Nicht über­ra­schend, aber dann doch ohne wei­te­re Ankün­di­gung des genau­en Start­ter­mins hat Micro­soft vor kur­zem den Dienst “MyAna­ly­tics” in Office 365 in Deutsch­land frei­ge­schal­tet. Und wie zu erwar­ten war, begann sogleich der gro­ße Auf­schrei der Arbeit­neh­mer­ver­tre­ter und auch eini­ger Daten­schutz-Auf­sich­ten. Vom “glä­ser­nen Mit­ar­bei­ter” ist die Rede. Es fän­de voll­stän­di­ges Pro­filing aller nut­zen­den Mit­ar­bei­ter durch den Arbeit­ge­ber statt. Zeit­nah wur­de auch die Not­wen­dig­keit einer Daten­schutz-Fol­gen­ab­schät­zung nach Art. 35 DSGVO betont.

Was ist Micro­softs “MyAna­ly­tics”?

MyAna­ly­tics ist ein Micro­soft-Dienst, der im Rah­men bestimm­ter Office 365 bzw. Exchan­ge 365-Lizen­zen zur Ver­fü­gung steht. Stan­dard­mä­ßig ist die Funk­ti­on ein­ge­schal­tet. Weder der Arbeit­ge­ber noch der Mit­ar­bei­ter müs­sen bzw. muss­ten in die Nut­zung die­ses Ser­vices ein­wil­li­gen. Das erscheint auf den ers­ten Blick zumin­dest sehr unge­schickt, da doch bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch­aus ein Opt In statt­fin­den muss, wenn kei­ne ande­re Rechts­grund­la­ge aus Art. 6 Abs. 1 DSGVO her­an­ge­zo­gen wer­den kann.

Micro­soft selbst beschreibt MyAna­ly­tics dahin­ge­hend “Wer­den Sie pro­duk­ti­ver durch Ein­bli­cke in Ihre per­sön­li­che Arbeits­wei­se in Micro­soft 365. Wer­den Sie noch pro­duk­ti­ver, indem Sie Ihre Arbeits­mus­ter mit MyAna­ly­tics in vier Kern­be­rei­chen aus­wer­ten: Fokus, Wohl­be­fin­den, Netz­werk und Zusam­men­ar­beit. Direkt in Out­look macht MyAna­ly­tics intel­li­gen­te Vor­schlä­ge, damit Sie recht­zei­tig Zeit für kon­zen­trier­tes Arbei­ten reser­vie­ren, Auf­ga­ben und E‑Mails im Blick behal­ten und wich­ti­ge Kon­tak­te pfle­gen kön­nen.” Die Aus­wer­tung der eige­nen Arbeits­wei­se wird jedem ein­zel­nen Nut­zer mit akti­vem MyAna­ly­tics wöchent­lich zusam­men­ge­stellt und per Email zugeschickt.

Mit “Sie” ist daher nicht der Arbeit­ge­ber, son­dern der jewei­li­ge Ein­zel­nut­zer gemeint. Das ist im Eifer des Gefechts dem einen oder ande­ren auf­ge­reg­ten Daten- und Mit­ar­bei­ter­schüt­zer entgangen.

Micro­soft führt wei­ter­hin aus, dass die­se Aus­wer­tun­gen für jeden Mit­ar­bei­ter indi­vi­du­ell erstellt wer­den und weder einem Admi­nis­tra­tor noch dem Arbeit­ge­ber in irgend­ei­ner Wei­se zur Ver­fü­gung oder Ein­sicht ste­hen. Bei unse­ren Tests als Admi­nis­tra­to­ren ist es uns auch nicht gelun­gen, an eine die­ser Aus­wer­tun­gen zu gelan­gen. Aus­nah­me wäre gewe­sen, wir hät­ten uns als Admi­nis­tra­tor Zugang zum Post­fach eines Mit­ar­bei­ter ver­schafft und des­sen Ana­ly­tics-Bericht gele­sen, der als Email direkt an den Mit­ar­bei­ter zuge­stellt wird.

Wozu “MyAna­ly­tics”?

MyAna­ly­tics wer­tet den Kalen­der und die E‑Mails sta­tis­tisch aus. Micro­soft sieht den Nut­zen des Diens­tes in der Mög­lich­keit für den ein­zel­nen Mit­ar­bei­ter zu sehen, auf einen Blick sehen kön­nen, wie viel sie arbei­ten und wie sie ihre Zeit orga­ni­sie­ren. That’s it. Kei­ne Kon­trol­le durch den Arbeit­ge­ber oder ein “Ver­mes­sen der Beleg­schaft” durch den ach so bösen Arbeit­ge­ber. Wer das mag, war­um nicht.

Zu hin­ter­fra­gen wäre sicher­lich, was macht Micro­soft mit den gesam­mel­ten Daten. Wann wer­den die­se wie­der gelöscht? Wer hat außer­halb des Office365 Ten­ants Zugriff dar­auf und vor allem war­um? Die Dis­kus­si­on hier­zu wird noch geführt bzw. wei­ter zu füh­ren sein.

Wie kann ich Micro­soft “MyAna­ly­tics” deaktivieren?

Ob ein Mit­ar­bei­ter den Dienst nut­zen möch­te, kann durch jeden Nut­zer selbst ent­schie­den wer­den. Sobald Sie eine Sta­tus-Email von MyAna­ly­tics erhal­ten (zumeist wöchent­lich als Zusam­men­fas­sung), befin­det sich dar­in der Link zum Deak­ti­vie­ren der Funk­ti­on. Alter­na­tiv kann der Office 365 Nut­zer dies auch direkt über das Dash­board in Office 365 (exter­ner Link zur Anlei­tung) erledigen.

Orga­ni­sa­tio­nen kön­nen “MyAna­ly­tics” jedoch auch gene­rell abschal­ten. Micro­soft stellt dazu eine ein­fa­che Anlei­tung zur Ver­fü­gung. In der Office 365 Admi­nis­tra­ti­on fin­det man links die Opti­on “Ein­stel­lun­gen”. Unter Ein­stel­lun­gen scrollt man run­ter zum Dienst “MyAna­ly­tics” und deak­ti­viert die 3 ange­kreuz­ten Check­bo­xen, die auf der rech­ten Sei­te erscheinen:

Damit steht der Ser­vice für kei­nen Nut­zer auf dem Ten­ant mehr zur Verfügung.

Emp­feh­lung, wenn Sie MyAna­ly­tics für Ihre Mit­ar­bei­ter zulas­sen wollen

  1. Sich mit dem Tool und des­sen Umfang ver­traut machen. Micro­soft bie­tet dazu eine ers­te gute Über­sicht an. Auch die FAQ sind eine gute Grund­la­ge für den Einstieg.
  2. Den Daten­schutz­be­auf­trag­ten und den Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten einbinden.
  3. Mit­ar­bei­ter­ver­tre­tung mit ins Boot neh­men. Auch die­se aus­führ­lich über das Modul infor­mie­ren, Ver­ständ­nis­pro­ble­me klä­ren, damit eine ein­heit­li­che Dis­kus­si­ons­ba­sis vor­han­den ist.
  4. Bei Bedarf vor­han­de­ne Rah­men­be­triebs­ver­ein­ba­rung Office 365 um MyAna­ly­tics ergän­zen bzw. eine Betriebs­ver­ein­ba­rung dazu erstellen.
  5. Wir gehen mal davon aus, die daten­schutz­recht­li­chen Ver­ein­ba­run­gen mit Micro­soft vorliegen? 🙂
  6. Abwar­ten und Tee trin­ken, bis sich die Auf­re­gung wie­der etwas gelegt hat und kla­re, prag­ma­ti­sche Vor­ge­hens­wei­sen vorliegen.

 

Ende März 2014 hat Goog­le sei­ne eige­nen Daten­schutz­er­klä­run­gen aktua­li­siert. Bei die­ser Gele­gen­heit wur­den die Links zu den rele­van­ten daten­schutz­recht­li­chen Anga­ben für die Tools Goog­le Ana­ly­tics und den Goog­le+ But­ton geändert.

Als logi­sche Kon­se­quenz lan­den nun alle Links in Daten­schutz­er­klä­run­gen im Nir­wa­na. Goog­le hat es lei­der nicht für nötig erach­tet, eine Umlei­tung (Redi­rect) zu set­zen und somit sind die­se vor­ge­schrie­be­nen Infor­ma­tio­nen nicht mehr direkt zugäng­lich. Folg­lich ist die Daten­schutz­er­klä­rung auf den eige­nen Web­sei­ten fehlerhaft.

Daher soll­ten Sie — sofern Sie Goog­le Ana­ly­tics und /​ oder den Goog­le+ But­ton auf den Web­sei­ten ein­set­zen — nun schnell reagie­ren und die­se Links aktua­li­sie­ren. Die­se lau­ten wie folgt:

Daten­schutz­recht­li­che Infor­ma­tio­nen zu Goog­le Ana­ly­tics (exter­ner Link)
https://​www​.goog​le​.com/​i​n​t​l​/​d​e​/​a​n​a​l​y​t​i​c​s​/​l​e​a​r​n​/​p​r​i​v​a​c​y​.​h​tml

Daten­schutz­recht­li­che Infor­ma­tio­nen bezüg­lich des Goog­le+ But­tons (exter­ner Link)
https://​www​.goog​le​.com/​p​o​l​i​c​i​e​s​/​p​r​i​v​a​c​y​/​p​a​r​t​n​e​r​s​/​?​h​l​=de

Nicht ver­ges­sen: die fol­gen­den bei­den Links soll­ten eben­falls Bestand­teil Ihrer Daten­schutz­er­klä­rung sein. Bei­de sind von der aktu­el­len Adress­än­de­rung jedoch nicht betroffen:

Neu­es­ter Stand “All­ge­mei­ne Daten­schutz­hin­wei­se von Google” 
https://​www​.goog​le​.de/​i​n​t​l​/​d​e​/​p​o​l​i​c​i​e​s​/​p​r​i​v​a​cy/

Brow­ser-Add-on gaop­tout zur Deak­ti­vie­rung von Goog­le Ana­ly­tics zum Download
https://​tools​.goog​le​.com/​d​l​p​a​g​e​/​g​a​o​p​t​o​u​t​?​h​l​=de

Ergän­zen­der Tipp: Daten­schutz bei Nut­zung von social Plugins (exter­ner Bei­trag unse­res Partner-Blogs)

Update vom 19.01.2014

Mitt­ler­wei­le ist das Tool PIWIK in der Ver­si­on 2.x ver­füg­bar. Neben einem deut­lich über­ar­bei­te­ten Inter­face wur­den die Aus­wer­tungs­mög­lich­kei­ten noch­mals ver­fei­nert. Rein­schau­en lohnt sich für jeden Web­mas­ter alle­mal. https://​piwik​.org/

Update vom 08.05.2012

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht teil­te ges­tern mit, den Ein­satz des Web­tracking-Tools Goog­le Ana­ly­tics auf 13.404 Web­sei­ten mit Betrei­bern aus Bay­ern mit­tels einer eigens ent­wi­ckel­ten Soft­ware über­prüft zu haben. 10.955 der geprüf­ten Web­sei­ten setz­ten Goog­le Ana­ly­tics nicht ein. Auf den ver­blie­be­nen 2.449 Web­sei­ten wäre das belieb­te Web­tracking-Tool ledig­lich in 3% aller Fäl­le daten­schutz­kon­form umge­setzt. Die 2.371 Web­sei­ten­be­trei­ber mit nicht daten­schutz­kon­for­men Ein­satz des Tools erhal­ten in den kom­men­den Tagen Post von der Lan­des­da­ten­schutz­be­hör­de mit der Auf­for­de­rung zur Abstel­lung des nicht kon­for­men Einsatzes.

Seit lan­gem wird heiß dis­ku­tiert, ob und inwie­weit Goog­le Ana­ly­tics über­haupt daten­schutz­kon­form nach deut­schem Recht ein­setz­bar ist. Vie­le der not­wen­di­gen Sach­ver­hal­te las­sen sich mit unse­rem aktu­el­len Bun­des­da­ten­schutz­ge­setz nicht kor­rekt umset­zen oder dar­stel­len. Die­se Dis­kus­si­on soll­te jedoch nicht dazu ver­lei­ten, nach dem Mot­to “Augen zu und durch” zu ver­fah­ren. Noch dazu, wo es doch eine kos­ten­freie, leis­tungs­fä­hi­ge und bean­stan­dungs­freie Alter­na­ti­ve wie das Open Source Tool PIWIK gibt. Wie das ein­zu­set­zen ist, lesen Sie in unse­rem Blog-Bei­trag vom 16.03.2011:

Ori­gi­nal-Bei­trag vom 16.03.2011

Goog­le steht mit sei­nem Web­tracking-Dienst Ana­ly­tics nach wie vor im Kreuz­feu­er der Kri­tik sei­tens der Daten­schutz­be­hör­den — sie­he “Ham­bur­ger Daten­schutz­be­auf­trag­ter sagt Nein zu Goog­le Ana­ly­tics”. Die Lan­des­da­ten­schutz­be­hör­de Baden-Würt­tem­berg sieht Lösungs­mög­lich­kei­ten für den Kon­flikt zwi­schen der Funk­ti­ons­wei­se von Ana­ly­tics und dem Bun­des­da­ten­schutz­ge­setz. Spruch­reif sind die­se jedoch noch nicht.

Kon­flikt­frei­er und siche­rer geht Web­tracking mit­tels des kos­ten­frei­en open Source Web­tracking Tools PIWIK. Über die­se Alter­na­ti­ve konn­ten Sie sich bereits 2010 auf die­sem Blog infor­mie­ren — “PIWIK — die unbe­denk­li­che­re Alter­na­ti­ve zu Goog­le Ana­ly­tics”. Nun hat das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein (ULD) in einer Pres­se­mit­tei­lung vom 15.03.2011 Rat­schlä­ge zum daten­schutz­kon­for­men Ein­satz von Web­ana­ly­se-Werk­zeu­gen her­aus­ge­ge­ben. Und ergän­zend hier­zu eine PDF-Anlei­tung zum daten­schutz­kon­for­men Ein­satz von PIWIK zum Down­load bereit­ge­stellt.

Neben einer gelun­ge­nen Vor­stel­lung von PIWK und einer Instal­la­ti­ons­an­wei­sung sind ab Kapi­tel 3 die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men auf­ge­lis­tet, mit­tels derer ein daten­schutz­kon­for­mer Ein­satz nach Ermes­sen des ULD gewähr­leis­tet wer­den kann:

  1. Nut­zung des Plugins “Anony­mi­zeIP” inkl. einer Erwei­te­rung der Anonymisierungsmaske
  2. Bereit­stel­len der inte­grier­ten Wider­spruchs­mög­lich­keit Opt-Out mit­tels iframe beim ers­ten Auf­ruf der Sei­te und in der Datenschutzerklärung
  3. Spar­sa­mer Ein­satz der Refer­rer-Daten, bis hin zu einer mög­li­chen Abschal­tung des Plugins
  4. Kei­ne Daten zusammenführen
  5. Daten­lö­schung nach Aus­wer­tung und Analyse
  6. Ver­rin­ge­rung der Lebens­dau­er des Analyse-Cookies

Die genann­ten Punk­te sind mit weni­gen Hand­grif­fen, selbst von nicht Web-Pro­fis umzusetzen.

Mann mit Lupe - Unter Beobachtung

Mann mit Lupe - Unter BeobachtungNach­dem gera­de die baye­ri­sche Lan­des­da­ten­schutz­be­hör­de offi­zi­ell das Vor­ge­hen gegen baye­ri­sche Unter­neh­mens­web­sei­ten mit nicht kor­rekt umge­setz­ten Goog­le Ana­ly­tics Instal­la­tio­nen kund­ge­tan hat, ver­sen­det nun auch die Lan­des­da­ten­schutz­be­hör­de Nord­rhein-Wets­fa­len ers­te Anschrei­ben. Im Visier: Unter­neh­men mit Sitz im Bun­des­land und einem Web­auf­tritt der als Tracking Tool das belieb­te Goog­le Ana­ly­tics einsetzt.

Den ange­schrie­be­nen Unter­neh­men wird aus­führ­lich die recht­li­che Grund­la­ge erklärt und die lt. Behör­de kor­rek­te Ein­satz­wei­se des Tools dar­ge­stellt. Ein mehr­sei­ti­ger Fra­ge­bo­gen samt Bestä­ti­gung des Unter­neh­mens über den nun kor­ri­gier­ten und bean­stan­dungs­frei­en Ein­satz von Goog­le Ana­ly­tics ist bei­gefügt und inner­halb einer ange­mes­se­nen Frist aus­ge­füllt und unter­schrie­ben zurückzusenden.

Unse­re Emp­feh­lung: neh­men Sie die­ses Schrei­ben ernst und reagie­ren ange­mes­sen und zeit­nah. Die Buß­gel­der für den nicht kor­rek­ten Ein­satz des Tools sowie auf eine feh­len­de oder falsch erteil­te Rück­aus­kunft sind in dem Schrei­ben gleich benannt.

Die ein­fachs­te Lösung: stel­len Sie doch gleich auf das Open Source Tool PIWIK um. Die­ses steht Goog­le Ana­ly­tics als rei­nes Tracking Tool in nichts nach und es gibt eine ein­fa­che Schritt für Schritt Anlei­tung, wie es rechts­si­cher instal­liert und kon­fi­gu­riert wird. Eine Anlei­tung fin­den Sie auch hier im Blog.

Im Zwei­fel fra­gen Sie doch ein­fach Ihren exter­nen Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Dann ist mög­li­cher­wei­se Zeit zum Han­deln, falls die gesetz­li­che Bestell­pflicht für Ihr Unter­neh­men vor­liegt. Sonst droht das nächs­te Unge­mach in Form von Buß­gel­dern. For­dern Sie doch ein­fach und schnell Ihr unver­bind­li­ches Ange­bot an.

Mann mit Lupe - Unter Beobachtung

Mann mit Lupe - Unter BeobachtungBay­erns Web­sei­ten­be­trei­ber im Visier

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht teil­te ges­tern mit, den Ein­satz des Web­tracking-Tools Goog­le Ana­ly­tics auf 13.404 Web­sei­ten mit Betrei­bern aus Bay­ern mit­tels einer eigens ent­wi­ckel­ten Soft­ware über­prüft zu haben.

10.955 der geprüf­ten Web­sei­ten setz­ten Goog­le Ana­ly­tics nicht ein. Auf den ver­blie­be­nen 2.449 Web­sei­ten wäre das belieb­te Web­tracking-Tool ledig­lich in 3% aller Fäl­le daten­schutz­kon­form umge­setzt. Die ver­blei­ben­den 2.371 Web­sei­ten­be­trei­ber erhal­ten in den kom­men­den Tagen Post von der Lan­des­da­ten­schutz­be­hör­de mit der Auf­for­de­rung zur Abstel­lung des nicht kon­for­men Einsatzes.

Noch zeit­ge­mäß?

Seit lan­gem wird heiß dis­ku­tiert, ob und inwie­weit Goog­le Ana­ly­tics daten­schutz­kon­form nach deut­schem Recht ein­setz­bar ist. Vie­le der not­wen­di­gen Sach­ver­hal­te las­sen sich mit unse­rem aktu­el­len Bun­des­da­ten­schutz­ge­setz nicht kor­rekt umset­zen oder dar­stel­len. Die­se Dis­kus­si­on soll­te jedoch nicht dazu ver­lei­ten, nach dem Mot­to “Augen zu und durch” zu verfahren.

Noch dazu, wo es doch eine kos­ten­freie, leis­tungs­fä­hi­ge und bean­stan­dungs­freie Alter­na­ti­ve wie das Open Source Tool PIWIK gibt. Wie das ein­zu­set­zen ist, lesen Sie in unse­rem Blog-Bei­trag (ursprüng­lich vom 16.03.2011).