Düsseldorfer Kreis – Online.Spiele.Recht

Datenschutz bei Google Play Store Apps: Jetzt handeln!

Konstantin Ewald — Wed, 15 Feb 2017 09:30:15 +0000

Google geht derzeit gegen Apps vor, die gegen die Richtlinien zu Nutzerdaten des Play Store verstoßen. Wie The Next Web berichtet, soll in den meisten Fällen die erforderliche Datenschutzerklärung (Privacy Policy) fehlen. Entwickler sind aufgefordert, die Verstöße bis zum 15. März 2017 zu beheben. Anderenfalls kündigt das Unternehmen an, die Sichtbarkeit der Apps im Store einzuschränken oder sie ganz aus dem Play Store zu entfernen.

Was konkret zu tun ist sowie was Entwickler und Anbieter bei Apps grundsätzlich beachten müssen, wollen wir im Folgenden erläutern. Auch unabhängig von diesem Anlass ist Datenschutz bei Apps ein Thema, welches häufig für viel Unsicherheit sorgt.

Was ist eine „Privacy Policy“ im deutschen Recht und wann braucht man sie?

Apps greifen regelmäßig auf eine Vielzahl personenbezogener Daten zu, darunter die Werbe-ID des Gerätes, Standortinformationen, Adressbuchdaten, Kalendereinträge, Kontodaten oder Fotos. Über die Erhebung, Verarbeitung und Übertragung solcher Daten müssen Anbieter transparent informieren. Eine Privacy Policy – im deutschen Recht „Datenschutzerklärung“ – ist dabei in der Regel nicht nur rechtlich verpflichtend, sie ist auch aus Vertrauensgründen empfehlenswert.

Über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung von Daten außerhalb der EU bzw. des EWR müssen Anbieter zu Beginn des Nutzungsvorgangs in allgemein verständlicher Form unterrichten. Diese Verpflichtung ergibt sich aus § 13 Abs. 1 TMG.

Ausgenommen von der Verpflichtung sind reine „Offline-Apps“, da sie keine personenbezogenen Daten erheben und verwenden. Für Telekommunikationsdienste wie Messenger und Apps, die ausschließlich Rundfunkangebote verbreiten, gelten zudem einige Besonderheiten. Bei Apps, die keine personenbezogenen Daten verarbeiten, empfehlen wir, einen entsprechenden Hinweis in die App-Beschreibung aufzunehmen.

Was muss nach dem Telemediengesetz in der Erklärung stehen?

Die Datenschutzerklärung soll Nutzer detailliert darüber unterrichten, wozu der Anbieter die erhobenen Daten benötigt und wie er mit ihnen umgeht. Insbesondere ist es wichtig zu erklären, wieso eine App spezielle Berechtigungen verlangt wie den Zugriff auf das Adressbuch oder den Standort. Daher reicht es im Normalfall auch nicht aus, schlicht auf die Datenschutzerklärung der eigenen Webseite zu verlinken.

Die Information des Nutzers muss vor der ersten Datenerhebung erfolgen. In der App muss sie zudem jederzeit erreichbar sein. In der Datenschutzerklärung sollten dabei folgende Punkte enthalten sein:

Namentliche Bezeichnung der verantwortlichen Stelle mit Adresse und Kontaktinformationen
Beschreibung der Daten, die von der App erhoben werden, einschließlich der Standortdaten (und deren Granularität)
Beschreibung der Gerätefunktionen oder Sensoren, auf welche die App zugreift
Erläuterung der Zwecke, zu denen diese Daten erhoben werden
Bezeichnung der Dritten, an die Nutzerdaten übermittelt werden
Zweck der Übermittlung an Dritte
Beschreibung der Steuerungsmöglichkeiten des Endnutzers in Bezug auf die Erhebung, Nutzung und Verarbeitung seiner Daten
Ggfs. kurze Erläuterung, welche Auswirkungen die Verweigerung der Einwilligung für die Nutzung der App bzw. bestimmter Funktionen hat
Informationen über eine Verarbeitung der Daten außerhalb des EWR und ggfs. über die ergriffenen Schutzmaßnahmen (z.B. Standardvertragsklauseln, etc.)

Achtung: Neben einer Datenschutzerklärung ist auch bei Apps ein vollständiges Impressum erforderlich.

Tracking und Social Plugins

Bei der beliebten Nutzung von Tracking-Lösungen wie Google Analytics in Apps ist auf eine datenschutzkonforme Einbindung zu achten. Die Voraussetzungen entsprechen denen der Einbindung auf Webseiten: IP-Adressen dürfen nur anonymisiert erhoben werden, der Anbieter muss einen Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen haben, und die Datenschutzerklärung muss auf die Verwendung hinweisen.

Häufig übersehen wird dabei, dass die Möglichkeit des „Opt-Out“ auch in der App gegeben sein muss. Best-Practice ist es, die Möglichkeit unmittelbar in den Einstellungen der App anzubieten. Ein entsprechender Link sollte zudem in der Datenschutzerklärung enthalten sein.

Datenschutzrechtlich umstritten ist der Einsatz von Social Plugins wie Like- oder Tweet-Buttons. Neben dem obligatorischen Hinweis in der Datenschutzerklärung empfehlen wir beim Einsatz solcher Buttons eine Wrapper-Lösung wie das c’t-Projekt Shariff einzusetzen.

Anforderungen der App Stores – was ist zu beachten?

Bei Android-Apps, die über den Google Play Store vertrieben werden, verlangt Google, die Datenschutzerklärung sowohl im entsprechenden Bereich der Play Developer Console als auch in der App selbst bereit zu stellen. Dies entspricht der deutschen Rechtslage. Ebenso ist eine Voraussetzung, dass Apps Nutzerdaten nur verschlüsselt übertragen (HTTPS). Wichtig ist vor allem der transparente Umgang mit Nutzerdaten:

Wenn Ihre App personenbezogene oder vertrauliche Nutzerdaten in einer Art und Weise erfasst und überträgt, die im Eintrag der App auf Google Play oder in der Benutzeroberfläche der App nicht klar und deutlich beschrieben ist, muss vor der Erfassung und Übertragung klar und deutlich darauf hingewiesen werden, wie die Nutzerdaten verwendet werden, und der Nutzer muss dieser Verwendung aktiv zustimmen.

Zusätzliche Voraussetzungen stellt Google auf für Apps, die

Finanz- oder Zahlungsinformationen oder amtlichen Identifikationsnummern verarbeiten,
nicht öffentliche Telefonbuch- oder Kontaktdaten verarbeiten, oder
Virenschutz- oder Sicherheitsfunktionen wie Antiviren-, Anti-Malware- oder sicherheitsbezogene Funktionen enthalten.

Bei Apple finden sich die entsprechende Regelungen im Developer Program License Agreement sowie den App Store Review Guidelines. Auch diese verlangen, dass Nutzer transparent über Datenerhebungen und -verwendungen informiert werden. Registrierungspflichten sollen Apps zudem möglichst vermeiden, sofern eine Nutzung auch ohne Login möglich ist.

Als weitergehende Orientierung: Empfehlungen des Düsseldorfer Kreises

Eine Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter hat der sogenannte „Düsseldorfer Kreis“ bereits 2014 veröffentlicht. Auf 33 Seiten hat das Gremium deutscher Datenschutzaufsichtsbehörden zusammengefasst, was bei der Entwicklung von Apps ihrer Ansicht nach zu beachten ist.

Die Lektüre empfiehlt sich, da Mitbewerber abmahnen und Verstöße mit Bußgeldern von bis zu EUR 300.000,00 geahndet werden können. Mit Inkrafttreten der DSGVO werden diese Anforderungen noch einmal strenger. Die wichtigsten Punkte haben wir im Blog bereits zusammengefasst. Neben den Voraussetzungen an Datenschutzerklärungen und -einwilligungen, beschreibt die Orientierungshilfe auch eine Reihe technischer Schutzmaßnahmen, die bei der Entwicklung zu beachten sind.

Ausführliche Informationen zu Datenschutz bei Apps finden sich zudem im entsprechenden Kapitel des Buches „Apps und Recht“.

App-Anbieter aufgepasst! Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe

Konstantin Ewald — Thu, 10 Jul 2014 05:04:01 +0000

Der Düsseldorfer Kreis – das gemeinsame Gremium der deutschen Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich – hat nun endlich die lang erwartete „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“ veröffentlicht.

Auf überschaubaren 33 Seiten definieren die Behörden die rechtlichen Anforderungen an Apps und befassen sich auch mit den technischen Rahmenbedingungen. Überraschungen gibt es eigentlich keine. Gelesen haben sollte man sie allerdings trotzdem, immerhin liegt zum ersten Mal eine abgestimmte Zusammenfassung der datenschutzrechtlichen Spielregeln vor, die App-Anbieter nach Ansicht der Aufsichtsbehörden zu beachten haben. Und diese Spielregeln sollte man gut verinnerlichen, denn die deutschen Datenschutzbehörden werden ab sofort gegen Anbieter vorgehen, deren Apps den Anforderungen des Datenschutzrechts nicht genügen, machte der Leiter der federführenden bayerischen Aufsichtsbehörde bei der Vorstellung des Papiers unmissverständlich klar. Bisher haben die deutschen Datenschutzbehörden zwar auch Apps danach untersucht, ob sie den datenschutzrechtlichen Anforderungen genügen. Verstöße wurden jedoch nur in geringem Umfang geahndet. Häufiger Kritikpunkt war dabei die mangelnde Transparenz für die Nutzer darüber, welche Daten über die App gesammelt werden, auf welche Daten Zugriff besteht, wie die Daten verarbeitet und für welche Zwecke die Daten genutzt werden. Die Missachtung der neuen Orientierungshilfe kann mit Bußgeldern bis zu EUR 300.000,00 geahndet werden, oftmals in Verbindung mit einem erheblichen Imageschaden. Der bislang herrschende „Waffenstillstand“ ist damit vorbei!

Zusammengefasst und neben vielen anderen Punkten verlangen die Datenschutzbehörden in der Orientierungshilfe vor allem Folgendes:

Bereits in der Entwicklungsphase ist sicherzustellen, dass nur solche Daten erhoben und verarbeitet werden, die für die Nutzung der App tatsächlich erforderlich sind. Nutzer müssen über die Art, den Umfang und den Zweck der Erhebung, Verarbeitung und Nutzung ihrer persönlichen Daten in verständlicher Weise informiert werden. Es bedarf daher einer app-spezifischen Datenschutzerklärung.

Die Datenschutzerklärung soll bereits auf der Produktseite in dem jeweiligen App-Store verlinkt sein, damit der Nutzer sie vor dem Download zur Kenntnis nehmen kann. Es reicht nicht aus, die Datenschutzerklärung von einem ähnlichen Web-Dienst oder einer Website zu verwenden. Die Datenschutzerklärung muss die Datenerhebung und -nutzung durch die App spezifisch erläutern. So muss bspw. die Datenerhebung mittels der verschiedenen Sensoren des mobilen Endgeräts, wie der Kamera, des Mikrophons, etc. oder der Einsatz mobiler Tracking-Technologien offengelegt werden.

Zudem muss die Datenschutzerklärung auch in die App integriert werden und von dort aus leicht zugänglich sein. Gleiches gilt für die Kontaktinformationen des Anbieters. Die Orientierungshilfe beinhaltet nützliche Vorgaben, auf welche Weise die wirksame Einwilligung der Nutzer eingeholt werden kann – ein in der Praxis sehr relevantes Thema. Ein Leitmotiv des Papiers ist „Privacy by Design“, also die Pflicht der App-Anbieter, bereits von Anfang an die datenschutzrechtlichen Anforderungen im Rahmen der Entwicklung ihrer App zu beachten und designtechnisch einzufügen.

Besondere Anforderungen gelten für Standortdaten, da diese als besonders sensibel angesehen werden. Insoweit verlangt die Orientierungshilfe über die Transparenz hinaus, dass Standorte nur in der unbedingt notwendigen Präzision ermittelt und verwendet werden. Daneben gelten auch für Gesundheits-, Bankkonto- und Minderjährigendaten sowie für ähnlich sensible personenbezogene Daten strengere Regeln. Darüber hinaus beschreibt die Orientierungshilfe auch eine Reihe von technischen Schutzmaßnahmen (auch hier wieder Privacy by Design), einschließlich ausreichender Schutzmechanismen des Server Backends, Verschlüsselungen, sicheren Passwortanforderungen, etc.

Die Datenschutzbehörden sehen primär die die Unternehmen, die die Apps über die App-Stores vertreiben als datenschutzrechtlich verantwortlich an. Folglich richtet sich die Orientierungshilfe primär an die App-Anbieter. Aber auch die darüber hinaus Beteiligten, einschließlich der App-Stores, tragen nach den Datenschutzgesetzen Verantwortung für die Konformität und werden daher von den Datenschutzbehörden ebenfalls adressiert. Jeder, der im Bereich App-Entwicklung bis App-Vermarktung tätig ist sollte daher schnellstmöglich sicherstellen, dass die Apps datenschutzrechtskonform sind – bevor es die Datenschutzbehörden tun.

Update: Eine etwas erweiterte englischsprachige Version dieses Beitrags kann bei unseren Specials heruntergeladen werden.

Wir danken unserer wissenschaftlichen Mitarbeiterin Leonie Schneider für die Mitarbeit an diesem Artikel.

Rechtsklarheit für Social Plugins? – Neuer Beschluss des Düsseldorfer Kreises

Tim Maiorino — Mon, 19 Dec 2011 18:45:50 +0000

Der Düsseldorfer Kreis, das gemeinsame Gremium der Datenschutzbeauftragten, hat sich Anfang Dezember mit Social Networks befasst. In ihrem Beschluss nehmen die Datenschützer auch Stellung zu Social Plugins, wie dem Facebook Like-Button.

Wörtlich heißt es:

„Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.“

(Hervorhebung nicht im Original)

OPT-OUT als Lösung?

Die Formulierung klingt zunächst interessant. Denn schon seit Monaten verteidigt das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) vehement die Position, dass für den Einsatz von Social Plugins eine ausdrückliche vorherige Einwilligung des Nutzers erforderlich ist. Selbst das von Heise entwickelte 2-Klick-Lösung solle diesem Erfordernis nicht genügen, da sich die Profilbildung bei Facebook nicht deart verhindern lasse, wenn man den Plugin nutzen möchte. Zudem setzte eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlege, was es mit den Nutzerdaten mache, fehle es – laut dem ULD – weiterhin an der nötigen Information. Dagegen klingt die Formulierung des Düsseldorfer Kreises auf den ersten Blick vielmehr nach einem Opt-Out-Verfahren: Der Nutzer müsse hinreichend informiert werden und die Möglichkeit erhalten, die Datenübertragung zu unterbinden.

Einwilligung erfoderlich!

Allerdings ergänzt der Düsseldorfer Kreis diese Aussage bereits wenige Absätze später:

„In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Datendurch den Netzwerkbetreiber gegeben werden können.“

(Hervorhebung nicht im Original)

Anders als oben noch suggeriert, solle es daher gerade nicht reichen, dem Nutzer die Möglichkeit zu geben, „die Datenübertragung zu unterbinden“. Vielmehr müsse schon – ganz auf der Linie des ULD – vorab eine Einwilligung eingeholt werden.

Verantwortlichkeit des Fan-Seiten-Betreibers

Darüber hinaus stellt das Gremium fest, dass die Betreiber von Webseiten eine „eigene Verantwortung“ über die Daten der Nutzer haben. Gemeint ist damit einer der entscheidenden Streitpunkte um Social Plugins. Denn die eigentliche Datenübertragung findet nur zwischen dem Nutzer und dem jeweiligen Social Network statt. Der Webseitenbetreiber, der die Social Plugins einsetzt, steht lediglich als Vermittler dazwischen. Wie diese Situation datenschutzrechtlich einzuordnen ist, ist höchst umstritten. Der Düsseldorfer Kreis stellt dazu fest:

„Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.“

(Hervorhebung nicht im Original)

Die Datenschutzbehörden gehen also davon aus, dass der Webseitenbetreiber dafür haftet, wenn ein Social Network beim Nutzer Daten erhebt. Woraus genau sich diese Haftung ergeben und wie sie genau aussehen soll, bleibt indes offen. Eine ausführlichere Begründung wäre wünschenswert gewesen, um Klarheit und Rechtssicherheit in den Streit um Social Plugins zu bringen.

Fazit

Auch der Düsseldorfer Kreis vertritt offensichtlich die Auffasung des ULD und lässt Social Plugins nur dann zu, wenn der Nutzer vorab ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat. Trotz alledem ist auch Thilo Weichert, der Leiter des ULD, der Auffassung, dass Rechtsklarheit für die Zulässigkeit von Social Pluings faktisch nur durch die Gerichte hergestellt werden könne:

„Wir brauchen schnell Rechtsklarheit, die in dieser grundlegenden Frage nur Gerichte herstellen können. Es ist unseres Erachtens nicht tolerierbar, dass deutsche Webseitenbetreiber dadurch Wettbewerbsnachteile erleiden, dass sie sich an den Datenschutz halten – gegenüber solchen, die rechtswidrige US-Dienste in Anspruch nehmen.“

Daher weist das ULD nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion auf seiner Website darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen werde:

„Derartige Anwendungen verstoßen gegen den Datenschutz. Das ULD bleibt aber weiterhin den Prinzipien der Opportunität und Verhältnismäßigkeit verpflichtet.“

Herzlichen Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für die Mitarbeit an diesem Beitrag!

Wendung bei Google Analytics – „beanstandungsfrei“ einsetzbar – irgendwie jedenfalls

Dr. Marc Störing — Tue, 27 Sep 2011 13:37:36 +0000

Die weit über zweijährige Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics ist beendet und erinnert an das Hornberger Schießen. „Beanstandungsfrei“ können Webseitenbetreiber den Dienst einsetzen, wenn sie ein bestimmtes Verfahren beachten. Das ist das Ergebnis langer Gespräche des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises mit dem Dienstanbieter Google.

Die Kurzform dessen, was zu tun ist: Man nehme eine neue Zeile Code, lösche Daten und tausche vor allem einen Haufen Papier aus. Fertig ist der „beanstandungsfreie Betrieb“. Oder noch kürzer: Es wird kompliziert, aber nicht sinnvoll.

Anforderungen an einen beanstandungsfreien Betrieb

Wichtig ist, dass der Dienst keinesfalls nun per se bedenkenlos eingesetzt werden kann. Vielmehr ist ein kompliziert anmutendes Procedere vorab erforderlich.

Webseitenbetreiber, die Google Analytics einsetzen wollen, müssen mit Google Inc. einen Vertrag schriftlich (also mit Unterschrift auf Papier) abschließen. Dieser Vertrag beinhaltet im Kern folgende Punkte:

Webseitenbetreiber klären Nutzer ihrer Websites in einer Datenschutzerklärung über die Verarbeitung personenbezogener Daten durch Google Analytics auf und weisen auf eine Widerspruchsmöglichkeit hin. Den Widerspruch gegen die Erfassung personenbezogener Daten kann der Nutzer durch Betätigung eines Deaktivierungs-Add-On erklären.
Webseitenbetreiber können durch Aktivierung der IP-Masken-Funktion die nachträgliche Identifizierung des Nutzers ausschließen. Die Funktion verhindert die standardmäßige Verwendung der vollen IP-Adresse der Nutzer bei Analyseerstellung, indem sie den letzten Bestandteil der IP-Adresse des jeweiligen Besuchers vor Verwendung und Speicherung entfernt.
Webseitenbetreiber müssen die vorformulierte Datenschutzerklärung verwenden, welche auf die Kürzung der IP-Adresse hinweist. Die Anonymisierung ist auf den Geltungsbereich der EU oder anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum beschränkt. Nur in Ausnahmefällen erfolgt die Übertragung der vollen IP-Adresse an Google in den USA.
Webseitenbetreiber gelten beim Umgang mit den Daten der Seitenbesucher als Auftraggeber und Google als Auftragsdatenverarbeiter im Sinne des BDSG (dazu im Folgenden mehr).

Bedeutung für Webseitenbetreiber

Durch die Unterzeichnung des Vertragstextes erteilen die Webseitenbetreiber also einen Auftrag zur Datenverarbeitung nach § 11 BDSG. Aber was bedeutet das eigentlich für sie?

Wichtigste Folge ist die fortgesetzte Pflicht des Auftraggebers, also des Webseitenbetreibers, den Auftragnehmer, also Google, regelmäßig auf die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überprüfen. Die Ergebnisse dieser Überprüfung muss der Webseitenbetreiber auch dokumentieren.

Die Idee mutet merkwürdig an, aber tatsächlich hat sich die Google, Inc. nun von jedem Seitenbetreiber, der Google Analytics einsetzt, regelmäßig überprüfen zu lassen. Google hat sich dazu ein Verfahren ausgedacht, wonach der Webseitenbetreiber vorformulierte schriftliche Ausführungen von einem Wirtschaftsprüfer erhält.

Webseitenanbieter sichern mit Vertragsschluss Google zu, die Google Analytics Nutzungsbedingungen einzuhalten. Wie sie u.a. der Bedingung nachkommen, die aus Analytics erhobenen Daten getrennt von anderen personenbezogenen Daten bereitzuhalten, bleibt allerdings ihrem eigenen technischen Know-how überlassen. Besonders vor dem Hintergrund, dass Webseitenbetreiber durch die Vertragsunterzeichnung eine Haftungsübernahme für sämtliche Schäden durch eine vertrags- bzw. gesetzeswidrige Nutzung der Daten erklären, ist den Webseitenbetreibern daher eine gewissenhafte und erfindungsreiche Befolgung der Nutzungsbedingungen anzuraten.

Schließlich nimmt sich Google das Recht heraus, die derzeit kostenlose Nutzung des Dienstes, von „Zeit zu Zeit“ einseitig ändern zu dürfen. Ratsam ist es daher, von „Zeit zu Zeit“ auch die Webseite http://www.google.com/analytics auf eine Änderung der Zahlungsbedingungen zu checken. Ein fortgesetzter Gebrauch des Dienstes durch den Webseitenbetreiber nach einer Bekanntgabe neuer Zahlungsmodalitäten auf der Webseite gilt nämlich als Annahme der Änderungen.

Fazit

Google Analytics ist nutzbar. Irgendwie, und jedenfalls nicht einfach so, sondern mit einem irritierenden Aufwand.

Die nun behördlich abgesegnete Lösung mutet deshalb seltsam an. Sowohl Webseitenbetreiber als auch Google selbst müssen sich nun durch einen ritualisierten Austausch von immer gleichen Verträgen und Prüfberichten in Papierform quälen.

Gerade diese Schriftform ist ein typischer Datenschutzanachronismus. Das Verfahren mutet also bloße Förmelei an, in der als konstruktiver Ansatz bestenfalls die Errichtung einer gewissen Hemmschwelle für die Webseitenbetreiber gesehen werden kann.

Weder der Datenschutz, noch die Webseitenbetreiber, noch Google selbst dürften über die Lösung jubeln. Allenfalls für Datenschutzexperten ist schließlich der Weg über eine sog. Auftragsdatenverarbeitung mit einem in den USA beheimateten Unternehmen interessant. Denn zwar kann ein solcher Vertrag durchaus weltweit abgeschlossen werden. Aber die typischerweise mit dem Vertragsschluss bezweckte Regelung der Verantwortlichkeit ist nur innerhalb von EU / EWR sinnvoll.

Herzlichen Dank an unsere wissenschaftliche Mitarbeiterin Alexandra Heliosch für die Mitarbeit an diesem Beitrag!

Google Analytics bleibt ein No-Go

Dr. Marc Störing — Mon, 29 Mar 2010 17:34:57 +0000

Wieder einmal steht Google mit seinem für Webseitenbetreiber kostenlos einsetzbaren Analysedienst in den Schlagzeilen. Denn der Suchmaschinen-Primus hat ein globales Browser-Plugin angekündigt, mit dem Surfer zukünftig Google Analytics deaktivieren können. Dies darf jedoch nicht darüber hinwegtäuschen, dass der Dienst auch dann aufgrund klarer Verstöße gegen das Datenschutzrecht in Deutschland weiter nicht eingesetzt werden darf.

Google Analytics ist mit deutschem Datenschutzrecht unvereinbar. Darauf hat sich jüngst der sogenannte Düsseldorfer Kreis, die informelle Vereinigung der obersten Datenschutz-Aufsichtsbehörden, verständigt. Denn der bei Webseitenbetreibern immer noch beliebte Dienst sammelt und verarbeitet IP-Adressen und andere personenbezogene Daten ohne das erforderliche Einverständnis der Nutzer. Noch dazu übermittelt der Dienst diese Daten in die USA; ein Land, in dem die Userdaten praktisch ungeschützt sind. Die jetzt bekannt gewordenen Pläne von Google, den Dienst für Besucher individuell abschaltbar zu machen, ändern an dieser rechtlichen Bewertung nichts.

Viele Spieleanbieter setzen dennoch weiterhin Google Analytics ein. Und riskieren damit ein Bußgeld, das theoretisch bis zu 300.000 Euro hoch ausfallen kann. Denn die mit dem Analysedienst verbundenen, mehrfachen Datenschutzverstöße stellen unter dem Bundesdatenschutzgesetz eine Ordnungswidrigkeit dar. Und weil der Gesetzgeber davon ausging, Teile der Wirtschaft zur Räson rufen zu müssen, wurde das Bußgeld zuletzt mehrfach erhöht. Möglicherweise droht darüber hinaus auch eine Abmahnung durch Mitbewerber.

Rechtswidrig ist nicht allein Google Analytics. Verschiedene andere Dienste arbeiten ähnlich und sind damit genauso unzulässig. Der Einsatz solcher Dienste auf der eigenen Internetpräsenz sollte schnellstmöglich abgestellt werden. Dabei ist auch zu bedenken, dass solche, rechtswidrigen Anwendungen auf der eigenen Seite für jedermann erkennbar sind. Und Lösungen in Form von rechtlich zulässigen Diensten existieren ohnehin.