eCommerce Anzeige
/ e-Commerce Recht & Sicherheitsfragen / Ohne EU-US Privacy Shield Abkommen kein legales Tracking mit Google Analytics

Ohne EU-US Privacy Shield Abkommen kein legales Tracking mit Google Analytics

Im kommenden Jahr wird die neue europäische Datenschutz-Grundverordnung (DSGVO) in Kraft treten, sodass Unternehmen das eigene Vorgehen in Sachen Datenschutz auf den Prüfstand stellen sollten. +++ Der Datenspezialist etracker aus Hamburg gibt zu diesen Themen Hinweise und Tipps, was Shop- und Webseite-Betreiber nun beachten müssen. +++ Webseite-Betreiber sollten u.a. Daten nur anonymisiert und die Analyse mittels Google Analytics nur mit Einwilligung des Nutzers durchführen lassen.
Redaktion an 30. August 2017 - 11:59 in e-Commerce Recht & Sicherheitsfragen
Wie stellen Unternehmen einen rechtssicheren Umgang mit Web Analyse-Daten in Deutschland sicher?

Wie stellen Unternehmen einen rechtssicheren Umgang mit Web Analyse-Daten in Deutschland sicher? (© geralt – pixabay.com)

Im September startet die mit Spannung erwartete erste Überprüfung des EU-US Privacy Shields durch die Europäische Kommission. Im kommenden Jahr wird die neue europäische Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Grund genug, auch das eigene Vorgehen in Sachen Datenschutz-konformem Tracking sowie Datenverarbeitung und -nutzung auf den Prüfstand zu stellen. Unternehmen sollten dabei die folgenden Fragestellungen beantworten können: Welche Auswirkung hat die Bewertung der Sicherheit von transatlantischen Datentransfers für mein Unternehmen? Und: Ist unser Unternehmen auf die Neuerungen der Datenschutz-Grundverordnung vorbereitet? Der Datenspezialist etracker aus Hamburg gibt dazu die folgenden Hinweise und Tipps, was speziell Shop- und Website-Betreiber nun beachten müssen.

Hält das Privacy Shield?

Das EU-US Privacy Shield Abkommen ist eine freiwillige, jährliche Selbstverpflichtung nicht-europäischer Unternehmen, die ein angemessenes Datenschutzniveau bei der Übermittlung von personenbezogenen Daten aus der EU in die USA sicherstellen soll. Das Abkommen stützt sich auf Zusicherungen der vorherigen US-Regierung, die unter anderem durch die Executive Order zur „Verbesserung der öffentlichen Sicherheit“ der Trump-Regierung in Frage gestellt werden.

Im September wird die EU-Kommission prüfen, ob die Voraussetzungen für den Privacy Shield-Beschluss noch gegeben sind. Sollte die Einigung widerrufen werden, dürfte dies das endgültige Aus für das legale Tracking mit Google Analytics in der EU bedeuten – es sei denn, Google ließe sich auf den Abschluss von sogenannten EU-Standardvertragsklauseln ein oder könnte eine Speicherung auf EU-Servern garantieren.

Handlungsbedarf bei Shop- und Website-Betreibern

Shop- und Website-Betreiber, die Google Analytics einsetzen, sollten sich daher überlegen, ob sie zunächst abwarten wollen, wie sich die datenschutzrechtliche Situation entwickelt. Das Risiko: Je nach Ergebnis könnten sie plötzlich in Handlungsnot geraten. Die Alternative: Jetzt proaktiv handeln und auf eine deutsche Software umsteigen, die nachweislich datenschutzkonform ist. Wer dies nicht möchte, sollte zumindest die eigenen Maßnahmen in puncto Datenschutz und Web Analyse überprüfen und gegebenenfalls nachbessern. Dabei gilt es vor allem, die folgenden Aspekte zu beachten:

5 Punkte, die Sie für eine rechtskonforme Web Analyse beachten müssen

  1. Weisen Sie in einer Datenschutzerklärung auf Ihrer Website auf die Datenerhebung und -verarbeitung sowie auf die Möglichkeit zum Widerspruch der Datenerfassung (Opt-out) hin.
  2. Erfassen Sie Daten nur anonymisiert oder pseudonymisiert. Das heißt, dass unter anderem IP-Adressen mindestens um den letzten Block gekürzt werden müssen und Web Analyse-Daten nicht ohne Einwilligung mit personenbezogenen Daten zusammengeführt werden dürfen.
  3. Wenn Sie Google Analytics einsetzen, beachten Sie, dass für die Nutzung der Werbefunktionen eine explizite Einwilligung des Nutzers erforderlich ist. (Diese Funktionen umfassen u.a. Remarketing, Berichte zu Impressionen und Leistung nach demografischen Merkmalen/Interessen sowie integrierte Dienste, für die Daten mit Hilfe von Cookies für Anzeigenvorgaben und Kennungen gesammelt werden.)
  4. Schließen Sie mit Ihrem Anbieter (Auftragnehmer) eine Auftragsdatenvereinbarung (ADV) entsprechend den Anforderungen nach §11 des BDSG ab.
  5. Beachten Sie: Seit der Europäische Gerichtshof das Safe-Harbor-Abkommen für unwirksam erklärt hat, dürfen Daten Ihrer Kunden und Nutzer nicht außerhalb der EU – und weniger anderer Staaten – ohne explizite Einwilligung beziehungsweise ohne Sicherstellung eines angemessenen Datenschutzniveaus übermittelt werden. Die USA gilt nach europäischem Datenschutzrecht als unsicheres Drittland. Eine Auftragsdatenvereinbarung ist in diesem Fall nicht ausreichend. Neben der Privacy Shield-Zertifizierung können noch EU-Standardvertragsklauseln und Binding Corporate Rules eingesetzt werden. Letztere erfordern jedoch eine spezifische Expertise und individuelle Vertragsgestaltung, bei der nicht alle Dienstleister die erforderliche Kompetenz und Bereitschaft besitzen.

0 Kommentare beitragen

Senden Sie uns eine Mitteilung Hier

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Pin It on Pinterest

Share This