Ein Blog von Rechtsanwalt Christos Paloubis

Schlagwort: BDSG

Google Analytics: Abmahnung bei fehlerhaftem Einsatz

In der letzten Zeit erreichen uns Berichte von Abmahnungen gegen Website-Betreiber wegen des fehlerhaften Einsatzes von Google Analytics. Dies deckt sich mit unseren Erwartungen, wonach Datenschutzverstöße in Zukunft häufiger Gegenstand von Abmahnungen werden dürften.

In den konkreten Fällen werden offensichtlich Unterlassungsansprüche wegen Verletzungen des Persönlichkeitsrechts geltend gemacht, welche darauf beruhen sollen, dass IP-Adressen nicht anonymisiert gespeichert und übertragen werden und ein entsprechender Hinweis auf die Verwendung von Google Analytics in der Datenschutzerklärung fehlt. Die Erfolgsaussichten solcher Abmahnungen sind trotzdem nicht unzweifelhaft.

Datenschutz: Safe Harbor eine Farce?

Aktuell berichtet SPON in dem Beitrag  Safe Harbor: US-Konzerne täuschen EU-Bürger beim Datenschutz über die Ergebnisse einer Untersuchung zur Realität des Safe-Harbor-Abkommens. Die Ergebnisse offenbaren – wenig überraschend – eine gravierende Diskrepanz zwischen Wunsch und Wirklichkeit.

Datenschutzkonformer Einsatz von Google Analytics

Ergänzung zu unserem Artikel Google Analytics: Einigung beim Datenschutz.

Für einen datenschutzkonformen Einsatz von Google Analytics sollten nach den aktuellen Vorgaben der Aufsichtsbehörden folgende Punkte eingehalten werden:

  1. Es muss ein schriftlicher Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden (§ 11 BDSG);
  2. Es dürfen nur gekürzte und somit anonymisierte IP-Adressen erfasst werden;
  3. Es muss ein ausführlicher Datenschutzhinweis bereit gehalten werden;
  4. In dem Datenschutzhinweis muss auch auf die Anonymisierung sowie das jederzeitige Widerspruchsrecht bzw. die Möglichkeit zur Deaktivierung hingewiesen werden;
  5. Altdaten, die unter Nichteinhaltung der vorstehend genannten Vorgaben gesammelt wurden, müssen gelöscht werden.

Für den schriftlichen Vertrag zur Auftragsdatenverarbeitung hat Google einen entsprechenden Vordruck zur Verfügung gestellt, siehe Einleitung der Google Analytics Bedingungen.

Damit die IP-Adressen nicht vollständig verarbeitet und somit lediglich anonymisiert erfasst werden, muss die Erweiterung „anonymizeIP“ im Tracking-Code eingebunden werden. Eine Anleitung zur Einbindung der Erweiterung hält Google hier bereit.

In der Datenschutzerklärung muss ein ausführlicher Datenschutzhinweis ergänzt werden. Hierzu gibt Google in seinen Bedingungen eine entsprechende Formulierung vor, siehe Ziffer 8.1 der Google Analytics Bedingungen. Der dort genannte Text muss jedoch unter Berücksichtigung der oben genannten Vorgaben noch um einen Hinweis auf die Anonymisierungsfunktion ergänzt werden. Die Ergänzung könnte beispielsweise lauten:

„Wir verwenden Google Analytics mit der Erweiterung „_gat._anonymizeIp()“. Die IP-Adressen werden daher nur gekürzt weiterverarbeitet und gespeichert, so dass eine direkte Personenbeziehbarkeit ausgeschlossen ist.“

Personenbezug von IP-Adressen – eine unendliche Geschichte

Seit einiger Zeit wird kontrovers diskutiert, ob IP-Adressen personenbezogene Daten sind. Die Frage schien bereits beantwortet, nachdem der so genannte Düsseldorfer Kreis, ein Zusammenschluss von Datenschutzbehörden, vor einem Jahr ankündigte, gegen die Nutzung von Google Analytics vorzugehen und dabei von einem Personenbezug von IP-Adressen ausging (siehe auch hier). Angesichts dieses klaren Standpunktes ebbte die Diskussion in der Folge etwas ab. Nun jedoch zeichnet sich durch zwei aktuelle gerichtliche Entscheidungen eine gegenläufige Tendenz ab. Die Diskussion geht damit in die nächste Runde.

Das LG Wuppertal hatte in einem Fall (Beschluss v. 19.10.2010, Az. 25 Qs 10 Js 1977/08-177/10) über die Strafbarkeit so genannten Schwarzsurfens, also der Einwahl in offene WLAN-Netzwerke, zu entscheiden. Die Kammer sah in diesem Verhalten keinerlei strafrechtliche Relevanz und verneinte sämtliche in Betracht kommende Straftatbestände, so auch das unbefugte Abrufen oder Sich-Verschaffen personenbezogener Daten gemäß den §§ 43 Abs. 2 Nr. 3, 44 BDSG.

Fake-Abmahnungen wegen angeblicher Speicherung von IP-Adressen im Umlauf

Webmaster berichten seit kurzem verstärkt von dubiosen Abmahnungen per E-Mail wegen einer angeblichen Speicherung von IP-Adressen. Auch vom Beginn einer neuen Abmahnwelle ist bereits die Rede. Bei diesen Mails handelt es sich allerdings um Scheinabmahnungen, die keiner weiteren Reaktion bedürfen. Davon abgesehen werfen diese Mails einmal mehr die Frage auf, ob IP-Adressen personenbezogene Daten sind und ob Verstöße gegen Datenschutzrecht überhaupt abmahnfähig sind.

In den E-Mails wird pauschal behauptet, der Empfänger habe auf seiner Website IP-Adressen der Benutzer gespeichert. Eine solche Speicherung stelle einen Verstoß gegen das „Datenschutzgesetz“ dar und sei „laut Rechtslage ungültig“, weshalb die Zahlung eines Betrags in Höhe von 128,50 Euro innerhalb einer kurzen Frist von drei Tagen sowie die Abgabe einer Unterlassungserklärung gefordert wird, andernfalls drohe eine Klage.

Bei diesen in schlechtem Deutsch abgefassten und auch sonst wenig professionell wirkenden Mails handelt es sich offensichtlich um den durchsichtigen Versuch, den Empfänger durch den Anschein einer Abmahnung einzuschüchtern und durch den vergleichsweise niedrig angesetzten Betrag zur Zahlung zu bewegen. Die dort aufgebaute Drohkulisse und der schräg formulierte Verweis auf die angebliche Unzulässigkeit der Speicherung von IP-Adressen wirkt jedoch wenig überzeugend. Einen Beleg, dass tatsächlich IP-Adressen gespeichert wurden, kann eine in Massen verschickte E-Mail naturgemäß nicht liefern.

Verbesserter Datenschutz bei Google Analytics

Im vergangenen November hatten Deutschlands oberste Datenschutz-Aufsichtsbehörden in einer gemeinsamen Erklärung den Einsatz von Google Analytics als weitgehend unzulässig eingestuft (siehe auch hier). Die Einsatzmöglichkeiten des Webanalyse-Tools reduzierten sich dadurch faktisch auf Null. Nun stellt Google für Website-Betreiber erstmals die technische Möglichkeit zur Verfügung, IP-Adressen zu pseudonymisieren, wie es das geltende Datenschutzrecht explizit fordert. Parallel dazu stellt Google ein Browser-Addon zur Verfügung, um das Datensammeln durch Google Analytics zu unterbinden. Der Einsatz von Google Analytics dürfte nach alldem in Deutschland wieder zulässig sein.

Der wesentliche Kritikpunkt der Datenschützer ist die Speicherung von IP-Adressen durch Google Analytics in nicht pseudonymer Form. Datenschutzrechtlich ist dies allenfalls mit ausdrücklicher Einwilligung des Betroffenen zulässig, was jedoch im Hinblick auf Google Analytics praktisch kaum umsetzbar ist. Die neue Funktion mit der Bezeichnung „_anonymizeIp()“ ermöglicht nun die Pseudonymisierung: Die IP-Adresse wird unkenntlich gemacht, indem vor jeder weiteren Verarbeitung die letzten acht Bit gelöscht werden. Eine Identifizierung des Benutzers ist somit ausgeschlossen, eine grobe Lokalisierung bleibt hingegen weiterhin möglich. Dem Erfordernis einer pseudonymen Speicherung dürfte damit Genüge getan sein. Das Konkurrenz-Tool etracker verfährt bereits seit längerem auf diese Weise.

Neues Datenschutzrecht zu Auskunfteien und Scoring ab 01.04.2010

Zum 01.04.2010 tritt eine weitere Stufe der Novelle des Bundesdatenschutzgesetzes (BDSG) in Kraft. Gegenstand der Neuregelungen sind unter anderem die Datenübermittlung an Auskunfteien (etwa die Schufa oder die Creditreform), die Regulierung des Scorings sowie die Betroffenenauskunft. Durch die Neuerungen soll im Ergebnis mehr Transparenz und Rechtssicherheit geschaffen werden.

Erstmals ist mit Inkrafttreten der Novelle die Übermittlung von Negativdaten an Auskunfteien ausdrücklich gesetzlich geregelt. Sie findet sich im neuen § 28a BDSG und ist nur noch unter den dort genannten Voraussetzungen möglich. So setzt die Übermittlung personenbezogener Daten über eine Forderung künftig neben weiteren in § 28 a Abs. 1 BDSG genannten Voraussetzungen stets Fälligkeit voraus, zudem muss die Übermittlung erforderlich sein, um berechtigte Interessen der verantwortlichen Stelle oder eines Dritten zu wahren. Darüber hinaus sollten Onlinehändler, die Negativdaten an Auskunfteien übermitteln, in ihrer Datenschutzerklärung auf diesen Umstand hinweisen.

Neu sind auch die Regeln zum Scoring-Verfahren. Die Voraussetzungen zur Zulässigkeit sind im neuen § 28 b BDSG geregelt. Für die Berechnung des Score-Wertes muss künftig ein Verfahren gewählt werden, welchem eine wissenschaftlich anerkannte mathematisch-statistische Methode zugrunde liegt. Die zur Berechnung des Score-Wertes herangezogenen Daten müssen dafür nachweisbar erheblich sein. Allein auf die Adressdaten darf bei der Berechnung nicht mehr abgestellt werden. Werden Adressdaten genutzt, so ist der Betroffene darüber zu unterrichten.

Das Datenbrief-Konzept: CCC fordert Paradigma-Umkehr im Datenschutz

Der Chaos Computer Club (CCC) fordert zur Stärkung der informationellen Selbstbestimmung des Bürgers die Einführung eines Datenbriefes. Nach diesem Konzept sollen Unternehmen, Behörden oder Institutionen, die personenbezogene Daten erheben, den Betroffenen in regelmäßigen Abständen über die Speicherung informieren. Der Datenbrief soll so dem Einzelnen die Möglichkeit geben, die Verarbeitung eigener Daten besser zu überblicken und zu kontrollieren.

Der Datenbrief soll grundsätzlich alle gespeicherten Daten des Betroffenen enthalten. Ebenso muss über die Weitergabe der Daten an Dritte informiert werden. Die erstmalige Versendung soll unmittelbar nach Beginn der Erhebung, Verarbeitung oder des Empfangs der Daten erfolgen. Danach schlägt der CCC eine jährliche Versendung vor. Um die Erhebung zusätzlicher Daten zum Zweck der Versendung zu vermeiden, soll die Versendung stets auf dem Weg erfolgen, auf dem der Betroffene ohnehin erreichbar ist. Der Datenbrief gibt dem Betroffenen so die Möglichkeit, die Richtigkeit der Daten zu überprüfen und erforderlichenfalls eine Korrektur zu veranlassen bzw. der Datenerhebung zu widersprechen. Besonders im Zusammenhang mit Scoring oder der Schufa-Auskünften ist Transparenz bei der Datenerhebung von besonderer Bedeutung.

Ein Recht auf Auskunft sieht das Bundesdatenschutzgesetz (BDSG) in den §§ 19, 34 bereits heute vor. Dieses Recht bewertet der CCC allerdings als unzureichend: Um von seinem Auskunftsrecht Gebrauch machen zu können, muss der Betroffene zunächst wissen, wer überhaupt dessen Daten erhebt. Daneben muss der Betroffene die verantwortliche Stelle identifizieren und gegenüber dieser nachweisen, dass er der tatsächlich Betroffene ist. Das Konzept des Datenbriefs geht den umgekehrten Weg. Damit will der CCC nun eine Paradigma-Umkehr in Gang setzen und erreichen, dass sich die verantwortlichen Stellen ihrer Verantwortung bewusst werden.

Die Forderung nach Einführung eines Datenbriefs dürfte allerdings nur schwer umsetzbar sein. Unternehmen und öffentliche Stellen werden einwenden, dass sie bereits jetzt im Rahmen ihrer Datenschutzerklärungen umfassend über Erhebung, Speicherung und Verarbeitung von Daten informieren müssen und dass der individuelle Versand eines Datenbriefs einen unzumutbaren bürokratischen Mehraufwand mit sich bringen wird. Ebenso bleibt fraglich, ob dem Bürger mit einer Überflutung mit zahllosen Pflichtinformationen gedient ist.

Dennoch ist es den Computerexperten gelungen, eine Debatte über die Verbesserung des individuellen Datenschutzes anzustoßen. Der angestrebte Paradigmenwechsel – weg vom Bürger als Bittsteller gegenüber der speichernden Stelle hin zum verantwortungsbewussten und kritischen Umgang – könnte kommende Gesetzgebungsverfahren im Bereich Datenschutz erheblich beeinflussen. Der Datenbrief sollte daher als Denkanstoß verstanden werden, unabhängig von seiner politischen Realisierbarkeit.

Der CCC lädt dazu ein, Kommentare und Vorschläge zum Datenbrief an datenbrief(at)ccc.de zu senden.

Google Analytics – Einsatz in Deutschland unzulässig?

Google Analytics wird mittlerweile auf Millionen von Seiten eingesetzt. Das kostenlose Webanalyse-Tool zur Messung des für Websitebetreiber wichtigen Surf-Verhaltens ist kostenlos und einfach zu bedienen. Datenschutzrechtlich ist der Einsatz dieses Dienstes allerdings problematisch. Seit einiger Zeit wird deshalb kontrovers diskutiert, ob dessen Benutzung überhaupt zulässig ist. Der Düsseldorfer Kreis, ein Zusammenschluss von Datenschutz-Aufsichtsbehörden, hat nun festgestellt, dass Google Analytics nach deutschem Recht nur mit erheblichen Einschränkungen genutzt werden darf.

Der Düsseldorfer Kreis hat auf seiner Konferenz am 27.11.2009 einen Katalog von datenschutzrechtlichen Vorgaben aufstellt, denen Webanalysetools entsprechen müssen. Diese Kriterien erfüllt Google Analytics nicht. Das datenschutzrechtliche Problem bei Google Analytics besteht darin, dass durch dessen Einsatz Nutzungsprofile unter der Verwendung von IP-Adressen erstellt und gespeichert werden. Eine Speicherung ist nach dem Telemediengesetz (TMG) allerdings nur in pseudonymer Form zulässig, also wenn keine personenbezogenen Daten des Nutzers erfasst werden. Andernfalls bedarf es einer ausdrücklichen Einwilligung durch den Betroffenen.

Die Zulässigkeit von Google Analytics hängt also von der seit längerem höchst umstrittenen Frage ab, ob IP-Adressen personenbezogene Daten sind (siehe auch hier). Geht man von einer Personenbezogenheit aus, hätte dies zur Folge, dass der Verwender von Google Analytics die Einwilligung seiner Seitenbesucher einholen müsste, um Google Analytics überhaupt verwenden zu dürfen. Nach Auffassung der Datenschützer vom Düsseldorfer Kreis sind IP-Adressen auf jeden Fall personenbezogene Daten. Folglich sind IP-Adressen auch keine Pseudonyme im Sinne des TMG bzw. BDSG.

Der Beschluss des Düsseldorfer Kreises dürfte die Verwendung von Google Analytics erheblich einschränken. Zulässig wäre demnach nur ein Einsatz nach vorheriger Einwilligung der Websitebesucher (opt-in), was gerade beim Angebot kostenloser Dienste wie beispielsweise Nachrichten-Sites praktisch unmöglich sein dürfte, aber auch im Onlinehandel mit erheblichen Schwierigkeiten verbunden ist. Auch wenn dieser Beschluss keine Rechtsbindung entfaltet, ist er besonders vor dem Hintergrund brisant, dass einzelne Datenschutzbehörden bereits angekündigt haben, den Einsatz von Google Analytics gezielt zu unterbinden. Schlimmstenfalls drohen Bußgelder.

Wer rechtlich auf der sicheren Seite sein möchte, sollte sich nach Alternativen wie beispielsweise etracker oder Econda Monitor umsehen, die entweder die IP-Adressen verkürzen (anonymisieren) oder ganz ohne deren Speicherung auskommen.

Die Vorgaben finden Sie im Einzelnen im Beschluss des Düsseldorfer Kreises.

Datenschutz im Internet – Informationen zur Auftragsdatenverarbeitung

Das Thema Datenschutz im Internet wird von den Beteiligten leider noch immer zu stark vernachlässigt. Besonders die seit der Datenschutznovelle zum 1. September 2009 wesentlich verschärfte Auftragsdatenverarbeitung findet bei Onlineshops, Onlineplattformen, Portalen, IT-Dienstleistern, Programmierern und Webdesignern regelmäßig zu wenig Beachtung. Dies ist deshalb gefährlich, da die Missachtung dieser strengen Vorschriften empfindliche Bußgelder nach sich ziehen kann.

Wer personenbezogene Daten aus seinem Unternehmen durch einen externen Auftragnehmer erheben, verarbeiten oder nutzen lässt, muss die gesetzlichen Anforderungen an die Auftragsdatenverarbeitung erfüllen. Zusätzlich zum bestehenden Auftrag, meist ein Dienst- oder Werkvertrag, muss schriftlich eine Datenschutzvereinbarung geschlossen werden. Diese muss die in § 11 des Bundesdatenschutzgesetzes (BDSG) genannten 10 Punkte regeln. Zusätzlich muss die Zuverlässigkeit des Auftragnehmers geprüft werden. Die gesetzlichen Anforderungen der Auftragsdatenverarbeitung werden in der Praxis jedoch häufig übergangen: Viele kennen die entsprechenden Regelungen nicht einmal oder unterliegen dem Irrtum, dass diese Vorschriften für sie nicht gelten.

Um bei diesem komplizierten Thema eine Hilfestellung zu geben, haben die Kollegen Thomas Schwenke und Sebastian Dramburg in ihrem Artikel „15 Irrtümer bei der Auftragsdatenverarbeitung“ die häufigsten Irrtümer und Fehler rund um die Auftragsdatenverarbeitung ausführlich dargestellt. Die Autoren erklären, wer von den Regeln unter welchen Voraussetzungen betroffen ist, was unter personenbezogenen Daten zu verstehen ist, warum es gerade nicht ausreiht, sich auf den Auftragnehmer zu verlassen und warum bei Musterverträgen Vorsicht geboten ist. Da gerade Onlinehändler häufiger von diesen Regeln betroffen sind als ihnen das möglicherweise bewusst sein mag, lohnt sich das Lesen allemal.

Bundesdatenschutzgesetz: Novelle light!

Endlich wurde sie beschlossen, die lange erwartete Novelle des Bundesdatenschutzgesetzes (BDSG). Ob sich das lange Warten jedoch gelohnt hat, sollte durchaus kritisch hinterfragt werden. Von den viel diskutierten Verschärfungen ist am Ende nur noch wenig übrig geblieben.

In der Sprache derer, die personenbezogene Daten gewerblich nutzen heisst das:

Der Verband Deutscher Zeitschriftenverleger (VDZ) „begrüßt, dass der Bundestag bei den Beratungen der Datenschutznovelle um einen auch für die Wirtschaft akzeptablen Kompromiss gerungen hat“.

Quelle: SPON

Dementsprechend enttäuscht sind auch die Befürworter eines strengeren Datenschutzes:

Auch aus Sicht der Grünen hat die Koalition den „ambitionierten“ Vorstoß der Regierung derart „verwässert“, dass der Datenschutz darin nur noch in „homöopathischer Dosierung“ erkennbar sei.

Quelle: heise.de

Was ist dann aber beschlossen worden? Zunächst einmal ist das viel diskutierte Opt-In-Verfahren nicht beschlossen worden. Das eigentlich anachronistische und deshalb dem Untergang geweihte Listenprivileg hat (mal wieder) überlebt. Der Datenschutzaudit ist zum Pilotprojekt verkümmert. Ansonsten viele unbestimmte Absichtsbekundungen und unbestimmte Rechtsbegriffe.

Zu den einzelnen (Nicht-)Änderungen werde ich sicherlich noch den einen oder anderen Kommentar verfassen.  Im Ergebnis steht jedoch fest, dass die jetzige Änderung nicht der von vielen Datenschützern lange geforderten Grundreform des Datenschutzes in Deutschland entspricht. Ein Jahr nach den großen Datenskandalen (Bahn, Lidl, Telekom etc.) ist in der Hochphase des Wahlkampfes kein Platz für ehrgeizige Vorhaben. Zu wichtig sind Wählerstimmen und Wirtschaftsinteressen gleichermassen.

Copyright paloubis.com // Datenschutzerklärung // Impressum