Webseitenbetreiber aufgepasst: Google ändert Links zu eigenen Datenschutzerklärungen

Ende März 2014 hat Google seine eige­nen Daten­schutz­er­klä­run­gen aktua­li­siert. Bei die­ser Gele­gen­heit wur­den die Links zu den rele­van­ten daten­schutz­recht­li­chen Anga­ben für die Tools Google Ana­lytics und den Google+ But­ton geändert.

Als logi­sche Kon­se­quenz lan­den nun alle Links in Daten­schutz­er­klä­run­gen im Nir­wana. Google hat es lei­der nicht für nötig erach­tet, eine Umlei­tung (Redi­rect) zu set­zen und somit sind diese vor­ge­schrie­be­nen Infor­ma­tio­nen nicht mehr direkt zugäng­lich. Folg­lich ist die Daten­schutz­er­klä­rung auf den eige­nen Web­sei­ten fehlerhaft.

Daher soll­ten Sie — sofern Sie Google Ana­lytics und / oder den Google+ But­ton auf den Web­sei­ten ein­set­zen — nun schnell rea­gie­ren und diese Links aktua­li­sie­ren. Diese lau­ten wie folgt:

Daten­schutz­recht­li­che Infor­ma­tio­nen zu Google Ana­lytics (exter­ner Link)
http://www.google.com/intl/de/analytics/learn/privacy.html

Daten­schutz­recht­li­che Infor­ma­tio­nen bezüg­lich des Google+ But­tons (exter­ner Link)
https://www.google.com/policies/privacy/partners/?hl=de

Nicht ver­ges­sen: die fol­gen­den bei­den Links soll­ten eben­falls Bestand­teil Ihrer Daten­schutz­er­klä­rung sein. Beide sind von der aktu­el­len Adres­s­än­de­rung jedoch nicht betroffen:

Neu­es­ter Stand “All­ge­meine Daten­schutz­hin­weise von Google”
http://www.google.de/intl/de/policies/privacy/

Browser-Add-on gaop­tout zur Deak­ti­vie­rung von Google Ana­lytics zum Down­load
https://tools.google.com/dlpage/gaoptout?hl=de

Ergän­zen­der Tipp: Daten­schutz bei Nut­zung von social Plugins (exter­ner Bei­trag unse­res Partner-Blogs)

EuGH kippt Vorratsdatenspeicherung: Vernunft siegt über Sammelwut

Heute, am 08.04.2014 hat der Euro­päi­sche Gerichts­hof die EU Richt­li­nie zur Vor­rats­da­ten­spei­che­rung gekippt.

Diese Richt­li­nie aus dem Jahr 2006 sah für die Mit­glied­staa­ten der EU eine Rege­lung über die Spei­che­rung von Ver­kehrs­da­ten auf Vor­rat für einen Zeit­raum von 6 Mona­ten vor. Kri­tik­punkt war damals schon die künst­li­che Schaf­fung einer Ver­pflich­tung durch die natio­na­len Regie­run­gen auf euro­päi­scher Ebene zur Ein­füh­rung einer Vor­rats­da­ten­spei­che­rung. Zuvor waren die Anläufe auf natio­na­ler Ebene wei­test­ge­hend geschei­tert. Durch die Ver­pflich­tung über die EU Schiene sollte die­ses Manko im Sinne eini­ger sam­mel­wü­ti­ger Regie­run­gen aus­ge­he­belt werden.

Die danach ent­stan­de­nen deut­schen Rege­lun­gen im Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG) wur­den durch das Bun­des­ver­fas­sungs­ge­richt Anfang 2010 größ­ten­teils für nich­tig erklärt. Dabei wurde jedoch nicht die Vor­rats­da­ten­spei­che­rung an sich in Frage gestellt, son­dern das Gericht sah ledig­lich Defi­zite in der Umset­zung. Ein neues Gesetz zur Vor­rats­da­ten­spei­che­rung wurde in Deutsch­land seit­her nicht auf den Weg gebracht.

Nach dem heu­ti­gen Urteil zei­gen sich erneut die Fron­ten zwi­schen Befür­wor­tern und Geg­nern einer nicht anlaß­be­zo­ge­nen Samm­lung und Spei­che­rung von per­so­nen­be­zo­ge­nen Daten auf Vor­rat. Wäh­rend Bun­des­jus­tiz­mi­nis­ter Heiko Maas nun Augen­maß beim Umgang mit dem Thema for­dert und vor­ei­lige Schüsse aus­schließt, zögert Bun­des­in­nen­mi­nis­ter Tho­mas de Mai­ziere nicht, eine zeit­nahe Ein­füh­rung einer deut­schen Vor­rats­da­ten­spei­che­rung voranzutreiben.

Die “Betrof­fe­nen” (gemäß Wort­laut des Bun­des­da­ten­schutz­ge­set­zes die Per­so­nen, auf die sich die gesam­mel­ten Daten bezie­hen), also alle Bür­ger die­ses Lan­des dür­fen wei­ter gespannt sein.

Update 14.04.2014

Golem.de mel­det das Aus für einen neuen Geset­zes­ent­wurf zur Vor­rats­da­ten­spei­che­rung der schwarz-roten Koali­tion in die­ser Legis­la­tur­pe­riode. Dabei beruft sich der Online-Service auf einen Bericht des Spie­gel. Es soll eine neue rechts­kon­forme EU-Richtlinie abge­war­tet wer­den, bevor eine natio­nale Rege­lung auf den Weg gebracht wird.

Erneut 18 Millionen Nutzerkonten gehackt — BSI Test jetzt online verfügbar

Erneut haben Hacker Email­adres­sen und dazu­ge­hö­rige Pass­wör­ter geknackt. Die­ses Mal sind cirka 18 Mil­lio­nen Daten­sätze, dar­un­ter unge­fähr 3 Mil­lio­nen deut­sche Nut­zer betrof­fen sein.

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik BSI hat erneut eine Web­seite zur kom­for­ta­blen Online-Prüfung ins Netz gestellt. Den Online Test fin­den Sie unter

https://www.sicherheitstest.bsi.de/

Auf die­ser Web­seite fin­den Sie unter “Häu­fige Fra­gen” wei­tere Hin­ter­grund­in­for­ma­tio­nen, Tipps zur Absi­che­rung Ihrer IT Geräte, der Aus­wahl eines siche­ren Pass­worts sowie Anlei­tun­gen zum Ändern und / oder Zurück­set­zen Ihrer Pass­wör­ter bei zahl­rei­chen betrof­fe­nen Webmail-Anbietern.

Betrof­fene Nut­zer der Unter­neh­men Deut­sche Tele­kom / T-Online, Free­net, gmx.de, Kabel Deutsch­land, Vod­a­fone, und web.de wer­den direkt über diese Dienst­leis­ter im Rah­men ihrer beste­hen­den Kun­den­be­zie­hun­gen infor­miert, wenn Sie betrof­fen sind. Für alle ande­ren emp­fiehlt sich der Online Test.

 

Na dann werben wir mal

Einen Satz, den ich in der Pra­xis gele­gent­lich zu hören bekomme — oder zumin­dest auf die dahin­ter­ste­hende Grund­hal­tung bei Wer­be­maß­nah­men oft auf­grund Unkennt­nis stoße. Adreß­da­ten lie­gen zuhauf im Unter­neh­men vor, Quelle und zuläs­si­ger Ein­satz­zweck nicht zwin­gend bekannt. Unter­schei­dungs­merk­male zwi­schen Pri­vat– oder Geschäfts­adres­sen ad hoc nicht mög­lich, eine Klas­si­fi­zie­rung ob per­so­nen­be­zo­gen oder nicht liegt nicht vor.

Nach dem Prin­zip “Augen zu und durch” wer­den sol­che Daten­be­stände der inter­nen oder exter­nen Wer­be­ma­schi­ne­rie zuge­führt. Die Quittung(en) lie­gen meist schnell auf dem Tisch. Beschwer­den tele­fo­nisch oder per Email von “pri­va­ten” Betrof­fe­nen, Anfra­gen der zustän­di­gen Lan­des­da­ten­schutz­be­hörde auf­grund dort ein­ge­gan­ge­ner Beschwer­den und wenn nebem dem BDSG (Bun­des­da­ten­schutz­ge­setz) auch das UWG (Gesetz gegen den unlau­te­ren Wett­be­werb) betrof­fen ist, kost­spie­lege Abmah­nun­gen als Folge.

Die Crux an Wer­bung ist, es gilt nicht nur eines, son­dern gleich meh­rere Gesetze zu prü­fen und ein­zu­hal­ten. Und nicht immer sind die Abgren­zun­gen klar, was wie wo gilt je nach Art der Aus­sen­dung und des zu bewer­ben­den Ange­spro­che­nen. Die­sem Umstand trägt der Düs­sel­dor­fer Kreis (als Zen­tral­or­gan der Lan­des­da­ten­schutz­be­hör­den) mit sei­ner Ver­öf­fent­li­chung mit Stand Dezem­ber 2013 Rechnung

“Anwen­dungs­hin­weise der Daten­schutz­auf­sichts­be­hör­den zur Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten für werb­li­che Zwecke”

Das zwölf­sei­tige Doku­ment kann als PDF her­un­ter­ge­la­den wer­den und ist das Ergeb­nis einer Arbeits­gruppe “Wer­bung und Adress­han­del”, die das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht betreut hat. Im Fokus steht die prak­ti­sche Umset­zung des § 28 BDSG.

Neben Hin­wei­sen zur Defi­ni­tion und zum Umgang mit Lis­ten­da­ten wird auch der Aspekt beleuch­tet, wie zu ver­fah­ren ist, wenn im Rah­men von B2B Wer­bung per­so­nen­be­zo­gene Daten ange­spro­chen wer­den sol­len. Das Thema Freund­schafts­wer­bung wird kri­tisch beleuch­tet (und abschlie­ßend mit feh­len­der daten­schutz­recht­li­cher Grund­lage bewer­tet), aber auch die not­wen­dige Ein­wil­li­gung wird prä­zi­siert, sogar im Hin­blick auf ihr Verfallsdatum.

 

 

Webtracking datenschutzkonform umsetzen: Webanalyse-Tool PIWIK

Update vom 19.01.2014

Mitt­ler­weile ist das Tool PIWIK in der Ver­sion 2.x ver­füg­bar. Neben einem deut­lich über­ar­bei­te­ten Inter­face wur­den die Aus­wer­tungs­mög­lich­kei­ten noch­mals ver­fei­nert. Rein­schauen lohnt sich für jeden Web­mas­ter alle­mal. http://piwik.org/

Update vom 08.05.2012

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht teilte ges­tern mit, den Ein­satz des Webtracking-Tools Google Ana­lytics auf 13.404 Web­sei­ten mit Betrei­bern aus Bay­ern mit­tels einer eigens ent­wi­ckel­ten Soft­ware über­prüft zu haben. 10.955 der geprüf­ten Web­sei­ten setz­ten Google Ana­lytics nicht ein. Auf den ver­blie­be­nen 2.449 Web­sei­ten wäre das beliebte Webtracking-Tool ledig­lich in 3% aller Fälle daten­schutz­kon­form umge­setzt. Die 2.371 Web­sei­ten­be­trei­ber mit nicht daten­schutz­kon­for­men Ein­satz des Tools erhal­ten in den kom­men­den Tagen Post von der Lan­des­da­ten­schutz­be­hörde mit der Auf­for­de­rung zur Abstel­lung des nicht kon­for­men Einsatzes.

Seit lan­gem wird heiß dis­ku­tiert, ob und inwie­weit Google Ana­lytics über­haupt daten­schutz­kon­form nach deut­schem Recht ein­setz­bar ist. Viele der not­wen­di­gen Sach­ver­halte las­sen sich mit unse­rem aktu­el­len Bun­des­da­ten­schutz­ge­setz nicht kor­rekt umset­zen oder dar­stel­len. Diese Dis­kus­sion sollte jedoch nicht dazu ver­lei­ten, nach dem Motto “Augen zu und durch” zu ver­fah­ren. Noch dazu, wo es doch eine kos­ten­freie, leis­tungs­fä­hige und bean­stan­dungs­freie Alter­na­tive wie das Open Source Tool PIWIK gibt. Wie das ein­zu­set­zen ist, lesen Sie in unse­rem Blog-Beitrag vom 16.03.2011:

Original-Beitrag vom 16.03.2011

Google steht mit sei­nem Webtracking-Dienst Ana­lytics nach wie vor im Kreuz­feuer der Kri­tik sei­tens der Daten­schutz­be­hör­den — siehe “Ham­bur­ger Daten­schutz­be­auf­trag­ter sagt Nein zu Google Ana­lytics”. Die Lan­des­da­ten­schutz­be­hörde Baden-Württemberg sieht Lösungs­mög­lich­kei­ten für den Kon­flikt zwi­schen der Funk­ti­ons­weise von Ana­lytics und dem Bun­des­da­ten­schutz­ge­setz. Spruch­reif sind diese jedoch noch nicht.

Kon­flikt­freier und siche­rer geht Web­tracking mit­tels des kos­ten­freien open Source Web­tracking Tools PIWIK. Über diese Alter­na­tive konn­ten Sie sich bereits 2010 auf die­sem Blog infor­mie­ren — PIWIK — die unbe­denk­li­chere Alter­na­tive zu Google Ana­lytics”. Nun hat das Unab­hän­gige Lan­des­zen­trum für Daten­schutz Schleswig-Holstein (ULD) in einer Pres­se­mit­tei­lung vom 15.03.2011 Rat­schläge zum daten­schutz­kon­for­men Ein­satz von Webanalyse-Werkzeugen her­aus­ge­ge­ben. Und ergän­zend hierzu eine PDF-Anleitung zum daten­schutz­kon­for­men Ein­satz von PIWIK zum Down­load bereit­ge­stellt.

Neben einer gelun­ge­nen Vor­stel­lung von PIWK und einer Instal­la­ti­ons­an­wei­sung sind ab Kapi­tel 3 die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men auf­ge­lis­tet, mit­tels derer ein daten­schutz­kon­for­mer Ein­satz nach Ermes­sen des ULD gewähr­leis­tet wer­den kann:

  1. Nut­zung des Plugins “Anony­mi­zeIP” inkl. einer Erwei­te­rung der Anonymisierungsmaske
  2. Bereit­stel­len der inte­grier­ten Wider­spruchs­mög­lich­keit Opt-Out mit­tels iframe beim ers­ten Auf­ruf der Seite und in der Datenschutzerklärung
  3. Spar­sa­mer Ein­satz der Referrer-Daten, bis hin zu einer mög­li­chen Abschal­tung des Plugins
  4. Keine Daten zusammenführen
  5. Daten­lö­schung nach Aus­wer­tung und Analyse
  6. Ver­rin­ge­rung der Lebens­dauer des Analyse-Cookies

Die genann­ten Punkte sind mit weni­gen Hand­grif­fen, selbst von nicht Web-Profis umzusetzen.