Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Webtracking:Google Analytics und Co. datenschutzkonform umsetzen<br />RA und FA für IT-Recht Stephan Schmidt<br />teclegal...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />2<br />Webanalyse-Tools<br />Bildquelle: Webtrekk Whitepaper „Website...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />3<br />Webanalyse-Tools<br />Webseitenbetreiber analysieren zu Zwecke...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />4<br />Historie<br />23.01.09 –	ULD: Datenschutzrechtliche Bewertung ...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />5<br />Grenzen des TMG (I)<br />Erhebung und Verwendung personenbezog...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />6<br />Grenzen des TMG (II)<br />§ 15 Absatz 3 TMG erlaubt die Erstel...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />7<br />Grenzen des TMG (III)<br />Widersprüche müssen auch tatsächlic...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />8<br />IP-Adresse als personenbezogenes Datum (I)<br />Sind dynamisch...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />9<br />IP-Adresse als personenbezogenes Datum (II)<br />ABER: Art. 2 ...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />10<br />Anforderungen aus § 11 BDSG<br />Bei der Nutzung von Analyset...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />11<br />Beschluss des Düsseldorfer Kreises vom 26.11.09<br />Hinweisp...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />12<br />Lösungen<br />Verkürzung der IP-Adressen<br />Verbot der Zusa...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />13<br />Muster für Opt-Out-Lösung<br />„Wenn Sie vermeiden wollen, da...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />14<br />Google Analytics<br />Derzeit nicht datenschutzkonform nutzba...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />15<br />Datenschutzkonforme Tools<br />Webanalyse-Anbieter (teilweise...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />16<br />Ausblick<br />Änderungen durch EU-Datenschutzrichtlinie RL 20...
11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />17<br />Fragen?<br />Rechtsanwalt Stephan Schmidt<br />Fachanwalt für...
Nächste SlideShare
Wird geladen in …5
×

Google Analytics und Co. datenschutzkonform umsetzen

2.531 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie, Business
  • Als Erste(r) kommentieren

Google Analytics und Co. datenschutzkonform umsetzen

  1. 1. Webtracking:Google Analytics und Co. datenschutzkonform umsetzen<br />RA und FA für IT-Recht Stephan Schmidt<br />teclegal Rhein-Main Rechtsanwälte, Mainz<br />
  2. 2. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />2<br />Webanalyse-Tools<br />Bildquelle: Webtrekk Whitepaper „Website-Optimierung braucht mehr als Mittelwerte“<br />
  3. 3. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />3<br />Webanalyse-Tools<br />Webseitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung das Nutzungsverhalten der Leser<br />Webanalysetools speichern in der Regel IP-Adressen<br />Internetanschluss des Nutzers kann daher theoretisch identifiziert werden<br />Verarbeitung der Daten bei einigen Anbietern in den USA<br />Problem: Haftung des Nutzers des Analyse-Tools (§ 7 BDSG)<br />
  4. 4. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />4<br />Historie<br />23.01.09 – ULD: Datenschutzrechtliche Bewertung des Einsatzes von Google Analytics<br />20.11.09 – BfDI fordert von Krankenkassen den Verzicht auf Google Analytics<br />27.11.09 – Beschluss des Düsseldorfer Kreises<br />05/06.10 – Google bietet Version mit IP-Maskingund JavaScript-Funktion „_anonymizeIp()” an<br />07.01.11 – Rheinland-Pfälzischer DSB: „Google Analytics nicht datenschutzkonform“<br />11.01.11 – Hamburger DSB Caspar droht in der FAZ Unternehmen die Tracking-Software einsetzen mit „empfindlichen Bußgeldern“ – Google dementiert<br />14.01.11 – Webseite des Hamburger DSB geht offline, weil das Tracking-Tool der IVW genutzt wurde<br />15.03.11 – ULD empfiehlt Piwik als Analysetool<br />
  5. 5. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />5<br />Grenzen des TMG (I)<br />Erhebung und Verwendung personenbezogener Daten ist nur in den Grenzen des § 12 Absatz 1 TMGerlaubt<br />Keine Erhebung personenbezogener Daten eines Nutzers ohne Einwilligung, wenn dies nicht für die Inanspruchnahme von Telemedien oder deren Abrechnung nötig ist<br />Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen mangels anderweitiger gesetzlicher Grundlage nur mit bewusster, eindeutiger Einwilligung zulässig<br />Einwilligung müsste vor „Betreten der Webseite“ erfolgen<br />  in der Praxis nicht umsetzbar<br />
  6. 6. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />6<br />Grenzen des TMG (II)<br />§ 15 Absatz 3 TMG erlaubt die Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Telemedien<br />Pseudonymisierung liegt nur dann vor, wenn die IP-Adresse von den übrigen Daten getrennt gespeichert wird, und so die Bestimmung der betroffenen Personen zumindest wesentlich erschwert wäre (§ 3 Abs.6a BDSG). <br />Nutzer muss widersprechen können und auf dieses Recht (in der Datenschutzerklärung) hingewiesen werden<br />
  7. 7. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />7<br />Grenzen des TMG (III)<br />Widersprüche müssen auch tatsächlich umgesetzt werden<br />Profile dürfen nicht mit dem Träger des Pseudonyms zusammengeführt werden (§ 13 Absatz 4 Nr. 6 TMG)<br />pseudonymisierte Nutzungsdaten sind zu löschen, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt<br />
  8. 8. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />8<br />IP-Adresse als personenbezogenes Datum (I)<br />Sind dynamische IP-Adressen aus Sicht des Webseitenbetreibers personenbezogene Daten?<br />Pro:<br />bei Übermittlung an Dritte, können diese durch eigene Zusammenführung Rückschlüsse auf bestimmbare Personen ziehen<br />BDSG – mittelbare Zuordenbarkeit ausreichend<br />Contra: BMI und BSI<br />OLG Hamburg- Beschluss vom 03.11.2010 - 5 W 126/10<br />IP-Adresse kein personenbezogenes Datum - Herstellung des Personenbezugs erfordert nämlich weitere Daten<br />Normaler Webseitenbetreiber verfügt nicht über diese Daten<br />
  9. 9. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />9<br />IP-Adresse als personenbezogenes Datum (II)<br />ABER: Art. 2 lit. a der RL 95/46/EG<br />indirekte Identifizierbarkeit ist ausreichend und gem. Erwägungsgrund 26 sind alle Mittel zu berücksichtigen, die vernünftigerweise von einem Dritten eingesetzt werden könnten<br /> Tatbestandsvoraussetzungen für die Erhebung der vollständigen IP-Adresse liegen regelmäßig nicht vor<br />
  10. 10. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />10<br />Anforderungen aus § 11 BDSG<br />Bei der Nutzung von Analysetool-Anbietern liegt Auftragsdatenverarbeitung vor<br />Seit der 2. BDSG-Novelle stellt § 11 BDSG zehn inhaltliche Anforderungen an entsprechende Verträge<br />Wenn kein Individualvertrag vorhanden ist, müssen die gesetzlichen Vorgaben durch AGB des Anbieters erfüllt werden<br />Bußgelder bis zu 50.000 Euro möglich<br />
  11. 11. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />11<br />Beschluss des Düsseldorfer Kreises vom 26.11.09<br />Hinweispflicht nachkommen<br />Nur Nutzungsprofile mit Pseudonymen sind erlaubt<br />Widerspruchsmöglichkeit muss eingeräumt und technisch umgesetzt werden<br />IP-Adressen dürfen nicht verarbeitet oder gespeichert werden<br />Daten müssen strikt getrennt aufbewahrt werden<br />Vorgaben der Auftragsdatenverarbeitung beachten<br />
  12. 12. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />12<br />Lösungen<br />Verkürzung der IP-Adressen<br />Verbot der Zusammenführung mit technischen und organisatorischen Maßnahmen durchsetzen<br />Ausgestaltung von Cookies<br />Umfassende Information der Nutzer über Widerspruchsrecht<br />Opt-Out-Lösung zur Umsetzung von Widersprüchen<br />Begrenzung der Lebensdauer von Cookies (ULD: 7 Tage)<br />Verfahrensverzeichnis des Dienstleisters anfordern<br />Vertrag zur Auftragsdatenverarbeitung abschließen<br />
  13. 13. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />13<br />Muster für Opt-Out-Lösung<br />„Wenn Sie vermeiden wollen, dass bei Ihrem Besuch unserer Webseite Daten erhoben werden, können Sie von uns einen „Opt-Out-Cookie“ erhalten. Klicken Sie dafür auf das Feld (oder den Link) „Opt-Out-Cookie erhalten. Es werden dann keine Daten Ihres Besuchs mehr gespeichert.“<br />Bereitstellung der Opt-Out-Lösung in der Datenschutzerklärung derzeit wohl ausreichend<br />
  14. 14. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />14<br />Google Analytics<br />Derzeit nicht datenschutzkonform nutzbar<br />IP-Adresse wird erst nach der Übermittlung in die USA anonymisiert<br />Plugin nicht für alle Browser verfügbar (nicht für Safari und Opera)<br />Keine endgültige Löschung der Rohdaten möglich<br />Mindestanforderungen<br />“_anonymizeIp()” im Analytics-Code nutzen im IP-Adresse zu verkürzen<br />Datenschutzerklärung anpassen<br />Roadmap sieht Lösung bis zum 30.06.2011 vor<br />
  15. 15. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />15<br />Datenschutzkonforme Tools<br />Webanalyse-Anbieter (teilweise sind bestimmte Einstellungen und der Abschluss von Verträgen nach § 11 BDSG notwendig)<br />Econda Site Monitor – www.econda.de<br />Omniture (Adobe) – http://www.omniture.com/de/ (a.A. Xamit)<br />WiredMinds – www.wiredminds.de<br />Stats4free.de – www.stats4free.de<br />Analytics 10 – www.webtrends.com<br />Q3 – www.webtrekk.de<br />eTracker – www.etracker.com<br />Tools zum Einsatz auf dem eigenen Server<br />Piwik – de.piwik.org (Nachfolger von phpMyVisites)<br />Statify - playground.ebiene.de/2661/statify-wordpress-statistik/<br />
  16. 16. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />16<br />Ausblick<br />Änderungen durch EU-Datenschutzrichtlinie RL 2002/58/EG in der Fassung des Telekom-Reformpaketes (RL 2009/136/EG) vom 25.11.2009<br />Neuer Artikel 5 Absatz 3 der EU-Datenschutzrichtlinie sieht bei entsprechender Auslegung ein Einwilligungsbedürfnis für die Speicherung von Cookies vor (Opt-In-Lösung)<br /><ul><li>auch Piwik wäre dann in jetziger Ausgestaltung nicht mehr legal</li></ul>Umsetzung in nationales Recht eigentlich bis 25.05.2011<br />Bundesregierung will Diskussionen auf europäischer Ebene und mögliche Selbstregulierungsansätze der Werbewirtschaft abwarten, bevor sie in diesem Feld gesetzgeberisch tätig werden will<br />
  17. 17. 11.05.2011<br />UpDate! Bundesdatenschutzgesetz<br />17<br />Fragen?<br />Rechtsanwalt Stephan Schmidt<br />Fachanwalt für Informationstechnologierecht<br />Isaac-Fulda-Allee 5<br />D-55124 Mainz<br />Telefon: +49 - (0) 6131 - 302 90 460Telefax: +49 - (0) 6131 - 302 90 466<br />E-Mail: schmidt@teclegal-rheinmain.deInternet: www.teclegal-rheinmain.de<br />

×