Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

Datenschutz KonformIm kommenden Jahr wird die neue DSGVO in Kraft treten, sodass Unternehmen das eigene Vorgehen in Sachen Datenschutz auf den Prüfstand stellen sollten. Wie stellen Unternehmen einen rechtssicheren Umgang mit Web Analyse-Daten in Deutschland sicher?

Im September startet die mit Spannung erwartete erste Überprüfung des EU-US Privacy Shields durch die Europäische Kommission. Im kommenden Jahr wird die neue europäische Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Grund genug, auch das eigene Vorgehen in Sachen Datenschutz-konformem Tracking sowie Datenverarbeitung und -nutzung auf den Prüfstand zu stellen. Unternehmen sollten dabei die folgenden Fragestellungen beantworten können: Welche Auswirkung hat die Bewertung der Sicherheit von transatlantischen Datentransfers für mein Unternehmen? Und: Ist unser Unternehmen auf die Neuerungen der Datenschutz-Grundverordnung vorbereitet? Der Datenspezialist etracker aus Hamburg gibt dazu die folgenden Hinweise und Tipps, was speziell Shop- und Website-Betreiber nun beachten müssen.

Hält das Privacy Shield?

Das EU-US Privacy Shield Abkommen ist eine freiwillige, jährliche Selbstverpflichtung nicht-europäischer Unternehmen, die ein angemessenes Datenschutzniveau bei der Übermittlung von personenbezogenen Daten aus der EU in die USA sicherstellen soll. Das Abkommen stützt sich auf Zusicherungen der vorherigen US-Regierung, die unter anderem durch die Executive Order zur „Verbesserung der öffentlichen Sicherheit“ der Trump-Regierung in Frage gestellt werden.

Im September wird die EU-Kommission prüfen, ob die Voraussetzungen für den Privacy Shield-Beschluss noch gegeben sind. Sollte die Einigung widerrufen werden, dürfte dies das endgültige Aus für das legale Tracking mit Google Analytics in der EU bedeuten – es sei denn, Google ließe sich auf den Abschluss von sogenannten EU-Standardvertragsklauseln ein oder könnte eine Speicherung auf EU-Servern garantieren.

Handlungsbedarf bei Shop- und Website-Betreibern

Shop- und Website-Betreiber, die Google Analytics einsetzen, sollten sich daher überlegen, ob sie zunächst abwarten wollen, wie sich die datenschutzrechtliche Situation entwickelt. Das Risiko: Je nach Ergebnis könnten sie plötzlich in Handlungsnot geraten. Die Alternative: Jetzt proaktiv handeln und auf eine deutsche Software umsteigen, die nachweislich datenschutzkonform ist. Wer dies nicht möchte, sollte zumindest die eigenen Maßnahmen in puncto Datenschutz und Web Analyse überprüfen und gegebenenfalls nachbessern. Dabei gilt es vor allem, die folgenden Aspekte zu beachten:

5 Punkte, die Sie für eine rechtskonforme Web Analyse beachten müssen

  1. Weisen Sie in einer Datenschutzerklärung auf Ihrer Website auf die Datenerhebung und -verarbeitung sowie auf die Möglichkeit zum Widerspruch der Datenerfassung (Opt-out) hin.
     
  2. Erfassen Sie Daten nur anonymisiert oder pseudonymisiert. Das heißt, dass unter anderem IP-Adressen mindestens um den letzten Block gekürzt werden müssen und Web Analyse-Daten nicht ohne Einwilligung mit personenbezogenen Daten zusammengeführt werden dürfen.
     
  3. Wenn Sie Google Analytics einsetzen, beachten Sie, dass für die Nutzung der Werbefunktionen eine explizite Einwilligung des Nutzers erforderlich ist. (Diese Funktionen umfassen u.a. Remarketing, Berichte zu Impressionen und Leistung nach demografischen Merkmalen/Interessen sowie integrierte Dienste, für die Daten mit Hilfe von Cookies für Anzeigenvorgaben und Kennungen gesammelt werden.)
     
  4. Schließen Sie mit Ihrem Anbieter (Auftragnehmer) eine Auftragsdatenvereinbarung (ADV) entsprechend den Anforderungen nach §11 des BDSG ab.
     
  5. Beachten Sie: Seit der Europäische Gerichtshof das Safe-Harbor-Abkommen für unwirksam erklärt hat, dürfen Daten Ihrer Kunden und Nutzer nicht außerhalb der EU – und weniger anderer Staaten – ohne explizite Einwilligung beziehungsweise ohne Sicherstellung eines angemessenen Datenschutzniveaus übermittelt werden. Die USA gilt nach europäischem Datenschutzrecht als unsicheres Drittland. Eine Auftragsdatenvereinbarung ist in diesem Fall nicht ausreichend. Neben der Privacy Shield-Zertifizierung können noch EU-Standardvertragsklauseln und Binding Corporate Rules eingesetzt werden. Letztere erfordern jedoch eine spezifische Expertise und individuelle Vertragsgestaltung, bei der nicht alle Dienstleister die erforderliche Kompetenz und Bereitschaft besitzen.

Ratgeber zum Umgang mit Web Analyse-Daten:

Weitere nützliche Hinweise hat die etracker GmbH in einem Datenschutz-Ratgeber zum Umgang mit Web Analyse-Daten zusammengefasst, der hier kostenlos zur Verfügung stehen soll.
 

GRID LIST
DSGVO

Wie weit sind Unternehmen wirklich in Bezug auf die DSGVO?

Noch vor wenigen Monaten beherrschte vor allem ein Thema die Geschäftswelt: die neue…
SSL

6 Tipps zur Vermeidung von SSL-Blind-Spots

Die SSL-Nutzung nimmt mit jedem Jahr kontinuierlich zu, und auch Hacker nutzen diese…
Compliance

Compliance: Firmen erst durch Schaden klug

Compliance ist bei kleinen und mittleren Unternehmen (KMU) nach wie vor ein…
Fitness App

Weitere Fitness-App mangelhaft: Unverschlüsselte Übertragung von Standortdaten

Als Reaktion auf die Anfang des Jahres stark in die Kritik geratenen Fitness-Apps hat das…
Server

Was ist Server Name Indication (SNI)?

Mit der Server Name Indication (SNI) kann ein Server mehrere TLS-Zertifikate für…
Matthias Stauch

DSGVO: personenbezogene Daten nur verschlüsselt übermitteln

Die DSGVO fordert Unternehmen dazu auf personenbezogene Daten zu schützen. Welche…
Smarte News aus der IT-Welt