Tag Archive for: Google Analytics

EU-Kommission: Datentransfer in die USA und Einsatz von US-Diensten wieder einfacher

Nachdem europäische Unternehmen und Website-Betreiber lange darauf gewartet haben, ging es plötzlich doch ganz schnell: Am 10.07.2023 hat die EU-Kommission den lange angekündigten Angemessenheitsbeschluss für das EU-US Data Privacy Framework erlassen. Damit ist der Nachfolger des Privacy Shields offiziell in Kraft und kann ab sofort als Grundlage für Datentransfers an zertifizierte US-Unternehmen herangezogen. Hierdurch wird der Einsatz zahlreicher Software-Produkte wie beispielsweise Cloud-Dienste, Newsletter-Services oder auch Analysetools wieder deutlich einfacher – zumindest vorläufig.

Hintergrund: Seit der Europäische Gerichtshof im am 16.07.2020 in seinem Schrems II – Urteil das “Privacy Shield” Abkommen für unwirksam erklärt hatte, waren transatlantische Datentransfers immer mit einem erheblichen Risiko verbunden. Europäische Unternehmen, welche Dienste von US-Services wie Google, Microsoft, Facebook & Co. einsetzen wollten, mussten sicherstellen, dass diese durch “besondere Maßnahmen” ein angemessenes Schutzniveau gewährleisten. In der Praxis war dies kaum möglich. In der Folge erging eine ganze Reihe von Entscheidungen, in denen Tools wie Google Analytics oder MailChimp durch Datenschutzbehörden faktisch untersagt wurden.

Künftig können sich US-Unternehmen unter dem Data Privacy Framework zertifizieren lassen. Hierfür müssen sie bestimmte Datenschutzgrundsätze einhalten. Hierzu zählt beispielsweise die Pflicht, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Außerdem ist der Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Darüber hinaus sieht der neue Rechtsrahmen Beschränkungen für den Zugriff von US-Geheimdiensten auf Datenbestände vor. Dieses Zugriffsrecht war einer der Hauptgründe, der zur Ungültigkeit des Privacy Shields geführt hatte. Künftig sind solche Zugriffe auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß zu beschränken.

Durch den Angemessenheitsbeschluss wird die Verwendung US-amerikanische Softwareprodukte und Tools erheblich erleichtert. Übergangslösungen – wie beispielsweise den Datentransfer auf eine informierte Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO zu stützen – werden vorläufig obsolet. Verbraucher- und Datenschützer, allen voran der Österreicher Max Schrems, haben allerdings bereits angekündigt, auch das Data Privacy Framework gerichtlich prüfen zu lassen. Aus ihrer Sicht bestehen die Bedenken, die zur Ungültigkeit des Pricacy Shields geführt hatten, auch beim neuen Abkommen fort. Die Entwicklung bleibt abzuwarten. Unternehmen ist zu empfehlen, die in den letzten Jahren erarbeiteten Konzepte und zusätzlichen Schutzmaßnahmen nicht von heute auf morgen über den Haufen zu werfen.

 

Bild: Midjourney

1 Million Euro Strafe wegen des Einsatzes von Google Analytics

Die Datenschutz-Grundverordnung (DSGVO) hat in den letzten Jahren zu einer verstärkten Sensibilisierung für den Datenschutz und zu einer strengeren Durchsetzung von Verstößen geführt. Ein aktueller Fall betrifft den Telekommunikationsanbieter Tele2, der eine Geldstrafe von einer Million Euro zahlen muss. Der Grund für die Strafe sind unzureichende Schutzmaßnahmen im Umgang mit Google Analytics und der Verletzung der DSGVO.

Read more

LG Köln: Google Ads auf Website der Telekom rechtswidrig, ABER…

Das Landgericht Köln hat in einem aktuellen Urteil der Telekom untersagt, auf ihrer Website den Dienst Google AdServices einzusetzen. Hintergrund war wieder einmal, dass beim Einsatz von Tracking- und Analysetools von Anbietern wie Google oder Facebook personenbezogene Daten an Server in den USA übermittelt und dort verarbeitet werden. Das Gericht führt in der Urteilsbegründung aus, dass die Telekom die strengen Voraussetzungen sogenannter “Drittlandtransfers” im konkreten Fall nicht eingehalten habe. Anders als viele Medien jetzt behaupten, hat das Gericht jedoch nicht den Einsatz von Diensten wie Google Ads generell verboten. Im Gegenteil: Nach unserer Auffassung gibt das Urteil wertvolle Anhaltspunkte, wie US-Dienste weiterhin datenschutzkonform genutzt werden können. 

Read more

Sind die Tage von Google Analytics gezählt?

Mehrere Datenschutz-Aufsichtsbehörden in Europa sorgen aktuell mit Entscheidungen zum beliebten Analysedienst Google Analytics für Unruhe unter Website-Betreibern. Aber sind die Aussagen der Behörden wirklich die Paukenschläge, zu denen sie gemacht werden? Wie verbindlich sind die Vorgaben? Und was können Betreiber jetzt tun, um ihr Risiko zu reduzieren?

Read more

Neue Vorgaben der Datenschutz-Aufsichtsbehörden zu Tracking und Cookies

Die Konferenz der Datenschutz-Aufsichtsbehörden in Deutschland (DSK) hatte im letzten Jahr für Verunsicherung bei Website-Betreibern gesorgt, als sie sich in einem Positionspapier – relativ undifferenziert – auf den Standpunkt stellte, Tracking-Mechanismen (z.B. Cookies, Tracking-Pixel etc.) seien nur nach vorheriger Einwilligung des Website-Nutzers zulässig.

Da dieser Standpunkt (jedenfalls ohne jegliche Differenzierung) aus Sicht der meisten Experten zu streng war, wurde diese Vorgabe in der Praxis bisher kaum umgesetzt (und auch nicht geahndet). Die meisten Unternehmen, die auf ihrer Website Tracking-Dienste einsetzen, verwenden aktuell sogenannte „Cookie-Banner“ (Einblendung beim Aufruf der Website, z.B. „Unsere Website verwendet Cookies. Durch die Nutzung unserer Website erklären Sie sich mit der Speicherung von Cookies einverstanden.“).

Nun hat die DSK ihre Vorgaben zur Verwendung von Tracking-Mechanismen in einer neuen Orientierungshilfe konkretisiert und differenziert. Die Orientierungshilfe können Sie hier abrufen.

Read more

Sind Facebook-Seiten noch legal – Die gemeinsame Verantwortlichkeit von Facebook und Seitenbetreibern

Anfang Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass die Betreiber von Facebook-Seiten neben Facebook für die datenschutzrechtlichen Belange verantwortlich sind. Nach diesem, viel diskutierten und bereits als Todeserklärung für Facebook-Seiten betitelten, Urteil (Az:  C‑210/16 vom 05.06.2018) geschah erst einmal lange gar nichts.

Am 05.09.2018 hielt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einem Beschluss fest, dass Facebook-Seiten in der zu diesem Zeitpunkt aktuellen Fassung rechtswidrig seien, da zwischen Facebook und dem Seitenbetreiber ein sog. “joint-controller-Vertrag” vorliegen muss, der klärt, wer die Pflichten aus der Datenschutzgrundverordnung (DSGVO) übernimmt. Read more