Der Landesbeauftrage für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen verschickt derzeit Fragebögen bedeutende Unternehmen in NRW.

Abgefragt wird der datenschutzkonforme Einsatz von Google Analytics bzw. ob andere Analysetools eingesetzt werden.

Wonach hier die Auswahl von bedeutendbzw. generell zur Nutzung von Google ANalytics vorgenommen wird ist mir unklar. So habe ich Schrieben an UNternehmen vorliegen, welche gar keine eigene Internetseite betreiben sondern teils nur als Distribution auf anderen Internetseiten genannt werden. Ich hoffe mal, dass die Nennung auf einer Internetseite nicht schon eine Mitverantwortung nach sich zieht. Das wird zum teil ja derzeit bei facebook so gesehen.

Grundsätzlich ist das Schreiben als Aufklärung formuliert mit dem klaren Hinweis, dass eine Auskunft erfolgen muss (sonst droht tatsächlich Bußgeld).

Überprüft wird, ob bei dem Einsatz von Google Analytics die Vorgaben der Aufsichtsbehörden für Datenschutz (und auch die Vorgaben von Google) eingehalten werden.

Im wesentlichen geht es um die folgenden Punkte:

  • Vertrag zur Auftragsdatenverarbeitung

Muster über http://static.googleuserc……s/tos.pdf

  • Information für die Nutzer

Hier muss, entsprechend der Nutzungsbedingungen von Google, die entsprechende Formulierung von Google übernommen werden. Es ist darauf zu achten, dass die im texte angegebenen Links auch funktionieren.

  • Anonymisierung der IP

Im Trackingcode von Google Analytics muss sich die Zeile
_gaq.push([‚_gat._anonymizeIp‘]);
befinden um die IP Adresse zu kürzen.

 

BildDie eigentliche Prüfung erfolgt mittels Fragebogen und einfachen Ja/Nein Fragen. Zu den Fragen gibt es jeweils klare Hinweise (teils leider mit Tippfehlern) zur Umsetzung. Das zeigt schon einmal, finde ich, den positiven Ansatz, dass es der Behörde tatsächlich um einer Verbesserung der Situation geht.

Wenn Sie das Schreiben erhalten:

Auf jeden Fall antworten. Sonst kann ein Bußgeld drohen.

Sprechen Sie mit Ihrem Datenschutzbeauftragten und gehen Sie im Vorfeld die Fragen einfach einmal als Selbsttest durch.

Die Umsetzungen für den datenschutzkonformen Einsatz sollten Sie schon jetzt überprüfen und vornehmen. Unabhängig wie man zur Diskussion von Google Analytics/Datenschutz steht.

Weitere Informationen zur Diskussion:

http://www.werning.com/blog/tag/google-analytics/

 

Beachten Sie auch, dass zum Datenschutz mehr gehört als nur die richtige Einbindung von Google Analytics.

Beispielsweise:

Meldepflichten (§ 4d BDSG)

  • Datenverarbeitungsverfahren sind Aufsichtsbehörde vor Inbetriebnahme zu melden
  • Meldepflicht entfällt wenn
      • Datenschutzbeauftragter bestellt worden ist
      • Maximal 9 Personen in die Datenverarbeitung eingebunden sind und der Betroffene eingewilligt hat oder der Datenverarbeitung ein konkrete Schuldverhältnis zugrunde liegt
  • Inhalt der Meldepflicht (internes Verfahrensverzeichnis, § 4e BDSG): Insbesondere Zweck der Datenverarbeitung, Beschreibung der betroffenen Personengruppen, Empfänger, Regelfristen für die Löschung

 

Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 4f Abs. 1 BDSG)

  • Ab 10 Personen, die in die Verarbeitung personenbezogener Daten eingebunden sind
  • Bindung an datenschutzrechtliche Bestimmungen besteht unabhängig von der Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 4g Abs. 2a BDSG)

 

Haben Sie Fragen zu den Themen? Gerne stehe ich Ihnen für Rückfragen zur Verfügung:       www.werning.com