Am 07.06.2018 hatten wir über das EuGH-Urteil (Rechtssache C‑210/16) vom 05.06.2018 berichtet.
Mit seiner Entscheidung befand der EuGH, dass der „Betreiber (…) gemeinsam mit Facebook Ireland (…)“ als „Verantwortlicher im Sinne von“ Art. 4 Nr. 7 DSGVO „einzustufen“ ist (Rn 39). Auch wenn dies „nicht zwangsläufig eine gleichwertige Verantwortlichkeit“ bedeutet, sondern nach den „Umstände[n] des Einzelfalls zu beurteilen“ ist (Rn 43).
Nach diesem Urteil müssten sich die Fanpagebetreiber die Datenverarbeitungsvorgänge - und damit auch Datenschutzverstöße - der Plattformbetreiber (Facebook u.a.) anrechnen lassen.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat nun in ihrer Entschließung vom 06.06.2018 eine Handlungsanweisung herausgegeben: Demnach muss sich jeder Fanpagebetreiber selbst versichern, dass der Plattformbetreiber ihm die Informationen gemäß Art. 13, 14 DSGVO zur Verfügung stellt. Des Weiteren muss jeder Fanpagebetreiber mit dem Plattformbetreiber einen Joint Control-Vertrag i.S.v. Art. 26 DSGVO abschließen.
Facebook hat mittlerweile Stellung zum EuGH-Urteil bezogen:
„Wir werden die notwendigen Schritte unternehmen, um es den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen. (…) Wir werden unsere Nutzungsbedingungen bzw. Richtlinien für Seiten aktualisieren, um die Verantwortlichkeiten sowohl von Facebook als auch von Seitenbetreibern klarzustellen, und damit auch die Einhaltung der rechtlichen Vorgaben für die Seitenbetreiber zu erleichtern. Details zu unseren aktualisierten Bedingungen werden wir in Kürze bekanntgeben. In der Zwischenzeit können Facebook-Seiten wie gewohnt genutzt werden.“
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Das Bayerische Landesamt für Datenschutzaufsicht hatte bereits 2017 allgemeine Hinweise und Anforderungen für Unternehmen zum Einsatz von Facebook Custom Audience herausgegeben.Am 8. Mai 2018 erging nun fast unbeobachtet ein Urteil des Landgerichts Bayreuth (Az.: B 1 S 18.105). Danach ist Custom Audiences von Facebook datenschutzwidrig.
Wie funktioniert Custom Audience?
Das nutzende Unternehmen erstellt zum Beispiel eine eigene Kundenliste (z.B. mit Name, Wohnort und E-Mailadresse) und lädt diese Kundenliste im eigenen Facebook-Konto hoch. Facebook gleicht diese Liste dann mit den Profilen der Facebook-Nutzer ab und man kann so Werbung zielgenau steuern. Auch werden teilweise Facebook-Pixel verwendet indem ein unsichtbares Facebook-Pixel auf der Webseite eingebunden wird. Mit diesem kann dann das Online-Verhalten der Webseiten-Besucher analysiert werden.Allerdings ist grundsätzlich die Verarbeitung personenbezogener Daten zu Werbezwecken nur zulässig, wenn die betroffene Person vorher eingewilligt hat. Bei Facebook Custom Audience wird aktuell nicht überprüft, ob diese Einwilligung vorliegt.
Fazit:
In jedem Fall müssen Unternehmen bei Verwendung von Custom Audience Einwilligungserklärungen für die Datenverarbeitung einholen und in der Datenschutzerklärung umfassend über die Verarbeitung der personenbezogenen Daten informieren sowie eine Widerrufsmöglichkeit anbieten. Es wird für Unternehmen die Facebook Custom Audience verwenden, komplizierter. Unternehmen sollten auf jeden Fall die jüngst ergangenen Entscheidungen zu Facebook berücksichtigen.
Dr. Bettina Kraft
Senior Consultant für Datenschutz
Teamleitung/Volljuristin
Und schon wieder gab es eine datenschutzrechtliche Entscheidung, die für Aufregung sorgt, diesmal durch den EuGH.
Hintergrund:
Im Bemühen, gegen Facebook und dessen intransparenter Datenverarbeitung vorzugehen, erließ bereits 2011 das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) gegen die Wirtschaftsakademie der IHK eine Verfügung, wonach diese ihre Fanpage auf Facebook zu deaktivieren habe. Die Überlegung dabei war, dass die Wirtschaftsakademie selbst zwar keine Daten sammle, durch seine Entscheidung, eine Fanpage zu eröffnen, es jedoch Facebook erst ermöglichte, Cookies, also kleine Dateien auf den Festplatten der Besucher der Fanpage zu platzieren. Cookies erlauben es, Informationen über einen bestimmten Zeitraum vorzuhalten und den Rechner des Besuchers zu identifizieren. Daher nahm das ULD die Wirtschaftsakademie als Verantwortlichen in Anspruch. Nachdem das ULD in den Instanzen vor den unteren nationalen Gerichten unterlegen war, landete die Sache beim BVerwG, das – um eine einheitliche europäische Rechtsprechung zu gewährleisten – die relevanten rechtlichen Entscheidungsgrundlagen vorab durch den EuGH beurteilen ließ. Dabei hatte der EuGH zu insgesamt sechs verschiedenen Fragen Stellung zu beziehen.
Im Fokus dieses Artikels stehen dabei die ersten beiden Fragen. Dabei wollte das BVerwG geklärt haben, ob es im Rahmen der Datenverarbeitung mehr als einen Verantwortlichen geben könne, auch wenn diese nicht auf dieselben Daten Zugriff haben.
Entscheidung:
Mit seiner Entscheidung befand der EuGH, dass der Begriff des Verantwortlichen zum Schutz der Rechte der Bürger weit auszulegen sei. Nicht nur Facebook träfe daher die Verantwortung für die im Rahmen der Fanpages gesammelten Daten, sondern auch der Betreiber der Fanpage, der es insbesondere auch Nicht-Facebook-Mitgliedern erlaube, seine Fanpage zu besuchen. Der Betreiber ermögliche Facebook dadurch, Cookies im Speicher der jeweiligen Benutzer abzulegen und dadurch deren Verhalten zu analysieren. Im Rahmen der Funktion Facebook Insight, die den Betreibern von Fanpages zur Verfügung steht, würden den Betreibern zwar lediglich anonymisierte Auswertungen zur Verfügung gestellt, gleichwohl verfüge Facebook über eine Vielzahl an Einzelinformationen von Betroffenen, aus denen die Statistiken erstellt würden. Über diese Informationen verfüge Facebook ausschließlich aus dem Grund, dass der Betreiber der Fanpage die entsprechende Parametrisierung der gewünschten Informationen vorgenommen habe. Daher sei dieser zumindest mit für die Verarbeitung der Daten verantwortlich. Es komme insbesondere nicht darauf an, dass alle Verantwortlichen Zugriff auf dieselben Daten haben, um eine gemeinsame Verantwortlichkeit zu begründen.
Ausblick:
Was bedeutet das konkret für Fanseiten bei Facebook? Zunächst einmal noch nichts, denn wie dargestellt, handelt es sich bei der Entscheidung des EuGH um eine Auslegungshilfe für die Richter, die die entsprechende Vorschriften nun anwenden müssen. Eine Entscheidung durch das BVerwG steht indes noch aus. Insofern dürften sich die Aufsichtsbehörden im Moment noch zurückhalten und zunächst den Abschluss des Verfahrens abwarten, bevor sie in irgendeiner Weise tätig werden.
Andererseits ist die Entscheidung jedoch ein guter Anlass, den eigenen Einsatz von „Datensammelstellen“ in sozialen Netzwerken oder auf andere Weise (z.B. auch WhatsApp) zu überdenken. Die Unternehmen, als Kunden der Datensammler haben nämlich plötzlich als Verantwortliche ein eigenes Interesse daran, genau zu erfahren, welche Daten von wem gesammelt werden und was mit diesen Daten passiert. Erhalten sie diesbezüglich keine Information von den Mitverantwortlichen, haben sie es in der Hand, ihre Seiten zu schließen und könnten damit den großen Anbietern ihre Geschäftsgrundlage mit dem Datenhandel entziehen. Als Vertragspartner können, nein, müssen die Unternehmen von den Anbietern mehr Transparenz verlangen, wie mit den gesammelten Daten umgegangen wird. Nicht zuletzt sind sie als Verantwortliche dazu verpflichtet, die Besucher ihrer Webseiten entsprechend der DSGVO zu informieren, was sie nur dann können, wenn sie selbst wissen, was mit den Daten passiert.
Insgesamt sollte in dem EuGH Urteil damit keine Bedrohung gesehen werden, sondern vielmehr eine Chance für die Unternehmen. Ihre Auffassung und ihre datenschutzrechtlichen Belange könnten künftig im Rahmen der Vertragsgestaltung mit den „Großen“ eher Beachtung finden. Facebook, WhatsApp & Co. könnten durch die Entscheidung des EuGH gezwungen sein, die Verarbeitung personenbezogener Daten transparenter zu gestalten und es damit auch ihren Kunden nun endlich ermöglichen, ihrer datenschutzrechtlichen Verantwortung nachzukommen, denn gemäß dem ULD bedeutet die Entscheidung des EuGH „dass zwischen [den Unternehmen] und Facebook geklärt sein muss, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist. Dies gilt insbesondere für die Informationspflichten“. Damit sollten die Anbieter der Sozialen Netzwerke den Unternehmen, wenn sie diese als Kunden nicht verlieren möchten, auch im Bereich Datenschutz nun weit entgegenkommen.
C. Lürmann
Rechtsanwältin
Consultant Datenschutz
Der Datenschutz im Arbeitsverhältnis hat einen hohen Stellenwert. Dies wird durch das Urteil des LAG Thüringen vom 16.05.2018 bekräftigt. Danach sind Arbeitnehmer grundsätzlich nicht verpflichtet, ihrem Arbeitgeber die private Handynummer zur Verfügung zu stellen. Hintergrund des Verfahrens war die Klage von Mitarbeitern des kommunalen Gesundheitsamtes gegen den Landkreis Greiz. Für Bereitschaftsdienste hatten sie sich geweigert zusätzlich zu einem Diensthandy ihre private Mobilnummer anzugeben und erhielten infolgedessen eine Abmahnung, die in der Personalakte vermerkt wurde.
Die ständige Erreichbarkeit, die mit der Preisgabe der privaten Mobilfunknummer einhergeht, ist ein erheblicher Eingriff in Persönlichkeitsrechte und damit nur unter ganz besonderen Umständen akzeptabel. Und zwar nur dann, wenn sich die Arbeitspflichten des Mitarbeiters nicht anders sinnvoll organisieren ließen.
L. Fuchs
Beraterin für Datenschutz
Kaum ist die DSGVO am 25.05.2018 in ganz Europa zur Anwendung gelangt, wurden – wie befürchtet und prophezeit – die ersten Rechtsanwaltskanzleien aktiv. Im Auftrag von Wettbewerbsunternehmen wurden Abmahnungen und strafbewährte Unterlassungserklärungen verschickt mit dem Vorwurf, man habe gegen Datenschutzvorschriften verstoßen und müsse diese zur Abwendung einer gerichtlichen Klage unterzeichnen und natürlich für die Abmahnkosten aufkommen.
Was tun, wenn man eine solche Abmahnung erhalten hat?
Erst einmal Ruhe bewahren! Verstoß ist nicht gleich Verstoß.
Zunächst ist zu klären, ob die Datenschutzerklärung komplett fehlt, oder ob diese lediglich unvollständig ist, etwa weil Cookies nicht vollständig aufgeführt sind, oder in einem Formular die Nennung einer Erlaubnisvorschrift unterblieben ist. Dass ein solcher Verstoß direkt einen Wettbewerbsnachteil für den Abmahnenden begründen könnte darf zu Recht bezweifelt werden.
Daher ist in einem zweiten Schritt zu prüfen, ob dieser angebliche Verstoß überhaupt wettbewerbsrechtlich relevant sein kann.
Die relevante Vorschrift aus dem UWG lautet (§ 3a UWG): „Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“
Diesbezüglich gibt es noch keinerlei Erfahrungswerte im Umgang mit der DSGVO. Hinsichtlich des BDSG waren die Gerichte unterschiedlicher Auffassung: Während das LG Hamburg https://dejure.org/dienste/vernetzung/rechtsprechung?Text=327%20O%20148/16 und das LG Berlin bei Verstößen https://dejure.org/dienste/vernetzung/rechtsprechung?Text=16%20O%20504/14 gegen das BDSG von einer wettbewerbsrechtlich relevanten Norm im Sinne des § 3 a UWG ausgingen, wurde z.B. durch das LG München eine solcher Ansatz verneint https://dejure.org/dienste/vernetzung/rechtsprechung?Text=29%20U%203926/11.
Gerade im Hinblick auf die Unsicherheit, was erlaubt und was verboten ist, was von einzelnen Aufsichtsbehörden gefordert wird - und was nicht, sowie die Kurzfristigkeit der Entschließung der DSK hinsichtlich des Einsatzes von Cookies und der geforderten Einwilligungen und die sehr knapp bemessene Zeit für eine entsprechende Umsetzung könnten dafür sprechen, dass es sich bei Verstößen mit geringer Auswirkung gerade nicht um einen wettbewerbsrechtlich relevanten Verstoß handeln könnte, weil der Verstoß schlicht als nicht spürbar angesehen wird.
Dies könnte eine Vielzahl von angemahnten Verstößen betreffen.
Fazit:
Wir raten Ihnen daher im Falle einer Abmahnung, rechtlichen Beistand bei einer spezialisierten Rechtsanwaltkanzlei zu suchen und keinesfalls direkt die strafbewährte Unterlassungserklärung zu unterzeichnen. Beachten Sie, dass der Streitwert bei derartigen Verstößen oftmals von den Kanzleien viel zu hoch angesetzt wird und die Gebühren daher ebenfalls überhöht sind.
Prüfen Sie nach Möglichkeit auch die Webseite der Auftraggeber der Abmahnung und sichern Sie die Ergebnisse! Es ist bei uns schon vorgekommen, dass die angeblich Geschädigten ihre eigene Webseite auf identische Art und Weise betreiben wie der Abgemahnte – ein Umstand den die damit eventuell beschäftigten Richter sicherlich nicht mit Wohlwollen betrachten werden.
C. Lürmann
Rechtsanwältin
Consultant Datenschutz
Am 15.05.2018 hat ein Forscherteam ein Paper veröffentlicht, in dem verschiedene Angriffsszenarien auf verschlüsselte E-Mails beschrieben werden. [1]
Die grundsätzliche Idee ist, das Verhalten von E-Mailprogrammen bzw. das Verhalten beim Darstellen von E-Mails dahingehend zu beeinflussen, dass Daten, nach dem regulären Entschlüsseln einer E-Mail, über einen "Backchannel" (geheimer, verdeckter Rückkanal) an den Angreifer zurückgeleitet werden.
Möglicher Angriffsablauf:
- Ausgangssituation: Ein Angreifer (Mallory) ist im Besitz einer verschlüsselten Nachricht (A) von Alice (z.B. durch Kompromittierung des E-Mail Servers, oder durch Zugriff auf ihr E-Mail-Postfach).
- Mallory erzeugt eine neue manipulierte E-Mail (B), die die verschlüsselte Nachricht (A) enthält.
- Der Angreifer versendet die manipulierte E-Mail (B) an Alice. Dabei wird die E-Mail mit dem Public Key von Alice erneut verschlüsselt.
- Alice öffnet die E-Mail und kann, da sie im Besitz des privaten Schlüssels ist, die E-Mail entschlüsseln. Je nachdem wie ihr E-Mail Client konfiguriert ist, kann nun die ursprüngliche Nachricht (A) durch ausnutzen von Schwachstellen abgegriffen werden, wenn
- das E-Mailprogramm HTML auswertet,
- automatisch Ressourcen (Bilder, Stylesheets, ...) nachgeladen werden, oder
- der Client von Bob die Webseite des Angreifers erreichen kann.
Gegenmaßnahmen
Um solche Angriffe zu verhindern sollten folgende Gegenmaßnahmen umgesetzt werden:
- Der E-Mail Client sollte so konfiguriert werden, dass externe Ressourcen (Bilder, Stylesheets, Schriftarten, ...) nicht automatisch geladen werden. Dies ist auch generell aus Datenschutzgesichtspunkten zu empfehlen.
- Der Einsatz von HTML E-Mails beim Einsatz von Verschlüsselung sollte vermieden / blockiert werden.
- Das automatische Entschlüsseln von Nachrichten sollte deaktiviert werden.
- E-Mail Clients sollten aktuell gehalten werden.
- E-Mail Plugins für den Einsatz von Verschlüsselung sollten aktuell gehalten werden.
Fazit:
Handelt es sich bei EFAIL um das Ende von S/MIME und PGP? Definitiv nicht, auch wenn bei S/MIME und PGP leider noch kein ausreichender Integritätsschutz implementiert ist.
Die von den Forschern dargestellten Angriffsszenarien sind größtenteils sehr aufwendig, oder leicht zu verhindern, so dass wenn die entsprechenden Gegenmaßnahmen umgesetzt sind, das Risiko auf ein akzeptables Niveau reduziert werden kann. Wer das Risiko noch weiter verringern möchte, kann das Entschlüsseln von E-Mails außerhalb des E-Mailprogramms durchführen.
Das Urteil des Bundesgerichtshofs zu Videoaufnahmen von Dashcams, also Kameras, die im Auto auf dem Armaturenbrett angebracht sind, ergibt ein unstimmiges Gesamtbild: Das dauerhafte anlasslose Aufzeichnen der Dashcams wird nach wie vor als Verstoß gegen das Datenschutzrecht gesehen. Andererseits kann dieses Bildmaterial als Beweismittel im Falle eines Unfalls vor Gericht verwendet werden.
Eine Verletzung der Persönlichkeitsrechte anderer Autofahrer sieht der BGH nicht. Als Verkehrsteilnehmer müsse man damit rechnen, von anderen beobachtet zu werden, so die Argumentation des Gerichts. Da nur der öffentliche Raum aufgezeichnet werde, handele es sich nicht um einen Eingriff in die Privatsphäre, sondern betreffe nur die Sozialsphäre.
Da der BGH sich leider nicht zu einem Komplettverbot der Dashcams durchringen konnte, wäre eine verbindliche Vorgabe zur verpflichtenden automatischen Löschung des Videomaterials wünschenswert gewesen, die außerdem eine Speicherung nur im Falle eines Unfalls erlaubt.
L. Fuchs
Beraterin für Datenschutz
Mit ihren Firmenwebseiten treten Unternehmen nach außen in Erscheinung, so dass diese ganz leicht Gegenstand sowohl von Prüfaktionen der Aufsichtsbehörden sein können, als auch von Kriminellen, die bekannte Sicherheitslücken ausnutzen.
Daher sollten Unternehmen im Impressum und der Datenschutzerklärung ihren Informationspflichten gegenüber den Webseitenbesuchern vollständig nachkommen, und Cookies sowie Trackingsoftware nur derart einsetzen, dass Rückschlüsse auf Webseitenbesucher nicht möglich sind.
Des Weiteren sollte dringend geprüft werden, ob die eingesetzten Webanwendungen abgesichert sind (Stichwort: HTTPS, HSTS, Secure-Cookie-Flag, Secure Coding Guideline usw.) und eine Verwundbarkeit der Webseiten durch Sicherheitslücken ausgeschlossen werden kann. Hintergrund ist, dass viele Webseiten heutzutage mit Content Management Systemen erstellt werden, die anfällig für Schwachstellen sind. Diese Schwachstellen ermöglichen es Angreifern, im schlimmsten Fall Datenbanken auszulesen, Schadcode auf der Webseite einzuschleusen oder gar die gesamte Anwendung, inklusive des Backends (CMS) zu kompromittieren. Um über derart anfällige Webserver bzw. Webseiten bspw. Zugangsdaten von Anwendern abzugreifen, ist unter Umständen auch schon ein unautorisierter Zugriff von außen ausreichend.
Ein großes Problem dabei sind häufig externe Plugins, die oftmals zahlreich in den CMS eingebunden werden können, um Webseiten entsprechend besser und mit mehr Funktionsumfang auszustatten. Ein Verzicht auf solche Plugins macht dann auch nicht nur aus Gründen der Datensicherheit Sinn, sondern auch in datenschutzrechtlicher Hinsicht; denn v.a. über Drittanbieter-Plugins werden oftmals allein durch deren Einbettung auch personenbezogene Daten (u.a. vollständige IP-Adresse, Klarnamen oder E-Mail-Adressen) an Dritte übermittelt, ohne die Einwilligung der betroffenen Webseitenbesucher eingeholt zu haben. Der Empfängerkreis erweitert sich, wenn Kriminelle solche Schwachstellen ausnutzen und dann ebenso Zugriff auf Daten erhalten.
An der Stelle sei nochmals darauf hingewiesen, dass solche Datenschutzverletzungen ab dem 25.05.2018 zukünftig innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden müssen.
Daher empfiehlt es sich, durch ein geeignetes Patch-Management alle Sicherheitslücken in dem verwendeten Content Management System zu schließen und über Penetrationstests die Wirksamkeit der getroffenen Sicherheitsmaßnahmen zu überprüfen.
Christopher Schöndube
IT Security Consultant, Penetrationstester
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Cookies sind kurze Textinformationen, die beim Besuch von Webseiten auf dem PC oder Smartphone platziert werden, um beispielsweise Einstellungen der Internetseiten, den Login-Status oder den Inhalt des Einkaufswagens in Online-Shops zu speichern. Diese sogenannten funktionalen Cookies sind in der Regel durch das berechtigte Interesse des Webseiten-Betreibers rechtlich abgedeckt.
Daneben gibt es Tracking-Cookies, die Betreibern von Webseiten dazu dienen, Benutzerprofile zu erstellen. Datenschutzrechtlich waren Tracking Cookies bereits relevant. Gemäß 15 Abs. 3 Telemediengesetz (TMG) waren Nutzer nach dem Opt-Out-Prinzip lediglich über ihr Widerspruchsrecht zu informieren. In der Regel wurde dies durch einen Datenschutzhinweis auf der Webseite oder durch das Einblenden eines Cookie-Banners beim Aufruf der Webseite umgesetzt.
Mit ihrem Positionspapier vom 26.04.2018 bewertet die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die rechtliche Situation völlig neu. Die Wirksamkeit des Telemediengesetzes im Bereich des Datenschutzes wird darin klar hinter die DSGVO gestellt.
Die DSK formuliert im genannten Positionspapier im Hinblick auf Cookies Folgendes: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen (…) bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“
Das Positionspapier in Gänze können Sie unter folgendem Link einsehen: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf
Daher gilt nun bereits ab 25.05.2018 und nicht erst mit Einführung der für das Jahr 2019 erwarteten neuen ePrivacy-Verordnung, dass erst durch einen aktiven Klick des Webseitenbesuchers auf ein entsprechendes Feld im Banner („Ich stimme zu“) sämtliche Cookies aktiviert werden. Webseiten sollten also dringend auf technisch notwendige Cookies reduziert werden, für die es ein berechtigtes Interesse geben kann. Für alle anderen Cookies muss die ausdrückliche und aktive Einwilligung durch den Webseiten-Besucher erteilt werden.
L. Fuchs
Beraterin für Datenschutz
Bei Google Analytics handelt es sich um ein Instrument zum Webtracking bzw. zur Reichweitenanalyse im Internet, mit dem das Surfverhalten der Webseitennutzer anhand der über diese erhobenen Daten (Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Webseitenbetreiber vergebene Kennzeichnungen) zu Zwecken der bedarfsgerechten Gestaltung der Webseiten analysiert werden kann. Um einen datenschutzkonformen Einsatz des Analysetools Google Analytics gewährleisten zu können, sind eine Reihe von Maßnahmen durch den Webseitenbetreiber (= Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO) zu ergreifen.
Insbesondere muss ein Vertrag zur Auftragsverarbeitung zwischen dem Webseitenbetreiber und dem Anbieter von Google Analytics abgeschlossen werden. Der bisher von Google Inc. zur Verfügung gestellte Vertrag entspricht noch nicht den Vorgaben von Art. 28 DSGVO. Daher stellt Google LLC (vormalige Bezeichnung Google Inc.) nun unter https://privacy.google.com/businesses/processorterms/ sog. „Auftragsdatenverarbeitungsbedingungen“, die alle Regelungsinhalte aus Art. 28 DSGVO enthalten, zur Verfügung, denen die Webseitenbetreiber, die Google Analytics einsetzen, in ihren Kontoeinstellungen zustimmen müssen.
Der Webseitenbetreiber muss des Weiteren zustimmen, dass Daten der Webseitennutzer auch außerhalb der EU/EWR übermittelt werden. Diese Datenübermittlungen in Drittstaaten sollen gemäß den Auftragsdatenverarbeitungsbedingungen jedoch abgesichert sein durch die seit dem 26.09.2016 bestehende Privacy Shield-Zertifizierung der Google LLC sowie ihrer hundertprozentigen Tochtergesellschaften (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).
Es bleibt abzuwarten, wie sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, mit dem der bisher von Google zur Verfügung gestellte Vertrag zur Auftragsverarbeitung abgestimmt wurde, zu den neuen Auftragsdatenverarbeitungsbedingungen äußern wird.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.