Informationen zum Datenschutz I Februar 2016 Analyse des Nutzerverhaltens auf Homepages Viele Unternehmen setzen auf ihren Internetseiten Software zur Analyse des Nutzerverhaltens ein. Mit Software wie Google Analytics oder Piwik lässt sich ermitteln, wie die jeweiligen Internetseiten von den einzelnen Besuchern genutzt werden. Es wird dabei unter anderem untersucht, welche Internetseite zuvor besucht wurde und - sofern eine Suchmaschine verwendet wurde - nach welchem Stichwort der Besucher gesucht hat. Außerdem wird erfasst, wie lange ein Besucher auf der Internetseite bleibt (Verweildauer) und was ihn dort besonders interessiert. Anhand dieser Daten können Unternehmen wertvolle Informationen über den Erfolg ihrer Online-Werbekampagnen gewinnen und ihren Internetauftritt entsprechend der Wünsche der Besucher weiter optimieren. Dem Interesse der Unternehmen zur Optimierung der eigenen Internetseiten steht jedoch das Interesse der Kunden am Schutz ihrer Privatsphäre gegenüber. Eine umfangreiche Analyse des Surfverhaltens stellt einen Eingriff in das allgemeine Persönlichkeitsrecht der Internetnutzer dar, da diese – teilweise ohne ihr Wissen – beobachtet werden und ihr Verhalten ausgewertet wird. Wie kann das Nutzerverhalten rechtskonform analysiert werden? Die Frage, ob eine Analyse des Nutzerverhaltens rechtmäßig erfolgt, hängt entscheidend davon ab, welcher Dienst zur Erhebung der Nutzerdaten verwendet wird. Die Nutzung von Google Analytics, der meistgenutzten Analysesoftware weltweit, wird von den deutschen Aufsichtsbehörden an verschiedene Voraussetzungen geknüpft. Zum einen muss vor der Verwendung von Google Analytics eine Vereinbarung zur Auftragsdatenverarbeitung mit der Google Ireland Ltd., dem europäischen Hauptsitz des Unternehmens, geschlossen werden. Ein entsprechender Standardvertrag, den die deutschen Aufsichtsbehörden mit Google abgestimmt haben, kann auf der Homepage von Google heruntergeladen werden. In diesem Vertrag ist unter www.brandi.net anderem geregelt, zu welchen Zwecken Google die gewonnenen Daten nutzen darf und wie die Daten vor einer unbefugten Nutzung geschützt werden. Wenn die vorbereitete Vereinbarung entsprechend den Erläuterungen an Google versandt wird, unterzeichnet Google die Vereinbarung und sendet ein unterschriebenes Exemplar zur eigenen Absicherung zurück. Zum anderen verlangen die Aufsichtsbehörden eine Anonymisierung der IP-Adressen der Website-Besucher. Durch eine Kürzung der IP-Adressen um die letzten 8 Bit (sog. „IP-Masking“) vor der Speicherung soll verhindert werden, dass Google die Nutzerdaten zur Erstellung umfangreicher Nutzerprofile verwenden kann. Muss auf den Einsatz von Google Analytics hingewiesen werden? Eine Verwendung von Google Analytics erfolgt nur dann rechtmäßig, wenn die Nutzer auf der Homepage über den Einsatz von Google Analytics aufgeklärt werden. Im Rahmen der Aufklärung haben Hinweise darauf zu erfolgen, welche Daten erhoben werden und dass Teile der Daten auch in die USA übertragen werden. Üblicherweise finden sich in diesem Zusammenhang auch Hinweise auf die Kürzung der IP-Adressen. Jedenfalls erforderlich ist zudem eine Belehrung über das Widerspruchsrecht des Website-Nutzers. Die Nutzer können ein solches Widerspruchsrecht durch die Installation eines Opt-Out-Cookies oder eines Browser-Plugins ausüben. Diese Hinweise sollten von dem Betreiber der Internetseite in die Datenschutzerklärung aufgenommen werden. Welche Alternativen zu Google Analytics gibt es? Es gibt neben Google Analytics noch einige andere Produkte, die eine Analyse des Nutzerverhaltens der WebsiteBesucher erlauben. Abhängig von der Ausgestaltung sind Informationen zum Datenschutz I Februar 2016 teilweise nicht alle Anforderungen an Google Analytics auf diese Konkurrenzprodukte übertragbar. Bei der Verwendung von Piwik wird zum Beispiel teilweise keine Vereinbarung zur Auftragsdatenverarbeitung benötigt, da die Software auf den eigenen Rechnersystemen betrieben werden kann und somit dann keine Datenübermittlung an Dritte erfolgt. Vielfach werden derartige Lösungen als datenschutzrechtlich unproblematisch angesehen, weil kein externer Dienstleister zwischengeschaltet ist. Eine Anonymisierung der IP-Adressen der WebsiteBesucher ist jedoch in jedem Fall erforderlich. Selbiges gilt für die Belehrung über das Widerspruchsrecht. Welche Sanktionen drohen bei unzureichenden Maßnahmen? Die Aufsichtsbehörden können anlassbezogen oder anlasslos in Form von Stichproben eine Prüfung der Einhaltung des Datenschutzes in einem Unternehmen veranlassen. Diese Prüfung umfasst auch die Datenerhebung durch Analysetools auf der Homepage des Unternehmens. Konkret drohen Bußgelder bis zu 50.000 Euro bei Nichteinhaltung der vorgeschriebenen Maßnahmen. Zumindest aktuell ist uns jedoch nicht bekannt, dass derartig hohe Bußgelder von den Aufsichtsbehörden tatsächlich verhängt worden sind. Einzelne Aufsichtsbehörden haben aber bereits stichprobenartig abgefragt und geprüft, inwieweit Systeme zur Analyse des Nutzerverhaltens zum Einsatz kommen. Wie im letzten Monat berichtet, wurde Anfang Dezember außerdem ein neues Verbandsklagerecht für Verbraucherverbände in Datenschutzfragen beschlossen. Oblag es bisher in erster Linie den zuständigen Aufsichtsbehörden, die Durchsetzung des Datenschutzes mit Sanktionen zu belegen, drohen nun außerdem Klagen und Abmahnungen von Verbraucherverbänden. Zudem besteht das Risiko, dass Unternehmen bezüglich der rechtswidrigen Verwendung von Analysesoftware von Wettbewerbern abgemahnt werden. Da die Anforderungen an eine datenschutzrechtskonforme Erhebung von Nutzerdaten durch die Aufsichtsbehörden bereits 2013 eindeutig beschrieben wurden, kann sich ein Unternehmen im Falle einer Abmahnung auch nicht mehr glaubhaft auf die Unkenntnis der Anforderungen berufen. Es gilt schließlich zu beachten, dass nach Ansicht der Aufsichtsbehörden auch die Aufbewahrung von rechtswidrig erstellten Altdaten, also Daten die zum Beispiel ohne Kürzung der IP-Adresse gesammelt wurden, sanktioniert werden kann. Entsprechende Datensätze sollten deswegen unbedingt gelöscht werden. Bei Google Analytics ist es insoweit denkbar, dass ein neues Konto angelegt werden muss. Was ist konkret zu veranlassen? Soweit Sie ein Produkt zur Analyse des Nutzerverhaltens auf Ihrer Homepage verwenden, sollten die technischen Einstellungen und Ihre Datenschutzerklärung immer konkret an die www.brandi.net eingesetzte Software angepasst werden. Bei Bedarf unterstützen wir gerne durch Formulierungsvorschläge und mit Tipps zu der Umsetzung der erforderlichen Maßnahmen. Robert Bommel, BRANDI Rechtsanwälte [email protected] Kontakt: BRANDI Rechtsanwälte Partnerschaft mbB Dr. Sebastian Meyer, LL.M. Rechtsanwalt Datenschutzauditor (TÜV) Adenauerplatz 1 33602 Bielefeld Tel.: +49 (0) 521 / 96535 – 812 Fax: +49 (0) 521 / 96535 – 115 Mail: [email protected] Web: www.brandi.net
© Copyright 2024 ExpyDoc
