Das Dokument behandelt die datenschutzkonforme Umsetzung von Webtracking-Tools wie Google Analytics im Kontext des deutschen Datenschutzgesetzes. Es wird erläutert, dass die Verarbeitung von Nutzerdaten, insbesondere IP-Adressen, ohne ausdrückliche Einwilligung problematisch ist und es Empfehlungen gibt, alternative Analyse-Tools zu verwenden. Zudem wird auf die Notwendigkeit der Einhaltung bestimmter rechtlicher Vorgaben hingewiesen, einschließlich der Erstellung von Nutzungsprofilen und der Sicherstellung von Widerspruchsmöglichkeiten für die Nutzer.

1. Webtracking:Google Analytics und Co. datenschutzkonform umsetzenRA und FA für IT-Recht Stephan Schmidtteclegal Rhein-Main Rechtsanwälte, Mainz

2. 11.05.2011UpDate! Bundesdatenschutzgesetz2Webanalyse-ToolsBildquelle: Webtrekk Whitepaper „Website-Optimierung braucht mehr als Mittelwerte“

3. 11.05.2011UpDate! Bundesdatenschutzgesetz3Webanalyse-ToolsWebseitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung das Nutzungsverhalten der LeserWebanalysetools speichern in der Regel IP-AdressenInternetanschluss des Nutzers kann daher theoretisch identifiziert werdenVerarbeitung der Daten bei einigen Anbietern in den USAProblem: Haftung des Nutzers des Analyse-Tools (§ 7 BDSG)

4. 11.05.2011UpDate! Bundesdatenschutzgesetz4Historie23.01.09 – ULD: Datenschutzrechtliche Bewertung des Einsatzes von Google Analytics20.11.09 – BfDI fordert von Krankenkassen den Verzicht auf Google Analytics27.11.09 – Beschluss des Düsseldorfer Kreises05/06.10 – Google bietet Version mit IP-Maskingund JavaScript-Funktion „_anonymizeIp()” an07.01.11 – Rheinland-Pfälzischer DSB: „Google Analytics nicht datenschutzkonform“11.01.11 – Hamburger DSB Caspar droht in der FAZ Unternehmen die Tracking-Software einsetzen mit „empfindlichen Bußgeldern“ – Google dementiert14.01.11 – Webseite des Hamburger DSB geht offline, weil das Tracking-Tool der IVW genutzt wurde15.03.11 – ULD empfiehlt Piwik als Analysetool

5. 11.05.2011UpDate! Bundesdatenschutzgesetz5Grenzen des TMG (I)Erhebung und Verwendung personenbezogener Daten ist nur in den Grenzen des § 12 Absatz 1 TMGerlaubtKeine Erhebung personenbezogener Daten eines Nutzers ohne Einwilligung, wenn dies nicht für die Inanspruchnahme von Telemedien oder deren Abrechnung nötig istAnalyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen mangels anderweitiger gesetzlicher Grundlage nur mit bewusster, eindeutiger Einwilligung zulässigEinwilligung müsste vor „Betreten der Webseite“ erfolgen  in der Praxis nicht umsetzbar

6. 11.05.2011UpDate! Bundesdatenschutzgesetz6Grenzen des TMG (II)§ 15 Absatz 3 TMG erlaubt die Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von TelemedienPseudonymisierung liegt nur dann vor, wenn die IP-Adresse von den übrigen Daten getrennt gespeichert wird, und so die Bestimmung der betroffenen Personen zumindest wesentlich erschwert wäre (§ 3 Abs.6a BDSG). Nutzer muss widersprechen können und auf dieses Recht (in der Datenschutzerklärung) hingewiesen werden

7. 11.05.2011UpDate! Bundesdatenschutzgesetz7Grenzen des TMG (III)Widersprüche müssen auch tatsächlich umgesetzt werdenProfile dürfen nicht mit dem Träger des Pseudonyms zusammengeführt werden (§ 13 Absatz 4 Nr. 6 TMG)pseudonymisierte Nutzungsdaten sind zu löschen, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt

8. 11.05.2011UpDate! Bundesdatenschutzgesetz8IP-Adresse als personenbezogenes Datum (I)Sind dynamische IP-Adressen aus Sicht des Webseitenbetreibers personenbezogene Daten?Pro:bei Übermittlung an Dritte, können diese durch eigene Zusammenführung Rückschlüsse auf bestimmbare Personen ziehenBDSG – mittelbare Zuordenbarkeit ausreichendContra: BMI und BSIOLG Hamburg- Beschluss vom 03.11.2010 - 5 W 126/10IP-Adresse kein personenbezogenes Datum - Herstellung des Personenbezugs erfordert nämlich weitere DatenNormaler Webseitenbetreiber verfügt nicht über diese Daten

9. 11.05.2011UpDate! Bundesdatenschutzgesetz9IP-Adresse als personenbezogenes Datum (II)ABER: Art. 2 lit. a der RL 95/46/EGindirekte Identifizierbarkeit ist ausreichend und gem. Erwägungsgrund 26 sind alle Mittel zu berücksichtigen, die vernünftigerweise von einem Dritten eingesetzt werden könnten Tatbestandsvoraussetzungen für die Erhebung der vollständigen IP-Adresse liegen regelmäßig nicht vor

10. 11.05.2011UpDate! Bundesdatenschutzgesetz10Anforderungen aus § 11 BDSGBei der Nutzung von Analysetool-Anbietern liegt Auftragsdatenverarbeitung vorSeit der 2. BDSG-Novelle stellt § 11 BDSG zehn inhaltliche Anforderungen an entsprechende VerträgeWenn kein Individualvertrag vorhanden ist, müssen die gesetzlichen Vorgaben durch AGB des Anbieters erfüllt werdenBußgelder bis zu 50.000 Euro möglich

11. 11.05.2011UpDate! Bundesdatenschutzgesetz11Beschluss des Düsseldorfer Kreises vom 26.11.09Hinweispflicht nachkommenNur Nutzungsprofile mit Pseudonymen sind erlaubtWiderspruchsmöglichkeit muss eingeräumt und technisch umgesetzt werdenIP-Adressen dürfen nicht verarbeitet oder gespeichert werdenDaten müssen strikt getrennt aufbewahrt werdenVorgaben der Auftragsdatenverarbeitung beachten

12. 11.05.2011UpDate! Bundesdatenschutzgesetz12LösungenVerkürzung der IP-AdressenVerbot der Zusammenführung mit technischen und organisatorischen Maßnahmen durchsetzenAusgestaltung von CookiesUmfassende Information der Nutzer über WiderspruchsrechtOpt-Out-Lösung zur Umsetzung von WidersprüchenBegrenzung der Lebensdauer von Cookies (ULD: 7 Tage)Verfahrensverzeichnis des Dienstleisters anfordernVertrag zur Auftragsdatenverarbeitung abschließen

13. 11.05.2011UpDate! Bundesdatenschutzgesetz13Muster für Opt-Out-Lösung„Wenn Sie vermeiden wollen, dass bei Ihrem Besuch unserer Webseite Daten erhoben werden, können Sie von uns einen „Opt-Out-Cookie“ erhalten. Klicken Sie dafür auf das Feld (oder den Link) „Opt-Out-Cookie erhalten. Es werden dann keine Daten Ihres Besuchs mehr gespeichert.“Bereitstellung der Opt-Out-Lösung in der Datenschutzerklärung derzeit wohl ausreichend

14. 11.05.2011UpDate! Bundesdatenschutzgesetz14Google AnalyticsDerzeit nicht datenschutzkonform nutzbarIP-Adresse wird erst nach der Übermittlung in die USA anonymisiertPlugin nicht für alle Browser verfügbar (nicht für Safari und Opera)Keine endgültige Löschung der Rohdaten möglichMindestanforderungen“_anonymizeIp()” im Analytics-Code nutzen im IP-Adresse zu verkürzenDatenschutzerklärung anpassenRoadmap sieht Lösung bis zum 30.06.2011 vor

15. 11.05.2011UpDate! Bundesdatenschutzgesetz15Datenschutzkonforme ToolsWebanalyse-Anbieter (teilweise sind bestimmte Einstellungen und der Abschluss von Verträgen nach § 11 BDSG notwendig)Econda Site Monitor – www.econda.deOmniture (Adobe) – http://www.omniture.com/de/ (a.A. Xamit)WiredMinds – www.wiredminds.deStats4free.de – www.stats4free.deAnalytics 10 – www.webtrends.comQ3 – www.webtrekk.deeTracker – www.etracker.comTools zum Einsatz auf dem eigenen ServerPiwik – de.piwik.org (Nachfolger von phpMyVisites)Statify - playground.ebiene.de/2661/statify-wordpress-statistik/

16. 11.05.2011UpDate! Bundesdatenschutzgesetz16AusblickÄnderungen durch EU-Datenschutzrichtlinie RL 2002/58/EG in der Fassung des Telekom-Reformpaketes (RL 2009/136/EG) vom 25.11.2009Neuer Artikel 5 Absatz 3 der EU-Datenschutzrichtlinie sieht bei entsprechender Auslegung ein Einwilligungsbedürfnis für die Speicherung von Cookies vor (Opt-In-Lösung)auch Piwik wäre dann in jetziger Ausgestaltung nicht mehr legalUmsetzung in nationales Recht eigentlich bis 25.05.2011Bundesregierung will Diskussionen auf europäischer Ebene und mögliche Selbstregulierungsansätze der Werbewirtschaft abwarten, bevor sie in diesem Feld gesetzgeberisch tätig werden will

17. 11.05.2011UpDate! Bundesdatenschutzgesetz17Fragen?Rechtsanwalt Stephan SchmidtFachanwalt für InformationstechnologierechtIsaac-Fulda-Allee 5D-55124 MainzTelefon: +49 - (0) 6131 - 302 90 460Telefax: +49 - (0) 6131 - 302 90 466E-Mail: schmidt@teclegal-rheinmain.deInternet: www.teclegal-rheinmain.de