1. Webtracking:Google Analytics und Co. datenschutzkonform umsetzen RA und FA für IT-Recht Stephan Schmidt teclegal Rhein-Main Rechtsanwälte, Mainz

2. 11.05.2011 UpDate! Bundesdatenschutzgesetz 2 Webanalyse-Tools Bildquelle: Webtrekk Whitepaper „Website-Optimierung braucht mehr als Mittelwerte“

3. 11.05.2011 UpDate! Bundesdatenschutzgesetz 3 Webanalyse-Tools Webseitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung das Nutzungsverhalten der Leser Webanalysetools speichern in der Regel IP-Adressen Internetanschluss des Nutzers kann daher theoretisch identifiziert werden Verarbeitung der Daten bei einigen Anbietern in den USA Problem: Haftung des Nutzers des Analyse-Tools (§ 7 BDSG)

4. 11.05.2011 UpDate! Bundesdatenschutzgesetz 4 Historie 23.01.09 – ULD: Datenschutzrechtliche Bewertung des Einsatzes von Google Analytics 20.11.09 – BfDI fordert von Krankenkassen den Verzicht auf Google Analytics 27.11.09 – Beschluss des Düsseldorfer Kreises 05/06.10 – Google bietet Version mit IP-Maskingund JavaScript-Funktion „_anonymizeIp()” an 07.01.11 – Rheinland-Pfälzischer DSB: „Google Analytics nicht datenschutzkonform“ 11.01.11 – Hamburger DSB Caspar droht in der FAZ Unternehmen die Tracking-Software einsetzen mit „empfindlichen Bußgeldern“ – Google dementiert 14.01.11 – Webseite des Hamburger DSB geht offline, weil das Tracking-Tool der IVW genutzt wurde 15.03.11 – ULD empfiehlt Piwik als Analysetool

5. 11.05.2011 UpDate! Bundesdatenschutzgesetz 5 Grenzen des TMG (I) Erhebung und Verwendung personenbezogener Daten ist nur in den Grenzen des § 12 Absatz 1 TMGerlaubt Keine Erhebung personenbezogener Daten eines Nutzers ohne Einwilligung, wenn dies nicht für die Inanspruchnahme von Telemedien oder deren Abrechnung nötig ist Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen mangels anderweitiger gesetzlicher Grundlage nur mit bewusster, eindeutiger Einwilligung zulässig Einwilligung müsste vor „Betreten der Webseite“ erfolgen  in der Praxis nicht umsetzbar

6. 11.05.2011 UpDate! Bundesdatenschutzgesetz 6 Grenzen des TMG (II) § 15 Absatz 3 TMG erlaubt die Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Telemedien Pseudonymisierung liegt nur dann vor, wenn die IP-Adresse von den übrigen Daten getrennt gespeichert wird, und so die Bestimmung der betroffenen Personen zumindest wesentlich erschwert wäre (§ 3 Abs.6a BDSG). Nutzer muss widersprechen können und auf dieses Recht (in der Datenschutzerklärung) hingewiesen werden

7. 11.05.2011 UpDate! Bundesdatenschutzgesetz 7 Grenzen des TMG (III) Widersprüche müssen auch tatsächlich umgesetzt werden Profile dürfen nicht mit dem Träger des Pseudonyms zusammengeführt werden (§ 13 Absatz 4 Nr. 6 TMG) pseudonymisierte Nutzungsdaten sind zu löschen, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt

8. 11.05.2011 UpDate! Bundesdatenschutzgesetz 8 IP-Adresse als personenbezogenes Datum (I) Sind dynamische IP-Adressen aus Sicht des Webseitenbetreibers personenbezogene Daten? Pro: bei Übermittlung an Dritte, können diese durch eigene Zusammenführung Rückschlüsse auf bestimmbare Personen ziehen BDSG – mittelbare Zuordenbarkeit ausreichend Contra: BMI und BSI OLG Hamburg- Beschluss vom 03.11.2010 - 5 W 126/10 IP-Adresse kein personenbezogenes Datum - Herstellung des Personenbezugs erfordert nämlich weitere Daten Normaler Webseitenbetreiber verfügt nicht über diese Daten

9. 11.05.2011 UpDate! Bundesdatenschutzgesetz 9 IP-Adresse als personenbezogenes Datum (II) ABER: Art. 2 lit. a der RL 95/46/EG indirekte Identifizierbarkeit ist ausreichend und gem. Erwägungsgrund 26 sind alle Mittel zu berücksichtigen, die vernünftigerweise von einem Dritten eingesetzt werden könnten  Tatbestandsvoraussetzungen für die Erhebung der vollständigen IP-Adresse liegen regelmäßig nicht vor

10. 11.05.2011 UpDate! Bundesdatenschutzgesetz 10 Anforderungen aus § 11 BDSG Bei der Nutzung von Analysetool-Anbietern liegt Auftragsdatenverarbeitung vor Seit der 2. BDSG-Novelle stellt § 11 BDSG zehn inhaltliche Anforderungen an entsprechende Verträge Wenn kein Individualvertrag vorhanden ist, müssen die gesetzlichen Vorgaben durch AGB des Anbieters erfüllt werden Bußgelder bis zu 50.000 Euro möglich

11. 11.05.2011 UpDate! Bundesdatenschutzgesetz 11 Beschluss des Düsseldorfer Kreises vom 26.11.09 Hinweispflicht nachkommen Nur Nutzungsprofile mit Pseudonymen sind erlaubt Widerspruchsmöglichkeit muss eingeräumt und technisch umgesetzt werden IP-Adressen dürfen nicht verarbeitet oder gespeichert werden Daten müssen strikt getrennt aufbewahrt werden Vorgaben der Auftragsdatenverarbeitung beachten

12. 11.05.2011 UpDate! Bundesdatenschutzgesetz 12 Lösungen Verkürzung der IP-Adressen Verbot der Zusammenführung mit technischen und organisatorischen Maßnahmen durchsetzen Ausgestaltung von Cookies Umfassende Information der Nutzer über Widerspruchsrecht Opt-Out-Lösung zur Umsetzung von Widersprüchen Begrenzung der Lebensdauer von Cookies (ULD: 7 Tage) Verfahrensverzeichnis des Dienstleisters anfordern Vertrag zur Auftragsdatenverarbeitung abschließen

13. 11.05.2011 UpDate! Bundesdatenschutzgesetz 13 Muster für Opt-Out-Lösung „Wenn Sie vermeiden wollen, dass bei Ihrem Besuch unserer Webseite Daten erhoben werden, können Sie von uns einen „Opt-Out-Cookie“ erhalten. Klicken Sie dafür auf das Feld (oder den Link) „Opt-Out-Cookie erhalten. Es werden dann keine Daten Ihres Besuchs mehr gespeichert.“ Bereitstellung der Opt-Out-Lösung in der Datenschutzerklärung derzeit wohl ausreichend

14. 11.05.2011 UpDate! Bundesdatenschutzgesetz 14 Google Analytics Derzeit nicht datenschutzkonform nutzbar IP-Adresse wird erst nach der Übermittlung in die USA anonymisiert Plugin nicht für alle Browser verfügbar (nicht für Safari und Opera) Keine endgültige Löschung der Rohdaten möglich Mindestanforderungen “_anonymizeIp()” im Analytics-Code nutzen im IP-Adresse zu verkürzen Datenschutzerklärung anpassen Roadmap sieht Lösung bis zum 30.06.2011 vor

15. 11.05.2011 UpDate! Bundesdatenschutzgesetz 15 Datenschutzkonforme Tools Webanalyse-Anbieter (teilweise sind bestimmte Einstellungen und der Abschluss von Verträgen nach § 11 BDSG notwendig) Econda Site Monitor – www.econda.de Omniture (Adobe) – http://www.omniture.com/de/ (a.A. Xamit) WiredMinds – www.wiredminds.de Stats4free.de – www.stats4free.de Analytics 10 – www.webtrends.com Q3 – www.webtrekk.de eTracker – www.etracker.com Tools zum Einsatz auf dem eigenen Server Piwik – de.piwik.org (Nachfolger von phpMyVisites) Statify - playground.ebiene.de/2661/statify-wordpress-statistik/

17. 11.05.2011 UpDate! Bundesdatenschutzgesetz 17 Fragen? Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460Telefax: +49 - (0) 6131 - 302 90 466 E-Mail: schmidt@teclegal-rheinmain.deInternet: www.teclegal-rheinmain.de