SlideShare ist ein Scribd-Unternehmen logo
Webtracking:Google Analytics und Co. datenschutzkonform umsetzenRA und FA für IT-Recht Stephan Schmidtteclegal Rhein-Main Rechtsanwälte, Mainz
11.05.2011UpDate! Bundesdatenschutzgesetz2Webanalyse-ToolsBildquelle: Webtrekk Whitepaper „Website-Optimierung braucht mehr als Mittelwerte“
11.05.2011UpDate! Bundesdatenschutzgesetz3Webanalyse-ToolsWebseitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung das Nutzungsverhalten der LeserWebanalysetools speichern in der Regel IP-AdressenInternetanschluss des Nutzers kann daher theoretisch identifiziert werdenVerarbeitung der Daten bei einigen Anbietern in den USAProblem:	Haftung des Nutzers des Analyse-Tools            			(§ 7 BDSG)
11.05.2011UpDate! Bundesdatenschutzgesetz4Historie23.01.09 –	ULD: Datenschutzrechtliche Bewertung des 					Einsatzes von Google Analytics20.11.09 –	BfDI fordert von Krankenkassen den Verzicht auf Google 			Analytics27.11.09 –	Beschluss des Düsseldorfer Kreises05/06.10    –	Google bietet Version mit IP-Maskingund JavaScript-Funktion 			„_anonymizeIp()” an07.01.11 –	Rheinland-Pfälzischer DSB: „Google Analytics 				nicht datenschutzkonform“11.01.11 –	Hamburger DSB Caspar droht in der FAZ 					Unternehmen die Tracking-Software einsetzen 				mit „empfindlichen Bußgeldern“ – Google dementiert14.01.11 –	Webseite des Hamburger DSB geht offline, 					weil das Tracking-Tool der IVW genutzt wurde15.03.11 –	ULD empfiehlt Piwik als Analysetool
11.05.2011UpDate! Bundesdatenschutzgesetz5Grenzen des TMG (I)Erhebung und Verwendung personenbezogener Daten ist nur in den Grenzen des § 12 Absatz 1 TMGerlaubtKeine Erhebung personenbezogener Daten eines Nutzers ohne Einwilligung, wenn dies nicht für die Inanspruchnahme von Telemedien oder deren Abrechnung nötig istAnalyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen mangels anderweitiger gesetzlicher Grundlage nur mit bewusster, eindeutiger Einwilligung zulässigEinwilligung müsste vor „Betreten der Webseite“ erfolgen	 in der Praxis nicht umsetzbar
11.05.2011UpDate! Bundesdatenschutzgesetz6Grenzen des TMG (II)§ 15 Absatz 3 TMG erlaubt die Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von TelemedienPseudonymisierung liegt nur dann vor, wenn die IP-Adresse von den übrigen Daten getrennt gespeichert wird, und so die Bestimmung der betroffenen Personen zumindest wesentlich erschwert wäre (§ 3 Abs.6a BDSG). Nutzer muss widersprechen können und auf dieses Recht (in der Datenschutzerklärung) hingewiesen werden
11.05.2011UpDate! Bundesdatenschutzgesetz7Grenzen des TMG (III)Widersprüche müssen auch tatsächlich umgesetzt werdenProfile dürfen nicht mit dem Träger des Pseudonyms zusammengeführt werden (§ 13 Absatz 4 Nr. 6 TMG)pseudonymisierte Nutzungsdaten sind zu löschen, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt
11.05.2011UpDate! Bundesdatenschutzgesetz8IP-Adresse als personenbezogenes Datum (I)Sind dynamische IP-Adressen aus Sicht des Webseitenbetreibers personenbezogene Daten?Pro:bei Übermittlung an Dritte, können diese durch eigene Zusammenführung Rückschlüsse auf bestimmbare Personen ziehenBDSG – mittelbare Zuordenbarkeit ausreichendContra: BMI und BSIOLG Hamburg- Beschluss vom 03.11.2010 - 5 W 126/10IP-Adresse kein personenbezogenes Datum - Herstellung des Personenbezugs erfordert nämlich weitere DatenNormaler Webseitenbetreiber verfügt nicht über diese Daten
11.05.2011UpDate! Bundesdatenschutzgesetz9IP-Adresse als personenbezogenes Datum (II)ABER: Art. 2 lit. a der RL 95/46/EGindirekte Identifizierbarkeit ist ausreichend und gem. Erwägungsgrund 26 sind alle Mittel zu berücksichtigen, die vernünftigerweise von einem Dritten eingesetzt werden könnten Tatbestandsvoraussetzungen für die Erhebung der vollständigen IP-Adresse liegen regelmäßig nicht vor
11.05.2011UpDate! Bundesdatenschutzgesetz10Anforderungen aus § 11 BDSGBei der Nutzung von Analysetool-Anbietern liegt Auftragsdatenverarbeitung vorSeit der 2. BDSG-Novelle stellt § 11 BDSG zehn inhaltliche Anforderungen an entsprechende VerträgeWenn kein Individualvertrag vorhanden ist, müssen die gesetzlichen Vorgaben durch AGB des Anbieters erfüllt werdenBußgelder bis zu 50.000 Euro möglich
11.05.2011UpDate! Bundesdatenschutzgesetz11Beschluss des Düsseldorfer Kreises vom 26.11.09Hinweispflicht nachkommenNur Nutzungsprofile mit Pseudonymen sind erlaubtWiderspruchsmöglichkeit muss eingeräumt und technisch umgesetzt werdenIP-Adressen dürfen nicht verarbeitet oder gespeichert werdenDaten müssen strikt getrennt aufbewahrt werdenVorgaben der Auftragsdatenverarbeitung beachten
11.05.2011UpDate! Bundesdatenschutzgesetz12LösungenVerkürzung der IP-AdressenVerbot der Zusammenführung mit technischen und organisatorischen Maßnahmen durchsetzenAusgestaltung von CookiesUmfassende Information der Nutzer über WiderspruchsrechtOpt-Out-Lösung zur Umsetzung von WidersprüchenBegrenzung der Lebensdauer von Cookies (ULD: 7 Tage)Verfahrensverzeichnis des Dienstleisters anfordernVertrag zur Auftragsdatenverarbeitung abschließen
11.05.2011UpDate! Bundesdatenschutzgesetz13Muster für Opt-Out-Lösung„Wenn Sie vermeiden wollen, dass bei Ihrem Besuch unserer Webseite Daten erhoben werden, können Sie von uns einen „Opt-Out-Cookie“ erhalten. Klicken Sie dafür auf das Feld (oder den Link) „Opt-Out-Cookie erhalten. Es werden dann keine Daten Ihres Besuchs mehr gespeichert.“Bereitstellung der Opt-Out-Lösung in der Datenschutzerklärung derzeit wohl ausreichend
11.05.2011UpDate! Bundesdatenschutzgesetz14Google AnalyticsDerzeit nicht datenschutzkonform nutzbarIP-Adresse wird erst nach der Übermittlung in die USA anonymisiertPlugin nicht für alle Browser verfügbar (nicht für Safari und Opera)Keine endgültige Löschung der Rohdaten möglichMindestanforderungen“_anonymizeIp()” im Analytics-Code nutzen im IP-Adresse zu verkürzenDatenschutzerklärung anpassenRoadmap sieht Lösung bis zum 30.06.2011 vor
11.05.2011UpDate! Bundesdatenschutzgesetz15Datenschutzkonforme ToolsWebanalyse-Anbieter (teilweise sind bestimmte Einstellungen und der Abschluss von Verträgen nach § 11 BDSG notwendig)Econda Site Monitor – www.econda.deOmniture (Adobe) – http://www.omniture.com/de/ (a.A. Xamit)WiredMinds – www.wiredminds.deStats4free.de – www.stats4free.deAnalytics 10 – www.webtrends.comQ3 – www.webtrekk.deeTracker – www.etracker.comTools zum Einsatz auf dem eigenen ServerPiwik – de.piwik.org (Nachfolger von phpMyVisites)Statify - playground.ebiene.de/2661/statify-wordpress-statistik/
11.05.2011UpDate! Bundesdatenschutzgesetz16AusblickÄnderungen durch EU-Datenschutzrichtlinie RL 2002/58/EG in der Fassung des Telekom-Reformpaketes (RL 2009/136/EG) vom 25.11.2009Neuer Artikel 5 Absatz 3 der EU-Datenschutzrichtlinie sieht bei entsprechender Auslegung ein Einwilligungsbedürfnis für die Speicherung von Cookies vor (Opt-In-Lösung)auch Piwik wäre dann in jetziger Ausgestaltung nicht mehr legalUmsetzung in nationales Recht eigentlich bis 25.05.2011Bundesregierung will Diskussionen auf europäischer Ebene und mögliche Selbstregulierungsansätze der Werbewirtschaft abwarten, bevor sie in diesem Feld gesetzgeberisch tätig werden will
11.05.2011UpDate! Bundesdatenschutzgesetz17Fragen?Rechtsanwalt Stephan SchmidtFachanwalt für InformationstechnologierechtIsaac-Fulda-Allee 5D-55124 MainzTelefon:	 +49 - (0) 6131 - 302 90 460Telefax:	 +49 - (0) 6131 - 302 90 466E-Mail:	 schmidt@teclegal-rheinmain.deInternet: www.teclegal-rheinmain.de

Weitere ähnliche Inhalte

Andere mochten auch

Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestalten
Stephan Schmidt
 
Presentación1
Presentación1Presentación1
Presentación1
pau_teens
 
Carlos arturo carvajal el computador
Carlos arturo carvajal el computadorCarlos arturo carvajal el computador
Carlos arturo carvajal el computador
maedni0915
 
Tae kwon do
Tae kwon do Tae kwon do
Ciudades educadoras
Ciudades educadorasCiudades educadoras
Ciudades educadoras
Raquel Gómez Paredes
 
Reglamento transporte
Reglamento transporteReglamento transporte
Reglamento transporte
Fernando Olvera
 
Agente rana
Agente ranaAgente rana
Plantes
PlantesPlantes
Transposició Didàctica IES Núm. 1, Xàbia
Transposició Didàctica IES Núm. 1, XàbiaTransposició Didàctica IES Núm. 1, Xàbia
Transposició Didàctica IES Núm. 1, Xàbia
Raquel Gómez Paredes
 
El mundo inalámbrico
El mundo inalámbricoEl mundo inalámbrico
El mundo inalámbrico
misael saez
 
5to comercio
5to comercio5to comercio
5to comercio
bryanalcivar
 
Unidad iv y v.
Unidad iv y v.Unidad iv y v.
Unidad iv y v.
adrix_esca18
 

Andere mochten auch (16)

Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestalten
 
Presentación1
Presentación1Presentación1
Presentación1
 
Carlos arturo carvajal el computador
Carlos arturo carvajal el computadorCarlos arturo carvajal el computador
Carlos arturo carvajal el computador
 
Tae kwon do
Tae kwon do Tae kwon do
Tae kwon do
 
Ciudades educadoras
Ciudades educadorasCiudades educadoras
Ciudades educadoras
 
Reglamento transporte
Reglamento transporteReglamento transporte
Reglamento transporte
 
Agente rana
Agente ranaAgente rana
Agente rana
 
Plantes
PlantesPlantes
Plantes
 
Transposició Didàctica IES Núm. 1, Xàbia
Transposició Didàctica IES Núm. 1, XàbiaTransposició Didàctica IES Núm. 1, Xàbia
Transposició Didàctica IES Núm. 1, Xàbia
 
Achiiv
AchiivAchiiv
Achiiv
 
El mundo inalámbrico
El mundo inalámbricoEl mundo inalámbrico
El mundo inalámbrico
 
Learntec 2011
Learntec 2011Learntec 2011
Learntec 2011
 
5to comercio
5to comercio5to comercio
5to comercio
 
A
AA
A
 
Achv
Achv Achv
Achv
 
Unidad iv y v.
Unidad iv y v.Unidad iv y v.
Unidad iv y v.
 

Ähnlich wie Google Analytics und Co. datenschutzkonform umsetzen

DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
Michael Rohrlich
 
Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
Lead Inspector
 
Burda DiVa Gutachten TÜV
Burda DiVa Gutachten TÜVBurda DiVa Gutachten TÜV
Burda DiVa Gutachten TÜV
BurdaDirect
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Inxmail GmbH
 
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
SOMshare
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Österreich
 
Checkliste: Datenschutzrechtliche Anforderungen an die Web Analyse
Checkliste: Datenschutzrechtliche Anforderungen an die Web AnalyseCheckliste: Datenschutzrechtliche Anforderungen an die Web Analyse
Checkliste: Datenschutzrechtliche Anforderungen an die Web Analyse
TWT
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & Datenschutzerklärung
Michael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
Michael Rohrlich
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
Michael Lanzinger
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
Michael Lanzinger
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
Symposia 360°
 
Google Glass und Co. – Wie neue Technologien unser Rechtssystem vor ungeahnte...
Google Glass und Co. – Wie neue Technologien unser Rechtssystem vor ungeahnte...Google Glass und Co. – Wie neue Technologien unser Rechtssystem vor ungeahnte...
Google Glass und Co. – Wie neue Technologien unser Rechtssystem vor ungeahnte...
InteractiveCologne
 
Facebook & Recht - Urheber- und datenschutzrechtliche Fragen bei der Facebook...
Facebook & Recht - Urheber- und datenschutzrechtliche Fragen bei der Facebook...Facebook & Recht - Urheber- und datenschutzrechtliche Fragen bei der Facebook...
Facebook & Recht - Urheber- und datenschutzrechtliche Fragen bei der Facebook...
culbricht
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
Michael Lanzinger
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
Michael Rohrlich
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
Michael Lanzinger
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - Rechtsfragen
Michael Lanzinger
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
VÖGB
 

Ähnlich wie Google Analytics und Co. datenschutzkonform umsetzen (20)

DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
 
Burda DiVa Gutachten TÜV
Burda DiVa Gutachten TÜVBurda DiVa Gutachten TÜV
Burda DiVa Gutachten TÜV
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
 
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
Checkliste: Datenschutzrechtliche Anforderungen an die Web Analyse
Checkliste: Datenschutzrechtliche Anforderungen an die Web AnalyseCheckliste: Datenschutzrechtliche Anforderungen an die Web Analyse
Checkliste: Datenschutzrechtliche Anforderungen an die Web Analyse
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & Datenschutzerklärung
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
 
1612011[1]
1612011[1]1612011[1]
1612011[1]
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
Google Glass und Co. – Wie neue Technologien unser Rechtssystem vor ungeahnte...
Google Glass und Co. – Wie neue Technologien unser Rechtssystem vor ungeahnte...Google Glass und Co. – Wie neue Technologien unser Rechtssystem vor ungeahnte...
Google Glass und Co. – Wie neue Technologien unser Rechtssystem vor ungeahnte...
 
Facebook & Recht - Urheber- und datenschutzrechtliche Fragen bei der Facebook...
Facebook & Recht - Urheber- und datenschutzrechtliche Fragen bei der Facebook...Facebook & Recht - Urheber- und datenschutzrechtliche Fragen bei der Facebook...
Facebook & Recht - Urheber- und datenschutzrechtliche Fragen bei der Facebook...
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - Rechtsfragen
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
 

Mehr von Stephan Schmidt

Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-Marketing
Stephan Schmidt
 
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzDeutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Stephan Schmidt
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Stephan Schmidt
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk  –  Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk  –  Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Stephan Schmidt
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Stephan Schmidt
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
Stephan Schmidt
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYOD
Stephan Schmidt
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Stephan Schmidt
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Stephan Schmidt
 
Social Media & Recht
Social Media & RechtSocial Media & Recht
Social Media & Recht
Stephan Schmidt
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im Computerstrafrecht
Stephan Schmidt
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Stephan Schmidt
 

Mehr von Stephan Schmidt (12)

Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-Marketing
 
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzDeutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk  –  Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk  –  Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYOD
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
 
Social Media & Recht
Social Media & RechtSocial Media & Recht
Social Media & Recht
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im Computerstrafrecht
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
 

Google Analytics und Co. datenschutzkonform umsetzen

  • 1. Webtracking:Google Analytics und Co. datenschutzkonform umsetzenRA und FA für IT-Recht Stephan Schmidtteclegal Rhein-Main Rechtsanwälte, Mainz
  • 2. 11.05.2011UpDate! Bundesdatenschutzgesetz2Webanalyse-ToolsBildquelle: Webtrekk Whitepaper „Website-Optimierung braucht mehr als Mittelwerte“
  • 3. 11.05.2011UpDate! Bundesdatenschutzgesetz3Webanalyse-ToolsWebseitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung das Nutzungsverhalten der LeserWebanalysetools speichern in der Regel IP-AdressenInternetanschluss des Nutzers kann daher theoretisch identifiziert werdenVerarbeitung der Daten bei einigen Anbietern in den USAProblem: Haftung des Nutzers des Analyse-Tools (§ 7 BDSG)
  • 4. 11.05.2011UpDate! Bundesdatenschutzgesetz4Historie23.01.09 – ULD: Datenschutzrechtliche Bewertung des Einsatzes von Google Analytics20.11.09 – BfDI fordert von Krankenkassen den Verzicht auf Google Analytics27.11.09 – Beschluss des Düsseldorfer Kreises05/06.10 – Google bietet Version mit IP-Maskingund JavaScript-Funktion „_anonymizeIp()” an07.01.11 – Rheinland-Pfälzischer DSB: „Google Analytics nicht datenschutzkonform“11.01.11 – Hamburger DSB Caspar droht in der FAZ Unternehmen die Tracking-Software einsetzen mit „empfindlichen Bußgeldern“ – Google dementiert14.01.11 – Webseite des Hamburger DSB geht offline, weil das Tracking-Tool der IVW genutzt wurde15.03.11 – ULD empfiehlt Piwik als Analysetool
  • 5. 11.05.2011UpDate! Bundesdatenschutzgesetz5Grenzen des TMG (I)Erhebung und Verwendung personenbezogener Daten ist nur in den Grenzen des § 12 Absatz 1 TMGerlaubtKeine Erhebung personenbezogener Daten eines Nutzers ohne Einwilligung, wenn dies nicht für die Inanspruchnahme von Telemedien oder deren Abrechnung nötig istAnalyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen mangels anderweitiger gesetzlicher Grundlage nur mit bewusster, eindeutiger Einwilligung zulässigEinwilligung müsste vor „Betreten der Webseite“ erfolgen  in der Praxis nicht umsetzbar
  • 6. 11.05.2011UpDate! Bundesdatenschutzgesetz6Grenzen des TMG (II)§ 15 Absatz 3 TMG erlaubt die Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von TelemedienPseudonymisierung liegt nur dann vor, wenn die IP-Adresse von den übrigen Daten getrennt gespeichert wird, und so die Bestimmung der betroffenen Personen zumindest wesentlich erschwert wäre (§ 3 Abs.6a BDSG). Nutzer muss widersprechen können und auf dieses Recht (in der Datenschutzerklärung) hingewiesen werden
  • 7. 11.05.2011UpDate! Bundesdatenschutzgesetz7Grenzen des TMG (III)Widersprüche müssen auch tatsächlich umgesetzt werdenProfile dürfen nicht mit dem Träger des Pseudonyms zusammengeführt werden (§ 13 Absatz 4 Nr. 6 TMG)pseudonymisierte Nutzungsdaten sind zu löschen, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt
  • 8. 11.05.2011UpDate! Bundesdatenschutzgesetz8IP-Adresse als personenbezogenes Datum (I)Sind dynamische IP-Adressen aus Sicht des Webseitenbetreibers personenbezogene Daten?Pro:bei Übermittlung an Dritte, können diese durch eigene Zusammenführung Rückschlüsse auf bestimmbare Personen ziehenBDSG – mittelbare Zuordenbarkeit ausreichendContra: BMI und BSIOLG Hamburg- Beschluss vom 03.11.2010 - 5 W 126/10IP-Adresse kein personenbezogenes Datum - Herstellung des Personenbezugs erfordert nämlich weitere DatenNormaler Webseitenbetreiber verfügt nicht über diese Daten
  • 9. 11.05.2011UpDate! Bundesdatenschutzgesetz9IP-Adresse als personenbezogenes Datum (II)ABER: Art. 2 lit. a der RL 95/46/EGindirekte Identifizierbarkeit ist ausreichend und gem. Erwägungsgrund 26 sind alle Mittel zu berücksichtigen, die vernünftigerweise von einem Dritten eingesetzt werden könnten Tatbestandsvoraussetzungen für die Erhebung der vollständigen IP-Adresse liegen regelmäßig nicht vor
  • 10. 11.05.2011UpDate! Bundesdatenschutzgesetz10Anforderungen aus § 11 BDSGBei der Nutzung von Analysetool-Anbietern liegt Auftragsdatenverarbeitung vorSeit der 2. BDSG-Novelle stellt § 11 BDSG zehn inhaltliche Anforderungen an entsprechende VerträgeWenn kein Individualvertrag vorhanden ist, müssen die gesetzlichen Vorgaben durch AGB des Anbieters erfüllt werdenBußgelder bis zu 50.000 Euro möglich
  • 11. 11.05.2011UpDate! Bundesdatenschutzgesetz11Beschluss des Düsseldorfer Kreises vom 26.11.09Hinweispflicht nachkommenNur Nutzungsprofile mit Pseudonymen sind erlaubtWiderspruchsmöglichkeit muss eingeräumt und technisch umgesetzt werdenIP-Adressen dürfen nicht verarbeitet oder gespeichert werdenDaten müssen strikt getrennt aufbewahrt werdenVorgaben der Auftragsdatenverarbeitung beachten
  • 12. 11.05.2011UpDate! Bundesdatenschutzgesetz12LösungenVerkürzung der IP-AdressenVerbot der Zusammenführung mit technischen und organisatorischen Maßnahmen durchsetzenAusgestaltung von CookiesUmfassende Information der Nutzer über WiderspruchsrechtOpt-Out-Lösung zur Umsetzung von WidersprüchenBegrenzung der Lebensdauer von Cookies (ULD: 7 Tage)Verfahrensverzeichnis des Dienstleisters anfordernVertrag zur Auftragsdatenverarbeitung abschließen
  • 13. 11.05.2011UpDate! Bundesdatenschutzgesetz13Muster für Opt-Out-Lösung„Wenn Sie vermeiden wollen, dass bei Ihrem Besuch unserer Webseite Daten erhoben werden, können Sie von uns einen „Opt-Out-Cookie“ erhalten. Klicken Sie dafür auf das Feld (oder den Link) „Opt-Out-Cookie erhalten. Es werden dann keine Daten Ihres Besuchs mehr gespeichert.“Bereitstellung der Opt-Out-Lösung in der Datenschutzerklärung derzeit wohl ausreichend
  • 14. 11.05.2011UpDate! Bundesdatenschutzgesetz14Google AnalyticsDerzeit nicht datenschutzkonform nutzbarIP-Adresse wird erst nach der Übermittlung in die USA anonymisiertPlugin nicht für alle Browser verfügbar (nicht für Safari und Opera)Keine endgültige Löschung der Rohdaten möglichMindestanforderungen“_anonymizeIp()” im Analytics-Code nutzen im IP-Adresse zu verkürzenDatenschutzerklärung anpassenRoadmap sieht Lösung bis zum 30.06.2011 vor
  • 15. 11.05.2011UpDate! Bundesdatenschutzgesetz15Datenschutzkonforme ToolsWebanalyse-Anbieter (teilweise sind bestimmte Einstellungen und der Abschluss von Verträgen nach § 11 BDSG notwendig)Econda Site Monitor – www.econda.deOmniture (Adobe) – http://www.omniture.com/de/ (a.A. Xamit)WiredMinds – www.wiredminds.deStats4free.de – www.stats4free.deAnalytics 10 – www.webtrends.comQ3 – www.webtrekk.deeTracker – www.etracker.comTools zum Einsatz auf dem eigenen ServerPiwik – de.piwik.org (Nachfolger von phpMyVisites)Statify - playground.ebiene.de/2661/statify-wordpress-statistik/
  • 16. 11.05.2011UpDate! Bundesdatenschutzgesetz16AusblickÄnderungen durch EU-Datenschutzrichtlinie RL 2002/58/EG in der Fassung des Telekom-Reformpaketes (RL 2009/136/EG) vom 25.11.2009Neuer Artikel 5 Absatz 3 der EU-Datenschutzrichtlinie sieht bei entsprechender Auslegung ein Einwilligungsbedürfnis für die Speicherung von Cookies vor (Opt-In-Lösung)auch Piwik wäre dann in jetziger Ausgestaltung nicht mehr legalUmsetzung in nationales Recht eigentlich bis 25.05.2011Bundesregierung will Diskussionen auf europäischer Ebene und mögliche Selbstregulierungsansätze der Werbewirtschaft abwarten, bevor sie in diesem Feld gesetzgeberisch tätig werden will
  • 17. 11.05.2011UpDate! Bundesdatenschutzgesetz17Fragen?Rechtsanwalt Stephan SchmidtFachanwalt für InformationstechnologierechtIsaac-Fulda-Allee 5D-55124 MainzTelefon: +49 - (0) 6131 - 302 90 460Telefax: +49 - (0) 6131 - 302 90 466E-Mail: schmidt@teclegal-rheinmain.deInternet: www.teclegal-rheinmain.de