Google – Online.Spiele.Recht

Datenschutz bei Google Play Store Apps: Jetzt handeln!

Konstantin Ewald — Wed, 15 Feb 2017 09:30:15 +0000

Google geht derzeit gegen Apps vor, die gegen die Richtlinien zu Nutzerdaten des Play Store verstoßen. Wie The Next Web berichtet, soll in den meisten Fällen die erforderliche Datenschutzerklärung (Privacy Policy) fehlen. Entwickler sind aufgefordert, die Verstöße bis zum 15. März 2017 zu beheben. Anderenfalls kündigt das Unternehmen an, die Sichtbarkeit der Apps im Store einzuschränken oder sie ganz aus dem Play Store zu entfernen.

Was konkret zu tun ist sowie was Entwickler und Anbieter bei Apps grundsätzlich beachten müssen, wollen wir im Folgenden erläutern. Auch unabhängig von diesem Anlass ist Datenschutz bei Apps ein Thema, welches häufig für viel Unsicherheit sorgt.

Was ist eine „Privacy Policy“ im deutschen Recht und wann braucht man sie?

Apps greifen regelmäßig auf eine Vielzahl personenbezogener Daten zu, darunter die Werbe-ID des Gerätes, Standortinformationen, Adressbuchdaten, Kalendereinträge, Kontodaten oder Fotos. Über die Erhebung, Verarbeitung und Übertragung solcher Daten müssen Anbieter transparent informieren. Eine Privacy Policy – im deutschen Recht „Datenschutzerklärung“ – ist dabei in der Regel nicht nur rechtlich verpflichtend, sie ist auch aus Vertrauensgründen empfehlenswert.

Über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung von Daten außerhalb der EU bzw. des EWR müssen Anbieter zu Beginn des Nutzungsvorgangs in allgemein verständlicher Form unterrichten. Diese Verpflichtung ergibt sich aus § 13 Abs. 1 TMG.

Ausgenommen von der Verpflichtung sind reine „Offline-Apps“, da sie keine personenbezogenen Daten erheben und verwenden. Für Telekommunikationsdienste wie Messenger und Apps, die ausschließlich Rundfunkangebote verbreiten, gelten zudem einige Besonderheiten. Bei Apps, die keine personenbezogenen Daten verarbeiten, empfehlen wir, einen entsprechenden Hinweis in die App-Beschreibung aufzunehmen.

Was muss nach dem Telemediengesetz in der Erklärung stehen?

Die Datenschutzerklärung soll Nutzer detailliert darüber unterrichten, wozu der Anbieter die erhobenen Daten benötigt und wie er mit ihnen umgeht. Insbesondere ist es wichtig zu erklären, wieso eine App spezielle Berechtigungen verlangt wie den Zugriff auf das Adressbuch oder den Standort. Daher reicht es im Normalfall auch nicht aus, schlicht auf die Datenschutzerklärung der eigenen Webseite zu verlinken.

Die Information des Nutzers muss vor der ersten Datenerhebung erfolgen. In der App muss sie zudem jederzeit erreichbar sein. In der Datenschutzerklärung sollten dabei folgende Punkte enthalten sein:

Namentliche Bezeichnung der verantwortlichen Stelle mit Adresse und Kontaktinformationen
Beschreibung der Daten, die von der App erhoben werden, einschließlich der Standortdaten (und deren Granularität)
Beschreibung der Gerätefunktionen oder Sensoren, auf welche die App zugreift
Erläuterung der Zwecke, zu denen diese Daten erhoben werden
Bezeichnung der Dritten, an die Nutzerdaten übermittelt werden
Zweck der Übermittlung an Dritte
Beschreibung der Steuerungsmöglichkeiten des Endnutzers in Bezug auf die Erhebung, Nutzung und Verarbeitung seiner Daten
Ggfs. kurze Erläuterung, welche Auswirkungen die Verweigerung der Einwilligung für die Nutzung der App bzw. bestimmter Funktionen hat
Informationen über eine Verarbeitung der Daten außerhalb des EWR und ggfs. über die ergriffenen Schutzmaßnahmen (z.B. Standardvertragsklauseln, etc.)

Achtung: Neben einer Datenschutzerklärung ist auch bei Apps ein vollständiges Impressum erforderlich.

Tracking und Social Plugins

Bei der beliebten Nutzung von Tracking-Lösungen wie Google Analytics in Apps ist auf eine datenschutzkonforme Einbindung zu achten. Die Voraussetzungen entsprechen denen der Einbindung auf Webseiten: IP-Adressen dürfen nur anonymisiert erhoben werden, der Anbieter muss einen Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen haben, und die Datenschutzerklärung muss auf die Verwendung hinweisen.

Häufig übersehen wird dabei, dass die Möglichkeit des „Opt-Out“ auch in der App gegeben sein muss. Best-Practice ist es, die Möglichkeit unmittelbar in den Einstellungen der App anzubieten. Ein entsprechender Link sollte zudem in der Datenschutzerklärung enthalten sein.

Datenschutzrechtlich umstritten ist der Einsatz von Social Plugins wie Like- oder Tweet-Buttons. Neben dem obligatorischen Hinweis in der Datenschutzerklärung empfehlen wir beim Einsatz solcher Buttons eine Wrapper-Lösung wie das c’t-Projekt Shariff einzusetzen.

Anforderungen der App Stores – was ist zu beachten?

Bei Android-Apps, die über den Google Play Store vertrieben werden, verlangt Google, die Datenschutzerklärung sowohl im entsprechenden Bereich der Play Developer Console als auch in der App selbst bereit zu stellen. Dies entspricht der deutschen Rechtslage. Ebenso ist eine Voraussetzung, dass Apps Nutzerdaten nur verschlüsselt übertragen (HTTPS). Wichtig ist vor allem der transparente Umgang mit Nutzerdaten:

Wenn Ihre App personenbezogene oder vertrauliche Nutzerdaten in einer Art und Weise erfasst und überträgt, die im Eintrag der App auf Google Play oder in der Benutzeroberfläche der App nicht klar und deutlich beschrieben ist, muss vor der Erfassung und Übertragung klar und deutlich darauf hingewiesen werden, wie die Nutzerdaten verwendet werden, und der Nutzer muss dieser Verwendung aktiv zustimmen.

Zusätzliche Voraussetzungen stellt Google auf für Apps, die

Finanz- oder Zahlungsinformationen oder amtlichen Identifikationsnummern verarbeiten,
nicht öffentliche Telefonbuch- oder Kontaktdaten verarbeiten, oder
Virenschutz- oder Sicherheitsfunktionen wie Antiviren-, Anti-Malware- oder sicherheitsbezogene Funktionen enthalten.

Bei Apple finden sich die entsprechende Regelungen im Developer Program License Agreement sowie den App Store Review Guidelines. Auch diese verlangen, dass Nutzer transparent über Datenerhebungen und -verwendungen informiert werden. Registrierungspflichten sollen Apps zudem möglichst vermeiden, sofern eine Nutzung auch ohne Login möglich ist.

Als weitergehende Orientierung: Empfehlungen des Düsseldorfer Kreises

Eine Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter hat der sogenannte „Düsseldorfer Kreis“ bereits 2014 veröffentlicht. Auf 33 Seiten hat das Gremium deutscher Datenschutzaufsichtsbehörden zusammengefasst, was bei der Entwicklung von Apps ihrer Ansicht nach zu beachten ist.

Die Lektüre empfiehlt sich, da Mitbewerber abmahnen und Verstöße mit Bußgeldern von bis zu EUR 300.000,00 geahndet werden können. Mit Inkrafttreten der DSGVO werden diese Anforderungen noch einmal strenger. Die wichtigsten Punkte haben wir im Blog bereits zusammengefasst. Neben den Voraussetzungen an Datenschutzerklärungen und -einwilligungen, beschreibt die Orientierungshilfe auch eine Reihe technischer Schutzmaßnahmen, die bei der Entwicklung zu beachten sind.

Ausführliche Informationen zu Datenschutz bei Apps finden sich zudem im entsprechenden Kapitel des Buches „Apps und Recht“.

Der neue JMStV und die Zukunft der Alterskennzeichnung [update]

Felix Hilgert — Mon, 31 Aug 2015 13:27:26 +0000

Kurz gemeldet: Bei den Specials gibt es unseren aktuellen Beitrag „Gegenwart und Zukunft der Alterskennzeichnung von Mobile Apps“ (K&R 2015, 543) frei zugänglich im Volltext. [update 8. Januar 2016: Mittlerweile wird IARC auch im Windows Store und im Nintendo eShop eingesetzt; auch im Playstation Network kommt die Integration. Apple/iTunes will sich nach Presseberichten dagegen vorerst doch nicht anschließen.]

Noch ist die darin erwähnte und von den Ländern am Rande der gamescom angekündigte neue Entwurfsfassung des JMStV nicht offiziell veröffentlicht. Am 9. September 2015 soll hierzu zunächst eine Anhörung der interessierten Verbände stattfinden. Durchgesickert ist allerdings schon, dass der in der alten Entwurfsfassung kritisierte Verweis auf die Verfügbarkeit „für die am meisten genutzten Betriebssysteme“ als Kriterium für die Anerkennung von Jugendschutzprogrammen im neuen Entwurf nicht mehr enthalten sein soll und stattdessen ausdrücklich auch auf Lösungen für einzelne Ökosysteme verwiesen wird. Natürlich bleibt hier aber letztlich die offizielle Entwurfsfassung abzuwarten. Wir werden weiter berichten.

Und schließlich: Dass der aktuelle Aufsatz des Kollegen Schwiddessen zu einem sehr ähnlichen Thema (CR 2015, 515) bei uns nicht ein einziges Mal zitiert ist, war natürlich keine böse Absicht, sondern liegt nur daran, dass unser Text schon im Druck war, als sein Aufsatz erschienen ist.

USK und IARC: Alterskennzeichen in App Stores

Felix Hilgert — Wed, 18 Mar 2015 15:54:06 +0000

Mit einem Paukenschlag haben gestern die in der „International Age Rating Coalition“ (IARC) zusammengeschlossenen (Selbst)Kontrollorganisationen einen Coup verkündet: Alle im Google Play Store verfügbaren Apps – darunter natürlich insbesondere eine Menge Spiele – bekommen künftig nach einem einheitlichen Verfahren Alterskennzeichen, die, je nach Standort des Nutzers, als PEGI-, ESRB- oder eben USK-Logos angezeigt werden. Aber was heißt das eigentlich aus rechtlicher Sicht?

Eines vorweg: Die Kennzeichen, die über das IARC-System bei Google Play in Deutschland angezeigt werden, sind nicht die verbindlichen und mit Indizierungsschutz ausgestatteten Kennzeichen nach dem deutschen Jugendschutzgesetz. Sie werden (ohne Mitwirkung der obersten Landesjugendbehörden) von der USK und den weiteren teilnehmenden Institutionen nach einem ganz anderen Verfahren vergeben, nämlich über einen von den Publishern selbst auszufüllenden Fragebogen.

Aus den Antworten auf diese Fragen generiert ein fein austarierter Algorithmus eine ganze Reihe von Kennzeichen, die sich aufgrund kultureller Besonderheiten unterscheiden können – ein Spiel mit erotischen Inhalten wie das jüngst erst nach einigem Hin und Her gekennzeichnete Big Bang Empire mag aus deutscher Sicht ab 16 Jahren durchaus geeignet sein, während für Nutzer in den USA vermutlich die strengere „Mature 17+“-Bewertung herauskäme.

Ein Problem könnte es in der Tat geben, wenn eine App bereits als Trägermedium ein Kennzeichen erhalten hat – dann muss sicher gestellt werden, dass dieses auch im Google Play Store verwendet wird – und dort nicht etwa eine blaue „16“ prangt, wo die deutschen Behörden eine rote „18“ vorgesehen haben. Das IARC-System trägt dem aber Rechnung – und „Ausreisser“ bei der Einstufung können manuell korrigiert werden.

Für Publisher bedeutet die IARC-Einstufung zunächst einmal eine Arbeitserleichterung, weil mit einem Fragebogen Alterskennzeichen für zahlreiche Länder generiert werden können.

Konkret für den deutschen Markt macht es dieses System auch leicht, die richtige Kennzeichnung von Inhalten für eines der anerkannten Jugendschutzprogramme zu wählen, um so den Vorgaben des JMStV zu genügen. Daneben können diese Kennzeichen eine technische Basis für die Implementierung neuer Jugendschutzprogramme sein, die auf Ebene der Distributionsplattformen und der mobilen Ökosystem ansetzen. Solche Weiterentwicklungen sind dringend nötig, da die existierenden Jugendschutzprogramme auf mobilen Geräten bisher nicht ohne Einschränkungen genutzt werden können.

Bisher gibt es die IARC-Kennzeichen neben dem Google Play Store auch im (deutlich kleineren) Firefox Marketplace – mit dem Anschluss weiterer Plattformen rechnet die USK aber fest.

Italienische Behörde ermittelt wegen Missbräuchen bei Free-to-Play-Spielen

Felix Hilgert — Mon, 02 Jun 2014 11:38:00 +0000

Vergangene Woche wurde gemeldet, dass die italienische Markt- und Wettbewerbsbehörde (Autorità Garante della Concorrenza e del Mercato) Ermittlungen gegen mehrere Anbieter von digitalen Spielen aufgenommen hat. Zu den betroffenen Unternehmen gehören Tochtergesellschaften von Google, Apple, Amazon und Gameloft. Die Ermittlungen konzentrierten sich auf die Bewerbung von Apps als „kostenlos“, bei denenen Verbraucher, um weiterspielen zu können, doch entgeltliche Verträge abschließen und bezahlen müssen. Allerdings erheben die Behörden noch weitere Vorwürfe, die gerade nicht spezifisch mit Free-to-Play zu tun haben, so dass gegenwärtig noch unklar ist, was die Verfahren für die Gestaltung von Spielen im Einzelnen bedeuten werden.

Hintergrund

Die Firma Gameloft produziert und vermarktet das Mobile-Spiel “Little Pet Shop”, das über Google Play, den Amazon App-Shop (jeweils für Android) und iTunes (für iOS) kostenlos heruntergeladen werden kann. Der Protagonist des Spiels (und der TV-Kinderserie auf der es basiert) ist ein Kind, das in der Nachbarschaft eines Kleintierladens lebt und aufgrund seiner besonderen Fähigkeit, mit den Tieren zu sprechen, dort verschiedene Events durchführt und sich um die Tiere kümmert. In diesem Zuge erwirbt der Protagonist Haustiere und Gegenstände, die zur Erhaltung ihrer Gesundheit und zum Transport erforderlich sind, sowie Tiernahrung. Diese Käufe werden mit den Spielwährungen “Bling” oder “Kibble” bezahlt, wobei “Bling” als „harte“ Währung für „echtes“ Geld per In-App-Kauf erworben werden kann (etwa 200 Bling im Paket for 17,99 Euro).

“Little Pet Shop” wird in den Onlinestores als “Gratis”-App beworben. Der graphischen Gestaltung des Spiels nach zu urteilen, scheint es sich an Kinder zu richten, was von den Verweisen auf die zugrunde liegende TV-Serie bestätigt wird.

Wettbewerbsverstoß?

Die Behörden sehen in dieser Gestaltung einen Wettbewerbsverstoß durch irreführende Werbung und aggressive Geschäftspraktiken – allerdings scheint es bei dem Angebot in den diversen App Stores noch an weiteren Stellen Verbesserungsbedarf gegeben zu haben. Die Ermittlungen erfolgen nämlich insbesondere unter den folgenden Gesichtspunkten, die nicht unbedingt nur mit der Bewerbung des Spiels als „gratis“ zusammenhängen, sondern eher auf Probleme mit der Gestaltung der App Stores als solche hindeuten:

Unvollständige und irreführende Information zu den Kosten, die tatsächlich anfallen, um das Spiel in seiner Gänze spielen zu können;
Fehlende Information zu Kaufangeboten und Zahlungsmodalitäten;
Fehlen der Anschrift des Anbieters und zu den Widerrufsmöglichkeiten;
(nur gegen Gameloft) Direkte Kaufaufforderungen an Kinder (insoweit eine Parallele zum Runes of Magic-Fall) sowie die Möglichkeit, In-Game-Währung im Austausch gegen das Betrachten von Werbeclips für andere Free-to-Play-(Kinder)Spiele zu erhalten.

Diese Praktiken verstoßen gegen Artikel 20 ff. des italienischen Verbrauchergesetzbuches (Codice del consumo, Legislativdekret Nr. 206/2005), die auch der Umsetzung der EU-Richtlinie über unlautere Geschäftspraktiken (UGP-Richtlinie) dienen und für deren Durchsetzung die Markt- und Wettbewerbsbehörde nach Art. 27 zuständig ist.

Gerade der letzte Punkt der Liste könnte juristischen Sprengstoff bergen. Der Tausch „Währung gegen Werbung“ ist jedenfalls bei Free-to-Play-Spielen weit verbreitet.

Wie es weitergeht

Die Parteien sind zunächst aufgefordert worden, spezifische Unterlagen vorzulegen, und können auch darüber hinaus innerhalb von 20 Tagen nach Zustellung der entsprechenden Benachrichtigung schriftlich zu den Vorwürfen Stellung nehmen. Die Ermittlungen sollen spätestens 210 Tage nach dieser Benachrichtigung abgeschlossen sein (auch wenn eine Verlängerung dieser Frist möglich ist und angesichts der Komplexität der Angelegenheit nicht unwahrscheinlich erscheint). Die Markt- und Wettbewerbsbehörde kann ein Bußgeld bis zu 5 Millionen Euro verhängen.

Fazit

Europaweit gehen Verbraucherschützer in unterschiedlicher Form gegen empfundene Mißstände im bereich der Bewerbung, der Vermarktung und des Betriebs von Free-to-Play-Spielen vor. Dabei unterscheiden sich die Instrumentarien deutlich – von behördlichen „best practices“ wie in England über private Unterlassungsklagen wie in Deutschland reicht die Bandbreite bis hin zu behördlichen Sanktionsmaßnahmen. Trotz der Vielzahl der Erscheinungsformen sind die zugrunde liegenden geschriebenen Rechtsnormen in der EU weitgehend vereinheitlicht. Auch bei der Durchsetzung ist auf eine sinnvolle Vereinheitlichung der Maßstäbe mit dem nötigen Augenmaß zu hoffen.

Ein Beitrag von Felix Hilgert mit Edoardo Tedeschi und Giulio Della Casa (beide Osborne Clarke Mailand)

Update: Google Analytics – Datenschützer überprüfen Websites

Tim Maiorino — Mon, 14 May 2012 04:30:14 +0000

Wie im Herbst 2011 berichtet, konnte eine Einigung zwischen den Datenschützern und Google im Hinblick auf die Tracking Software Google Analytics erzielt werden und ein datenschutzkonformer Einsatz ist seitdem unter bestimmten Voraussetzungen zulässig.

Der richtige Einsatz von Google Analytics wird durch die Datenschutzbehörden auch überprüft: Bereits im Januar überprüfte die Datenschutzbehörde in Rheinland-Pfalz stichprobenartig Webseiten auf den richtigen Einsatz von Google Analytics hin, nun zieht auch Bayern nach: Das Bayerische Landesamt für Datenschutzaufsicht hat 13.404 Sites bayerischer Betreiber auf die einwandfreie Verwendung von Google Analytics überprüft. Das Ergebnis war, dass von den Betreibern, die Google Analytics einsetzten, lediglich 3% das Tracking Programm rechtskonform verwendeten. Die übrigen wurden schriftlich aufgefordert, den Missstand zu beheben. Bußgelder sollen allerdings erst einmal nicht verhängt werden.

Das Vorgehen der Datenschützer zeigt, dass es durchaus praktische Relevanz hat, sich an die datenschutzrechtlichen Vorgaben zu halten, um Kontakt mit den Aufsichtsbehörden zu vermeiden. Wir empfehlen daher noch einmal zu überprüfen, ob die nachfolgenden Anforderungen auch tatsächlich umgesetzt worden sind.

Checkliste zum datenschutzkonformen Einsatz von Google Analytics:

Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abschließen.
Anonymisierung der IP-Adressen durch das _anonymizeIp()-Tool von Google
Widerspruchsrecht der Betroffenen durch ein Deaktivierungs-Add-On
Datenschutzhinweis in der Datenschutzerklärung mit umfassender Information über die Funktionsweise von Google Analytics und die Rechte des betroffenen Nutzers
Löschung von Altdaten (bestehende Google Analytics Profile).

ESRB will jetzt Alterseinstufungen auch für Mobile Games vornehmen

Felix Hilgert — Tue, 22 Nov 2011 10:46:40 +0000

Wie das Spielenews-Portal Gamasutra vorab meldet, plant das US-amerikanische Pendant zur USK, das ESRB, ein einheitliches System der Alterskennzeichnung für digital vertriebene Mobile Games. Das Konzept, das in der kommenden Woche detailliert vorgestellt werden soll, ist in Zusammenarbeit mit dem internationalen Mobilfunk-Branchenverband CTIA entwickelt worden und soll Einheitlichkeit und Vergleichbarkeit in die Alterseinstufungen der App Stores von Apple, Google und Konsorten bringen.

Bereits Mitte des Jahres hatte das ESRB ein automatisiertes Bewertungssystem vorgestellt, das insbesondere auf kleinere Downloadspiele ausgerichtet war.

Die ESRB-Einstufungen hatten in der Vergangenheit eine wichtige Rolle in den juristischen Scharmützeln um die Verschärfung von Jugendschutzvorschriften in Kalifornien und anderen Bundesstaaten der USA gespielt. Ihre Existenz, so jedenfalls die Mehrheitsmeinung des US Supreme Court, erlaube den Eltern bereits ausreichend, ihrer Erziehungsverantwortung nachzukommen.

Kritische Kommentare zu der Meldung weisen allerdings darauf hin, dass das ESRB mit der Flut neuer Prüfgegenstände überlastet sein könnte, was insbesondere für App-Entwickler zu Verzögerungen bei der Zulassung zu den verschiedenen Vertriebsportalen führen würde. Ein Dorn im Auge der Entwickler-Community ist auch weiterhin der Flickenteppich unterschiedlicher nationaler Altersfreigabesysteme.

Schließlich bleibt auch abzuwarten, wie die großen Content-Distributoren selbst auf diese Ankündigung reagieren. In Südkorea, einem der wichtigsten Gaming-Märkte weltweit, hatten Google und Apple als Reaktion auf die Einführung eines gesetzlichen Altersfreigabesystems lange Zeit überhaupt keine Spiele in Android Market und App Store vertrieben. Erst nach einer deutlichen Entschärfung des Gesetzes waren Games wieder im Angebot.

Special: Die Fesseln des Online-Datenschutzes

Felix Hilgert — Thu, 20 Oct 2011 12:08:51 +0000

Jetzt bei unseren Specials:

Eine kurze Zusammenfassung der jüngsten Streitigkeiten um Google Analytics und den Facebook Like Button und deren Relevanz für die Spielebranche.

[hier weiterlesen]

Wendung bei Google Analytics – „beanstandungsfrei“ einsetzbar – irgendwie jedenfalls

Dr. Marc Störing — Tue, 27 Sep 2011 13:37:36 +0000

Die weit über zweijährige Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics ist beendet und erinnert an das Hornberger Schießen. „Beanstandungsfrei“ können Webseitenbetreiber den Dienst einsetzen, wenn sie ein bestimmtes Verfahren beachten. Das ist das Ergebnis langer Gespräche des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises mit dem Dienstanbieter Google.

Die Kurzform dessen, was zu tun ist: Man nehme eine neue Zeile Code, lösche Daten und tausche vor allem einen Haufen Papier aus. Fertig ist der „beanstandungsfreie Betrieb“. Oder noch kürzer: Es wird kompliziert, aber nicht sinnvoll.

Anforderungen an einen beanstandungsfreien Betrieb

Wichtig ist, dass der Dienst keinesfalls nun per se bedenkenlos eingesetzt werden kann. Vielmehr ist ein kompliziert anmutendes Procedere vorab erforderlich.

Webseitenbetreiber, die Google Analytics einsetzen wollen, müssen mit Google Inc. einen Vertrag schriftlich (also mit Unterschrift auf Papier) abschließen. Dieser Vertrag beinhaltet im Kern folgende Punkte:

Webseitenbetreiber klären Nutzer ihrer Websites in einer Datenschutzerklärung über die Verarbeitung personenbezogener Daten durch Google Analytics auf und weisen auf eine Widerspruchsmöglichkeit hin. Den Widerspruch gegen die Erfassung personenbezogener Daten kann der Nutzer durch Betätigung eines Deaktivierungs-Add-On erklären.
Webseitenbetreiber können durch Aktivierung der IP-Masken-Funktion die nachträgliche Identifizierung des Nutzers ausschließen. Die Funktion verhindert die standardmäßige Verwendung der vollen IP-Adresse der Nutzer bei Analyseerstellung, indem sie den letzten Bestandteil der IP-Adresse des jeweiligen Besuchers vor Verwendung und Speicherung entfernt.
Webseitenbetreiber müssen die vorformulierte Datenschutzerklärung verwenden, welche auf die Kürzung der IP-Adresse hinweist. Die Anonymisierung ist auf den Geltungsbereich der EU oder anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum beschränkt. Nur in Ausnahmefällen erfolgt die Übertragung der vollen IP-Adresse an Google in den USA.
Webseitenbetreiber gelten beim Umgang mit den Daten der Seitenbesucher als Auftraggeber und Google als Auftragsdatenverarbeiter im Sinne des BDSG (dazu im Folgenden mehr).

Bedeutung für Webseitenbetreiber

Durch die Unterzeichnung des Vertragstextes erteilen die Webseitenbetreiber also einen Auftrag zur Datenverarbeitung nach § 11 BDSG. Aber was bedeutet das eigentlich für sie?

Wichtigste Folge ist die fortgesetzte Pflicht des Auftraggebers, also des Webseitenbetreibers, den Auftragnehmer, also Google, regelmäßig auf die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überprüfen. Die Ergebnisse dieser Überprüfung muss der Webseitenbetreiber auch dokumentieren.

Die Idee mutet merkwürdig an, aber tatsächlich hat sich die Google, Inc. nun von jedem Seitenbetreiber, der Google Analytics einsetzt, regelmäßig überprüfen zu lassen. Google hat sich dazu ein Verfahren ausgedacht, wonach der Webseitenbetreiber vorformulierte schriftliche Ausführungen von einem Wirtschaftsprüfer erhält.

Webseitenanbieter sichern mit Vertragsschluss Google zu, die Google Analytics Nutzungsbedingungen einzuhalten. Wie sie u.a. der Bedingung nachkommen, die aus Analytics erhobenen Daten getrennt von anderen personenbezogenen Daten bereitzuhalten, bleibt allerdings ihrem eigenen technischen Know-how überlassen. Besonders vor dem Hintergrund, dass Webseitenbetreiber durch die Vertragsunterzeichnung eine Haftungsübernahme für sämtliche Schäden durch eine vertrags- bzw. gesetzeswidrige Nutzung der Daten erklären, ist den Webseitenbetreibern daher eine gewissenhafte und erfindungsreiche Befolgung der Nutzungsbedingungen anzuraten.

Schließlich nimmt sich Google das Recht heraus, die derzeit kostenlose Nutzung des Dienstes, von „Zeit zu Zeit“ einseitig ändern zu dürfen. Ratsam ist es daher, von „Zeit zu Zeit“ auch die Webseite http://www.google.com/analytics auf eine Änderung der Zahlungsbedingungen zu checken. Ein fortgesetzter Gebrauch des Dienstes durch den Webseitenbetreiber nach einer Bekanntgabe neuer Zahlungsmodalitäten auf der Webseite gilt nämlich als Annahme der Änderungen.

Fazit

Google Analytics ist nutzbar. Irgendwie, und jedenfalls nicht einfach so, sondern mit einem irritierenden Aufwand.

Die nun behördlich abgesegnete Lösung mutet deshalb seltsam an. Sowohl Webseitenbetreiber als auch Google selbst müssen sich nun durch einen ritualisierten Austausch von immer gleichen Verträgen und Prüfberichten in Papierform quälen.

Gerade diese Schriftform ist ein typischer Datenschutzanachronismus. Das Verfahren mutet also bloße Förmelei an, in der als konstruktiver Ansatz bestenfalls die Errichtung einer gewissen Hemmschwelle für die Webseitenbetreiber gesehen werden kann.

Weder der Datenschutz, noch die Webseitenbetreiber, noch Google selbst dürften über die Lösung jubeln. Allenfalls für Datenschutzexperten ist schließlich der Weg über eine sog. Auftragsdatenverarbeitung mit einem in den USA beheimateten Unternehmen interessant. Denn zwar kann ein solcher Vertrag durchaus weltweit abgeschlossen werden. Aber die typischerweise mit dem Vertragsschluss bezweckte Regelung der Verantwortlichkeit ist nur innerhalb von EU / EWR sinnvoll.

Herzlichen Dank an unsere wissenschaftliche Mitarbeiterin Alexandra Heliosch für die Mitarbeit an diesem Beitrag!

Mitteilungspflicht bei Datenlecks

Dr. Marc Störing — Mon, 06 Jun 2011 06:20:13 +0000

Einbruch in das Playstation-Netzwerk bei Sony und Verlust von Millionen Spielekundendaten, Hack des auf IT-Sicherheit spezialisierten Unternehmens RSA, daraufhin Cyber-Attacken auf RSA-Kunde Lockheed-Martin, chinesischer E-Mail Diebstahl bei Morgan Stanley, angeblich Passwort-System von Googles Handy-Betriebssystem geknackt … Die Serie der Datenpannen bei international agierenden Großunternehmen scheint nicht abzureißen; die Aufmerksamkeit der Medien war nie größer. Aber was sind die rechtlichen Folgen?

Der Verlust von Kundendaten bedeutet in aller Regel einen beträchtlichen Imageschaden für das Unternehmen. Es ist dann die Rede von einem PR-Desaster, und die Seriosität des Unternehmens wird angezweifelt. Sogar ein Umsatzrückgang kann die Folge sein. So kostete der Hackerangriff auf das Playstation-Netzwerk Sony laut eigenen Angaben 1,3 Milliarden Euro, teilweise schätzen Analysten den Schaden sogar noch höher.

Angesicht solch verheerender Nachwirkungen dürfte die Versuchung bei Unternehmen groß sein, eventuelle Datenlecks zu verheimlichen.

Doch aufgepasst: Seit 1. September 2009 besteht gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) eine ausdrückliche Verpflichtung zur Information der Betroffenen (Kunden, Mitarbeiter …) und Datenschutzbehörden im Falle von Datenverlusten!

Unternehmen müssen also sich selbst als Datensünder an den Pranger stellen. Bei einem Verstoß drohen Bußgelder bis zu 300.000 Euro.

Wann besteht eine Mitteilungspflicht?

Trotzdem besteht die Mitteilungspflicht nicht in jedem Fall eines Datenlecks. Vielmehr besteht eine solche Pflicht nur bei Verlust bestimmter Datentypen. Im Einzelnen sind dies:

Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, eine eventuelle Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben
Informationen, die einem Berufsgeheimnis unterliegen (Anwaltsdaten, ärztliche Daten etc.)
Strafrechtlich relevante Daten
Daten zu Bank- und Kreditkartenkonten

Wichtig ist, dass die Pflicht auch nur gilt, wenn die Daten personenbezogen sind, d.h. mit einer konkreten Person in Verbindung gebracht werden können. Handelt es sich um vollständig anonymisierte Daten, besteht kein Risiko für die Betroffenen. Folglich existiert keine Mitteilungspflicht. Bei verschlüsselten Daten kommt es darauf an, ob eine Entschlüsselung für Dritte realistisch möglich ist.

Außerdem besteht die Mitteilungspflicht nicht schon beim bloßen Verlust von Daten. Vielmehr muss das Unternehmen dann auch feststellen, dass tatsächlich Dritte Kenntnis von den Daten erlangt haben. Auch das ist in der Praxis eine wichtige Einschränkung.

Zwar ist laut Gesetz weiterhin eine „schwerwiegende Beeinträchtigung der Rechte oder schutzwürdigen Interessen der Betroffenen“ notwendig. Die sperrige Wendung macht es schon deutlich: Hier ist eine Abwägung im Einzelfall erforderlich.

Wem muss was mitgeteilt werden?

Worst Case. Rien ne va plus. Jemand hat sich tatsächlich Zugriff auf die genannten Daten verschafft. Was tun?

Gesetzliche Pflicht ist eine sofortige persönliche Benachrichtigung der Betroffenen und der zuständigen Datenschutzbehörde, d.h. des jeweiligen Landesdatenschutzbeauftragten. Sollten, wie im Falle Sony, eine Vielzahl von Personen betroffen oder deren Kontaktdaten nicht bekannt und die persönliche Benachrichtigung daher mit unverhältnismäßigem Aufwand verbunden sein, kann sie durch eine Information der Öffentlichkeit in Form einer halbseitigen Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine zur Information der Betroffenen ebenso geeignete Maßnahme ersetzt werden. Die Pflicht zur gesonderten Informierung der Datenschutzbehörden bleibt bestehen.

Die Betroffenen müssen bei der Benachrichtigung darüber informiert werden, auf welche Weise die Daten in fremde Hände gelangt sind und wie etwaige „nachteilige Folgen“ gemildert werden können. In der Benachrichtigung der Behörde müssen auch noch die möglichen nachteiligen Folgen und die daraufhin vom Unternehmen getroffenen Maßnahmen konkret benannt werden.

Sicherheit und Aufklärung gehen vor

Aber: Das Unternehmen darf vielleicht mit der Benachrichtigung warten. Nämlich dann, wenn eine sofortige Benachrichtigung die Aufklärung des Sachverhalts oder den schnellstmöglichen Schließen der Sicherheitslücke behindern würden. So soll insbesondere verhindert werden, dass das bereits bestehende Datenleck weiteren Dritten eine einfache Angriffsfläche bietet. Weil die Behörden aber einer gesetzlichen Verschwiegenheitspflicht unterliegen, sind sie immer sofort nach Feststellung einer Drittkenntnisnahme zu informieren. Mit diesen Sicherheits- und Aufklärungserwägungen kann sich also ein Unternehmen niemals herausreden, wenn es völlig passiv geblieben ist.

Was bedeutet das für mein Unternehmen?

Ein Datenverlust ist neben dem Imageschaden auch ein rechtliches Problem. Pflichten können entstehen und bei deren Nichtbeachtung können Bußgelder zu 300.000 Euro anfallen. In der Aufarbeitung reicht also keine ausgefeilte Unternehmenskommunikation. Vielmehr ist eine datenschutzrechtlich korrekte Handhabung der Situation erforderlich. Ob eine Mitteilungspflicht besteht, kann nur nach sorgfältiger rechtlicher Prüfung festgestellt werden. Verschiedene Anknüpfungspunkte existieren dabei, um jedenfalls die unangenehme Mitteilungspflicht an Betroffene oder die Öffentlichkeit zu umgehen oder hinauszuzögern.

Piwik Analytics bekommt den Segen der Datenschützer

Felix Hilgert — Wed, 16 Mar 2011 11:00:42 +0000

Piwik Analytics ist eine Open-Source-Software zum Tracking von Website-Besuchern (die auch in unserem Blog eingesetzt wird). Anders als bei der seit längerem unter datenschutzrechtlichem Druck stehenden Lösung Google Analytics lässt sich diese Software lokal betreiben. Eine Datenübermittlung an Dritte oder gar ins Ausland findet also nicht statt.

Unsere Einschätzung, dass damit bei entsprechend sorgfältiger Konfiguration ein mit dem deutschen Datenschutzrecht konformes Tracking möglich ist, wird nunmehr auch ganz offiziell vom – tendenziell in Datenschutzfragen recht strengen – Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) geteilt – Piwik wird als Alternative zu Google Analytics sogar ausdrücklich empfohlen.

Allerdings genügt dafür die Grundversion der Software nach Meinung des ULD nicht ganz. Ausgehend von der umstrittenen Rechtsauffassung, dass IP-Adressen personenbezogene Daten darstellen, fordern die Datenschützer mindestens noch den Einsatz des Plugin „AnonymizeIP“, das die vollständige Speicherung von IP-Adressen abschaltet.

Das Ende von Google Analytics in Deutschland

Konstantin Ewald — Mon, 10 Jan 2011 19:06:53 +0000

Die FAZ meldet, dass der für den Sitz von Google Deutschland zuständige Datenschutzbeauftragte von Hamburg, Johannes Caspar, die Verhandlungen mit Google über die datenschutzkonforme Ausgestaltung des verbreiteten Analysetools Google Analytics abgebrochen habe. Der Suchmaschinenriese hat sich dem Anschein nach nicht genügend bewegt.

Dem rechtliche Kernproblem von Google Analytics haben wir schon vergangenen März einen Beitrag gewidmet: Die Software erhebt IP-Adressen von Websitebesuchern und übermittelt diese zur Auswertung und Speicherung an Google-Server in den USA. Hält man mit Teilen von Rechtsprechung und Rechtswissenschaft IP-Adressen für personenbezogene Daten, dann bedeutet dies eineErhebung und Übermittlung solcher personenbezogener Daten in Drittstaaten außerhalb der EU. Beides ist grundsätzlich nur mit der Einwilligung des Betroffenen zulässig – aber eine solche Einwilligung kann bei der aktuellen technischen Ausgestaltung des Prozesses nicht eingeholt werden.

Nachdem die Verhandlungen über eine Umgestaltung der Software ergebnislos geblieben sind und die Hamburger Datenschutzbehörde auch den Verweis auf Blockier-Plugins zu Recht schon deswegen nicht für ausreichend hält, weil diese für etliche verbreitete Browser gar nicht zur Verfügung stehen, könnte es nun zu behördlichen Maßnahmen gegen jeden Websitebetreiber kommen, der Google Analytics weiterhin einsetzt.

Dazu die FAZ:

Da die Aufsichtsbehörden gegen Google selbst nicht vorgehen können, wollen sie nun prüfen, ob und wie sie gemeinsam gegen Betreiber von Websites vorgehen, die weiterhin GA einsetzen. Auf sie könnte dann „ein empfindliches Bußgeld“ zukommen, sagte Caspar. Auch ein Musterprozess gegen ein größeres Unternehmen wird erwogen.

Für die betroffenen Unternehmen kann das teuer werden: § 43 BDSG sieht grundsätzlich Geldbußen bis 300.000 Euro vor – im Einzelfall darf dieser Rahmen sogar noch überschritten werden.

Update 14.1.2011:

Die Einstellung der Datenschutzbehörde scheint sich etwas zu beruhigen. Das Conversion Room Blog berichtet von einem Post des Google Analytics Teams. Darin heißt es:

Nach dem Gespräch können wir bestätigen, dass von der Datenschutzbehörde in Hamburg derzeit keine aufsichtsrechtlichen Maßnahmen (z. B. Bußgelder) gegen den Einsatz von Google Analytics geplant sind.

Google feiert 30 Jahre Pac-Man…

Felix Hilgert — Fri, 21 May 2010 21:28:51 +0000

Unser Fundstück zum Wochenende – Google feiert (einen Tag zu früh) den 30. Geburtstag von Pac-Man mit einem interaktiven Google-Doodle:

Sobald man eine Münze eingeworfen hat (Mausklick genügt – virtuelle Währung einmal anders) geht das Game los, gesteuert wird mit den Pfeiltasten. Zum Spielvergnügen passt ein Spruch, der dem Nintendo-Manager Kristian Wilson zugeschrieben wird. Bereits 1989 soll er gewusst haben:

Computer games don’t affect kids; I mean if Pac-Man affected us as kids, we’d all be running around in darkened rooms, munching magic pills and listening to repetitive electronic music.

Immerhin hält er uns heute noch zeitweise von der ernsthaften Internetrecherche ab. Happy Birthday, Pac-Man!

Update 25.05.2010: Das Doodle gibt es – dauerhaft – hier.