufen. Der „sichere Hafen“ definierte Richtlinien zum Datenschutz und zur Datensicherheit, unter denen die Übermittlung personenbezogene Daten in die USA als zulässig eingestuft wurde. Amerikanische Anbieter konnten sich diesen Richtlinien unterwerfen und an zentraler Stelle dies dokumentieren lassen. Eine Überprüfung, ob die geforderten Standards wirklich in die Tat umgesetzt waren, fand nicht statt. Alleine schon deswegen stand dieses Verfahren von Anfang an unter Beschuss seitens Vertretern des Datenschutzes.

Zusätzlich bot Safe Harbor keinen Schutz vor US-geheimdienstlichen Zugriffen auf Daten deutscher / europäischer Bürger, selbst wenn deren Daten in europäischen Rechenzentren dieser amerikanischen Unternehmen gespeichert waren.

Diesem Umstand trug der EuGH in seinem Urteil vom 06.10.2015 Rechnung und hat Safe Harbor für unzulässig erklärt. In der Urteilsbegründung wurde weiterhin die Autonomie der Datenschutzbehörden der Mitgliedsländer in dieser Sache bekräftigt. Und ab hier wird es bunt …

Die Bundesbeauftragte für Datenschutz und Informationssicherheit spricht von einem „Meilenstein für den Datenschutz“.

Das ULD postulierte „Das ULD wird prüfen, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.“ 

Recht blauäugig reagiert hingegen die EU Kommission, die für das bisherige Safe Harbor Verfahren verantwortlich zeichnet. Das Urteil wird als „Weiter so“ betrachtet, in Form von  Neuverhandlungen zu Safe Harbor. Bis diese nicht abgeschlossen sind, wäre kein Grund zum Handeln laut der Kommission.

Doch es gibt auch Erfreuliches zu berichten

Die Artikel 29 Gruppe (der Zusammenschluss der EU Datenschutzbeauftragten) zeigt hier etwas mehr Augenmaß. Sie sieht die Notwendigkeit einer gemeinsamem Linie in der weiteren Vorgehensweise. Bis dahin sollen zumindest die EU standard clauses für Rechtssicherheit bei den Unternehmen auf beiden Seiten des Atlantiks sorgen. Diese wurden vom EuGH nicht für unzulässig erklärt, obwohl sich die Kritik an Safe Harbor auch auf die clauses anwenden lässt.

Vera Jourova, EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, äußerte sich vor kurzem in einer österreichischen Tageszeitung zuversichtlich, ein neues Safe Harbor Abkommen mit den USA schon bald abschließen zu können. Bei dem Nachfolger von Safe Harbor dürfte es sich tatsächlich um ein Abkommen handeln, nicht um eine einseitige Entscheidung der Kommission (mit einer der Kritikpunkte an der früheren Regelung).

„Idealerweise sollten wir uns über alle Streitfragen bis Mitte Jänner 2016 einigen“, so Vera Jourava im Interview. Das mag optimistisch klingen, aber der Druck auf beiden Seiten des Atlantiks ist enorm. Unternehmen in den USA und ihre Vertragspartner auf Seiten der EU müssen sich plötzlich mit den EU-Standardvertragsklauseln beschäftigen. Und auch diese stellen schlimmstenfalls nur eine Interimslösung dar.

Bis hierüber Klarheit herrscht, sollten bisherige Vereinbarungen zur Datenübermittlung, die sich ausschließlich auf Safe Harbor beziehen, auf die EU-Standardvertragsklauseln umgestellt werden. Die Erfahrungen der letzten Wochen zeigen, dass amerikanische Anbieter hier konstruktiv mitarbeiten und die Umstellung unterstützen. Ende Januar 2016 wird man sehen, was die Zukunft bringt. Die Zeit sollte man jedoch nicht ungenutzt verstreichen lassen. Denn rechtlich sind unsere deutschen Landesdatenschutzbehörden durchaus in der Lage, den „Stecker zu ziehen“.

Microsoft führt zur Zeit einen Musterprozess in den USA (2nd U.S. Circuit Court of Appeals, No. 14-2985). Das Unternehmen will die Herausgabe von personenbezogenen Daten an US-Behörden verhindern, die auf europäischen Servern gespeichert sind. Geht dieses Urteil zugunsten von Microsoft aus, wäre das ein wirklicher Paukenschlag. Im anderen Fall wird eine ganze Branche mit Giganten wie Microsoft, Apple, Google, Facebook & Co. schwer zu kämpfen haben. Das Wall Street Journal berichtet noch am Tag des Urteils über die Bemühungen amerikanischer Unternehmen, die personenbezogenen Daten europäischer und deutscher Bürger dem Zugriff der US-Behörden zu entziehen.

Was können Sie tun?

Trotz der Panikmache seitens der deutschen Landesdatenschutzbehörden hilft purer Aktionismus nicht weiter. Auch wenn sich deutsche und europäische Anbieter nun die Hände reiben, sie müssen sich an Leistung und Preis der transatlantischen Konkurrenz messen lassen. Und selbst den Datenschutzbehörden sollte klar sein, dass die Migration eines langjährig genutzten CRM Systems oder anderer elementarer Bausteine nicht auf Knopfdruck erfolgen kann, selbst wenn ein alternativer Anbieter gefunden wurde.

  1. Umschauen schadet nicht: Ob und wie eine Ersatzregelung für Safe Harbor gefunden werden kann, steht zur Zeit in den Sternen. Wer also personenbezogene Daten zu US-amerikanischen Anbietern überträgt und / oder deren Services nutzt, sollte zumindest den europäischen und deutschen Markt nach geeigneten möglichen Alternativen sondieren.
  2. Ausweichen auf die EU standard clauses: Noch sind diese nicht per Urteil außer Kraft gesetzt und können daher bis auf weiteres aus Sicht der Art.29-Gruppe als Legitimationsersatz dienen. Gerade Nutzer der Microsoft Cloudservices haben es hier relativ einfach, hat das Unternehmen doch mit seinen Regelungen den Segen der Art.29-Gruppe erhalten. Die Dokumente für die Microsoft Services finden Sie hier.
  3. Einwilligung der Betroffenen statt vertraglicher Regelungen mit den US-Unternehmen: Hier scheiden sich die Geister. Während beispielsweise der ehemalige Bundesdatenschutzbeauftragte Peter Schaar als einer von vielen eine sauber für diesen Zweck formulierte und eingeholte Einwilligung samt ausführlicher Information über die Risiken der Datenübermittlung in die USA oder an US-Unternehmen für zulässig hält, sehen das einige Landesdatenschutzbeauftragte anders. In deren Augen kann die Einwilligung – als eigentlich stärkstes Zulässigkeitsinstrument – dies nicht leisten.
  4. Kühlen Kopf bewahren: Bei aller Panikmache seitens der Schutzbehörden sollte das Thema nun ruhig und konzentriert angegangen werden. Beide Seiten des Atlantiks sind hier aufeinander angewiesen, gerade auch wirtschaftlich. Ganze Branchen können hier nicht wechselseitig aufeinander verzichten. Von daher steht zu erwarten, dass auf beiden Seiten Bewegung in die Sache kommen. Eine Garantie gibt es hierfür jedoch keine. Daher gilt wieder Punkt 1 Umschauen schadet nicht“ 🙂

Heute, am 08.04.2014 hat der Europäische Gerichtshof die EU Richtlinie zur Vorratsdatenspeicherung gekippt.

Diese Richtlinie aus dem Jahr 2006 sah für die Mitgliedstaaten der EU eine Regelung über die Speicherung von Verkehrsdaten auf Vorrat für einen Zeitraum von 6 Monaten vor. Kritikpunkt war damals schon die künstliche Schaffung einer Verpflichtung durch die nationalen Regierungen auf europäischer Ebene zur Einführung einer Vorratsdatenspeicherung. Zuvor waren die Anläufe auf nationaler Ebene weitestgehend gescheitert. Durch die Verpflichtung über die EU Schiene sollte dieses Manko im Sinne einiger sammelwütiger Regierungen ausgehebelt werden.

Die danach entstandenen deutschen Regelungen im Telekommunikationsgesetz (TKG) wurden durch das Bundesverfassungsgericht Anfang 2010 größtenteils für nichtig erklärt. Dabei wurde jedoch nicht die Vorratsdatenspeicherung an sich in Frage gestellt, sondern das Gericht sah lediglich Defizite in der Umsetzung. Ein neues Gesetz zur Vorratsdatenspeicherung wurde in Deutschland seither nicht auf den Weg gebracht.

Nach dem heutigen Urteil zeigen sich erneut die Fronten zwischen Befürwortern und Gegnern einer nicht anlaßbezogenen Sammlung und Speicherung von personenbezogenen Daten auf Vorrat. Während Bundesjustizminister Heiko Maas nun Augenmaß beim Umgang mit dem Thema fordert und voreilige Schüsse ausschließt, zögert Bundesinnenminister Thomas de Maiziere nicht, eine zeitnahe Einführung einer deutschen Vorratsdatenspeicherung voranzutreiben.

Die „Betroffenen“ (gemäß Wortlaut des Bundesdatenschutzgesetzes die Personen, auf die sich die gesammelten Daten beziehen), also alle Bürger dieses Landes dürfen weiter gespannt sein.

Update 14.04.2014

Golem.de meldet das Aus für einen neuen Gesetzesentwurf zur Vorratsdatenspeicherung der schwarz-roten Koalition in dieser Legislaturperiode. Dabei beruft sich der Online-Service auf einen Bericht des Spiegel. Es soll eine neue rechtskonforme EU-Richtlinie abgewartet werden, bevor eine nationale Regelung auf den Weg gebracht wird.

Das Verwaltungsgericht Schleswig hat entschieden: die Klarnamenpflicht für Facebook-Nutzer aus Deutschland bleibt (vorerst) bestehen! Das Unabhängige Landesdatenschutzzentrum Schleswig-Holstein (ULD)  hatte gegen diese Verpflichtung geklagt.  Demnach wäre eine Pseudonymisierung der Nutzernamen aufgrund deutscher Rechtsvorschriften notwendig. Deutsches Recht sei anzuwenden, da Facebook eine GmbH mit Sitz in Hamburg habe.

Das Gericht ist der Argumentation des ULD nicht gefolgt. Nach dessen Sichtweise sei die europäische Niederlassung in Irland ausschlaggebend und somit gelte irisches Recht. Damit stellte das Gericht generell die Zuständigkeit deutscher Datenschutzbehörden in Frage. Das irische Datenschutzrecht kennt kein solches Anrecht auf Pseudonyme.

Thilo Weichert, Leiter des ULD zeigt sich überrascht: „Die Entscheidungen sind mehr als verblüffend und gehen in der Argumentation über das Vorbringen von Facebook hinaus, das die Nichtanwendbarkeit des deutschen Datenschutzrechtes damit begründete, Facebook Inc. in den USA sei nur der Auftragsdatenverarbeiter der Facebook Ireland Ltd. Sie sind in sich widersprüchlich, wenn sie die fehlende rechtliche Relevanz von Facebook Germany damit erklären, dass dort keine Daten verarbeitet würden, zugleich aber das Unternehmen in Irland für zuständig erklären, obwohl dort auch keine Daten verarbeitet werden.“ Die Entscheidung sei auch im Hinblick auf das europäische Datenschutzrecht wenig nachvollziehbar.

Quelle:

 

Datenschutz Recht2011 ging das Ereignis als bisher größte Datenpanne der Geschichte durch die Medien (wir berichteten). Hackern gelang es, über 75 Millionen Kundendaten aus dem Sony Netzwerk zu entwenden, darunter Namen, Anmeldedaten und Zahlungsangaben. In weiteren nachfolgenden Hacker-Attacken wurden weitere Millionen Datensätze entwendet mit teilweise noch ausführlicheren Nutzerangaben.

Das Krisenmanagement des Konzern war durchaus als suboptimal einzustufen – siehe Bericht. Aufgrund des Firmensitzes in Japan wog man sich jedoch in Sicherheit vor der Verfolgung durch die Schutzbehörden. Doch damit ist nun Schluss. Was nicht nur zahlreiche Politiker und Datenschützer, sondern auch gerade Kunden von Sony gefordert haben, hat die britische Datenschutzbehörde nun in die Tat umgesetzt. Sie verhängte eine Geldstrafe in Höhe von 300.000 Euro, gegen das Unternehmen. Begründung: Wer für so viele sensiblen Daten mit Mißbrauchspotential verantwortlich ist, muss dem Schutz dieser Daten oberste Priorität einräumen.

Sony hat Widerstand gegen die Strafe angekündigt, schließlich sei man „Opfer“ einer kriminellen Attacke geworden. Das Unternehmen blendet dabei aus, dass es selbst erst durch Mängel in der IT Infrastruktur (schwache Passwörter, fehlende Sicherheitspatches) die Möglichkeit für diese mehrfachen Angriffe geschaffen hat. Thema verfehlt, Sechs, setzen!

Fragen Sie doch Ihren Datenschutzbeauftragten

Ihr Datenschutzbeauftragter muss kein IT Profi sein. Er wird jedoch ausreichend Fachwissen mitbringen, um unter anderem auch auf Sicherheitslücken durch schwache Passwörter oder nicht zeitnahe / fehlende Sicherheitspatches konsequent hinzuweisen. Lösungen lassen sich meist unkompliziert durch technische und / oder organisatorische Maßnahmen herbeiführen und das Schutzniveau weiter erhöhen. Seien Sie schlauer und sprechen Sie mit Ihrem Datenschutzbeauftragten. Vermeiden Sie Datenpannen und die damit verbundenen Bußgeldrisiken. Sie haben keinen Datenschutzbeauftragten? Wir helfen gerne weiter.