+49 228 2861 140 60 info@sicoda.de
Google Analytics verstößt (in Österreich) gegen die DS-GVO

Google Analytics verstößt (in Österreich) gegen die DS-GVO

Google Analytics verstößt gegen die DS-GVO

Wir möchten Sie über aktuelle Medienberichte (z.B. Heise) zur Nutzungsmöglichkeit von Google Analytics informieren:

Nach Ansicht der Datenschutzbehörde der Republik Österreich verstößt die Verwendung von Google Analytics gegen die DS-GVO.

Obwohl die österreichische Behörde die Verwendung von Google Analytics für unzulässig hält, hat sich dieser Auffassung bisher keine deutsche Behörde angeschlossen.

Selbst wenn sich diese Auffassung auch in Deutschland festigen sollte, wäre Google Analytics weiterhin mit einer rechtskonformen Einwilligung der Nutzer möglich.

Unsere Bewertung der Meldung:

Nach der aktuell veröffentlichten Entscheidung der Datenschutzbehörde der Republik Österreich verstößt die Nutzung von Google Analytics auf Webseiten gegen Art. 44 DS-GVO.

Die Entscheidung wird u. a. damit begründet, dass die durch Google Analytics verarbeiteten personenbezogenen Daten (z. Bsp. einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) in den USA verarbeitet werden und damit der Überwachung durch US-Geheimdienste unterliegen.

Die österreichische Behörde führt zur weiteren Begründung ihrer Entscheidung an, dass die  Überwachung durch US-Geheimdienste nicht durch vertragliche Regelungen zwischen einem Webseitenbetreiber und Google ausgeschlossen werden kann. Von daher wird das von Art. 44 DS-GVO geforderte Schutzniveau bei einer Verarbeitung außerhalb der EU nicht eingehalten, so dass eine Verarbeitung von personenbezogenen Daten durch Google Analytics gegen die DS-GVO verstoße.

Neben der Datenschutzbehörde der Republik Österreich wird auch eine Entscheidung durch die niederländische Behörde für persönliche Daten zu der Zulässigkeit der Verwendung von Google Analytics auf Webseiten bzw. Apps erwartet.

In Deutschland befasst sich gerade der bayerische Landesbeauftragte für den Datenschutz mit einer identischen Prüfung zur Vereinbarkeit der Nutzung von Google Analytics. Eine Entscheidung dazu liegt z. Zt. noch nicht vor.

Ohne eine Stellungnahme durch eine deutsche Behörde oder ein deutsches Gericht hat die österreichische Entscheidung keine Rechtswirkung für die Datenverarbeitung in Deutschland.

Nach den bisherigen Stellungnahmen der deutschen Aufsichtsbehörden zu einer Verarbeitung von personenbezogenen Daten außerhalb der EU und insbesondere in den USA, muss damit gerechnet werden, dass sich die deutschen Aufsichtsbehörden ebenfalls gegen die Zulässigkeit einer Verwendung von Google Analytics ohne Einwilligung der Nutzer, aussprechen werden.

Ausblick:  Sollte in Zukunft eine derartige Entscheidung in Deutschland erfolgen ist eine Nutzung von Google Analytics weiterhin mit der Einwilligung der Webseitenbesucher DS-GVO zulässig.  Sie müssten dann lediglich in der Datenschutzerklärung den Hinweis zu Google Analytics um einen Passus zur möglichen Verarbeitung dieser Daten in den USA durch Geheimdienste erweitern. Hierzu gibt es von den deutschen Aufsichtsbehörden keine verbindlichen Vorgaben oder Orientierungshilfen. Sollten Sie bereits jetzt Maßnahmen vorsorglich ergreifen wollen, können Sie uns natürlich jederzeit für Text- und Umsetzungsvorschläge kontaktieren.

Wir halten die Entwicklung aufmerksam im Auge und werden Sie bei deutschen Stellungnahmen oder Urteilen sofort informieren.

EuGH zur WLAN Haftung

EuGH zur WLAN Haftung

Der EuGH hat zur WLAN Haftung eines geschäftlichen Betreibers entschieden, dass dieser für Urheberrechtsverletzungen über sein Netz nicht haften soll. Er kann jedoch von dem Urheberrechteinhaber dazu verpflichtet werden ausreichende Schutzmaßnahmen zu ergreifen, um die weitere Rechtsverletzung zu unterbinden. Das kann in der Praxis dazu führen, dass freie WLANs mit Passwörtern geschützt werden müssen.

Die Pressemeldung zum Urteil finden Sie unter:

http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-09/cp160099de.pdf

Störerhaftung: Voraussichtliche Änderung der Rechtslage

Störerhaftung: Voraussichtliche Änderung der Rechtslage

Wie nunmehr in den Nachrichten veröffentlicht, hat sich die Koalition aus Union und SPD darauf geeinigt, dass Anbieter offener WLANs nicht mehr im Rahmen der sogenannten Störerhaftung für die missbräuchliche Nutzung des WLANs herangezogen werden können.

Der finale Gesetzesentwurf konnte bisher noch nicht eingesehen werden und ist bisher noch nicht verabschiedet worden. Er soll zwar dieses Jahr noch in Kraft (Herbst 2016) treten, bis dahin besteht aber noch die alte Rechtslage (vgl. BGH Entscheidung vom 12. Mai 2010, AZ: 1 ZR 121/08) mit der damit verbunden Rechtsunsicherheit fort.

Insofern kann zunächst nur weiter geraten werden, dass der Anschlussinhaber sein WLAN Netz ausreichend schützt, also mindestens den WPA-2 Standard zu aktivieren und der Belehrungspflicht gegenüber Dritten am Besten im Rahmen einer WLAN-Policy nachkommt.

 

Weiter Links:

BMI – Mehr Rechtssicherheit bei WLAN – Potentiale der kabellosen Kommunikation nutzen

golem.de – Selbst Netzpolitiker können mal Erfolg haben

 

Web-Server Log File

Was protokolliert ein Apache – Webserver bein einem normalen Aufruf?

Eine Protokollzeile eines normalen Aufrufs kann wie folgt aussehen:

Log-Eintrag Beschreibung
109.91.123.123* IP Adresse des aufrufenden Systems.
test_user** Kennung eines angemeldeten Nutzers.
[15/Apr/2014:11:29:26 +0200] Genaues Datum und Uhrzeit des Aufrufs sowie Zeitzone des Server (+0200)
GET /index.php/ HTTP/1.1″ Technische Information zu den angeforderten Daten, hier der Aufruf der Datei index.php und der Spezifikation HTTP 1.1 des W3C Konsoritums
Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36 Aufrufender Browser Chorme 34 mit genauer Information zum Update Stand
Windows NT 6.1; WOW64 Windows Version (Windows 7 64bit)
www.sicoda.de Sogenannter Referrer, also Webseite von der der Aufruf ursprünglich kommt.
200 HTTP Statuscode des Aufrufs (200 OK) WIKIPEDIA – HTTP Statuscodes
394 Größe der übertragenen Datei
*IP wurde verfremdet** Username wurde exemplarisch aufgenommen, liegt in unseren Log-Files nicht vor.

 

Eine genaue Beschreibung des Log-Files eines Apache Servers findet sich unter:

http://httpd.apache.org/docs/current/logs.html

Wie sich aus dieser Dokumentation ergibt, kann die Protokollierungstiefe entsprechend der jeweiligen Einstellung variieren.

Personenbezug von IP Adressen

Der Personenbezug von IP Adressen wird von Aufsichtsbehörden generell angenommen. Dieser Auffassung ist auch das Amtsgericht Berlin gefolgt.

Das Oberlandesgericht Hamburg stellt diese seit langem geltende Prämisse jetzt in Frage. In der Entscheidung 5W126/10 äußern sich die Richter bezüglich des generellen Personenbezugs von IP Adressen sehr kritisch.

„Dass das Ermitteln der IP-Adressen nach deutschem Datenschutzrecht rechtswidrig sein könnte, ist nicht ersichtlich, da bei den ermittelten IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden kann. Der Personenbezug wird erst durch die seitens der Staatsanwaltschaft nach §§ 161 Abs. 1 S. 1 und 163 StPO angeforderte oder gem. § 101 Abs. 9 UrhG gerichtlich angeordnete Auskunft des Providers ermöglicht. Das Erteilen derartiger Auskünfte hat der BGH in der vorerwähnten Entscheidung „Sommer unseres Lebens“ (dort. Tz. 29) ausdrücklich als rechtmäßig angesehen.“

Mit dieser Oberlandesgerichtsrechtsprechung kann nicht uneingeschränkt an der bisherigen Prämisse festgehalten werden.

Der Gesetzgeber ist hier gefragt, in der anstehenden Änderung des TMG eine endgültige Entscheidung in der Frage des Personenbezugs von IP Adressen zu treffen.