Aktuelles, Experten, Gastbeiträge - geschrieben von cp am Dienstag, Juni 12, 2012 23:59 - ein Kommentar
Wieso Webtracking zur Zeit ein Risiko darstellen kann
Ein Gastbeitrag von Sascha Kuhrau, Inh. a.s.k. Datenschutz
[datensicherheit.de, 12.06.2012] Sascha Kuhrau, Inhaber von a.s.k. Datenschutz in Franken und Betreiber des Fachblogs „ask datenschutz“, ist seit 2007 als Berater für Datenschutz und Datensicherheit sowie externer Datenschutzbeauftragter für zahlreiche Unternehmen in Deutschland tätig. Im vorliegenden Gastbeitrag führt er aus, weshalb der Einsatz des beliebten Webtracking-Tools „Google Analytics“ derzeit in Bayern und Nordrhein-Westfalen zu Ungemach für Betreiber von Websites führen kann.
Sascha Kuhrau: „Wer sich die ganze Aufregung ersparen will, setzt besser auf die ebenfalls kostenfreie Lösung ,PIWIK‘!“
Seit Jahren diskutieren die Landesdatenschutzbehörden mit dem Konzern Google über eine datenschutzkonforme Einsatzmöglichkeit des beliebten, weil kostenfreien Webtracking-Tools „Google Analytics“. Der sogenannte „Düsseldorfer Kreis“, ein Zusammenschluss der Landesdatenschutzbehörden, verabschiedete 2009 ein Eckpunkte-Papier zum datenschutzkonformen Einsatz von Webtracking. Auf dieser Basis vermeldete man im September 2011 die Einigung mit Google.
Der Hamburger Datenschutzbeauftragte stellte eine genaue Anleitung ins Netz, nach deren Vorgehensweise „Google Analytics“ beanstandungsfrei nach deutschem Datenschutzrecht einsetzbar sei. Kernpunkte waren und sind:
- Abschluss einer Regelung zur Auftragsdatenverarbeitung nach § 11 BDSG.
- Detaillierte Formulierung der Nutzung in der Datenschutzerklärung der Website zusammen mit dem Hinweis auf die Widerspruchsmöglichkeit durch das Google-Tool „gaoptaut“ inkl. Download-Link.
- Aktivierung der „anonymizeIP“-Funktion (Achtung: Hierfür ist ein gesonderter Tracking-Code notwendig!).
- Löschen aller bisher zu Unrecht erhobenen Daten.
Während die Punkte 2 und 3 auf wenig Widerspruch in der Netzwelt stießen, wurden kritische Stimmen zur notwendigen schriftlichen Regelung zur Auftragsdatenverarbeitung laut. Zwar existiert eine Formulierungsvorlage zum Download auf der deutschen Website von „Google Analytics“, doch externe Bewertungen ließen Zweifel an der rechtlichen Zulässigkeit aufkommen, so z.B. im Hinblick auf notwendige Kontrollrechte gegenüber dem Konzern. Das Löschen aller zuvor mit „Analytics“ erhobenen Daten führte und führt zu weiteren Aufregungen unter den Nutzern. In der Folge kam es zur widerwilligen Löschung oder zum totalen Boykott unter Berufung auf nicht immer nachvollziehbare Stellungnahmen sogenannter „Experten“.
Die teilweise sehr heftig und gegensätzlich geführten Diskussionen hatten jedoch einen Vorteil – das Thema verbreitete sich sehr schnell über die elektronischen Medien und sollte daher eine breite Zielgruppe angesprochen haben. Dies sehen wohl die Landesdatenschutzbehörden ebenso und werden nun aktiv.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA ) teilte am 7. Mai 2012 mit, den Einsatz des Webtracking-Tools „Google Analytics“ auf 13.404 Websites mit Betreibern aus Bayern mittels einer eigens entwickelten Software überprüft zu haben. Auf knapp 2.500 Websites sei „Google Analytics“ im Einsatz, davon lediglich drei Prozent datenschutzkonform. Die verbliebenen 2.371 Website-Betreiber erhielten im Anschluss Gelegenheit zur Stellungnahme und Anpassung unter Androhung von Bußgeldern.
Die Landesdatenschutzbehörde Nordrhein-Westfalen (LDI) hat zwar noch keine offizielle Pressemeldung herausgegeben, doch das Feedback von Unternehmen mit Sitz in NRW ist eindeutig. Das LDI hat sich der Vorgehensweise der bayerischen Kollegen angeschlossen und bereits mit dem Versand von Schreiben bei nicht datenschutzkonformem Einsatz von „Google Analytics“ durch Unternehmen mit Sitz in NRW begonnen.
Weitere Durchgänge in Bayern und NRW sowie gleichgeartete Aktionen der Schutzbehörden der anderen Bundesländer sind zu erwarten. Zwar hat die bayerische Landesdatenschutzbehörde klargestellt, es ginge nicht um die Erzielung von Bußgeldern, doch sind diese nicht ausgeschlossen. Ziel dieser Aktion sei es primär, datenschutzkonforme Zustände beim Einsatz von Software zur Erfassung des Nutzerverhaltens im Internet zu erreichen. Aus diesem Grund werde das BayLDA im Rahmen dieser Prüfung bei Feststellung von Verstößen zunächst keine Bußgeldverfahren einleiten, sondern erst dann, wenn ein Website-Betreiber sich nach entsprechender Aufforderung durch das BayLDA sein Programm anzupassen, nachhaltig weigert oder nicht reagiert.
Wer sich die ganze Aufregung ersparen will, setzt besser auf die ebenfalls kostenfreie Lösung „PIWIK“ – dieses „Open Source Tool“ wurde bereits frühzeitig durch die schleswig-holsteinische Landesdatenschutzbehörde (ULD) bewertet und samt einer einfachen Konfigurationsanleitung für den beanstandungsfreien Einsatz auf Websites freigegeben.
Weitere Informationen zum Thema:
Sitzung des Düsseldorfer Kreises am 26./27. November 2009 in Stralsund
Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten
ask datenschutz, 20.09.2011
Aufatmen bei Webseitenbetreibern — Google Analytics datenschutzkonform beanstandungsfrei einsetzbar
Piwik
Open source web analytics
ask datenschutz, 08.05.2012
ULD gibt Hinweise und Empfehlungen zum Einsatz des Webanalyse-Tools PIWIK
ein Kommentar
Kommentieren
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Wer trotz der aktuellen Diskussion Google Analytics weiterhin einsetzen möchte, kann den datenschutzkonformen Einbau von Google Analytics auf seiner Seite unter http://www.analytics-datenschutz.de kostenlos online prüfen.