Wie im Herbst 2011 berichtet, konnte eine Einigung zwischen den Datenschützern und Google im Hinblick auf die Tracking Software Google Analytics erzielt werden und ein datenschutzkonformer Einsatz ist seitdem unter bestimmten Voraussetzungen zulässig.

Der richtige Einsatz von Google Analytics wird durch die Datenschutzbehörden auch überprüft: Bereits im Januar überprüfte die Datenschutzbehörde in Rheinland-Pfalz stichprobenartig Webseiten auf den richtigen Einsatz von Google Analytics hin, nun zieht auch Bayern nach: Das Bayerische Landesamt für Datenschutzaufsicht hat 13.404 Sites bayerischer Betreiber auf die einwandfreie Verwendung von Google Analytics überprüft. Das Ergebnis war, dass von den Betreibern, die Google Analytics einsetzten, lediglich 3% das Tracking Programm rechtskonform verwendeten. Die übrigen wurden schriftlich aufgefordert, den Missstand zu beheben. Bußgelder sollen allerdings erst einmal nicht verhängt werden.

Das Vorgehen der Datenschützer zeigt, dass es durchaus praktische Relevanz hat, sich an die datenschutzrechtlichen Vorgaben zu halten, um Kontakt mit den Aufsichtsbehörden zu vermeiden. Wir empfehlen daher noch einmal zu überprüfen, ob die nachfolgenden Anforderungen auch tatsächlich umgesetzt worden sind.

Checkliste zum datenschutzkonformen Einsatz von Google Analytics:

• Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abschließen.
• Anonymisierung der IP-Adressen durch das  _anonymizeIp()-Tool von Google
• Widerspruchsrecht der Betroffenen durch ein Deaktivierungs-Add-On
• Datenschutzhinweis in der Datenschutzerklärung mit umfassender Information über die Funktionsweise von Google Analytics und die Rechte des betroffenen Nutzers
• Löschung von Altdaten (bestehende Google Analytics Profile).

No Comments

Wie das Spielenews-Portal Gamasutra vorab meldet, plant das US-amerikanische Pendant zur USK, das ESRB, ein einheitliches System der Alterskennzeichnung für digital vertriebene Mobile Games. Das Konzept, das in der kommenden Woche detailliert vorgestellt werden soll, ist in Zusammenarbeit mit dem internationalen Mobilfunk-Branchenverband CTIA entwickelt worden und soll Einheitlichkeit und Vergleichbarkeit in die Alterseinstufungen der App Stores von Apple, Google und Konsorten bringen.

Bereits Mitte des Jahres hatte das ESRB ein automatisiertes Bewertungssystem vorgestellt, das insbesondere auf kleinere Downloadspiele ausgerichtet war.

Die ESRB-Einstufungen hatten in der Vergangenheit eine wichtige Rolle in den juristischen Scharmützeln um die Verschärfung von Jugendschutzvorschriften in Kalifornien und anderen Bundesstaaten der USA gespielt. Ihre Existenz, so jedenfalls die Mehrheitsmeinung des US Supreme Court, erlaube den Eltern bereits ausreichend, ihrer Erziehungsverantwortung nachzukommen.

Kritische Kommentare zu der Meldung weisen allerdings darauf hin, dass das ESRB mit der Flut neuer Prüfgegenstände überlastet sein könnte, was insbesondere für App-Entwickler zu Verzögerungen bei der Zulassung zu den verschiedenen Vertriebsportalen führen würde. Ein Dorn im Auge der Entwickler-Community ist auch weiterhin der Flickenteppich unterschiedlicher nationaler Altersfreigabesysteme.

Schließlich bleibt auch abzuwarten, wie die großen Content-Distributoren selbst auf diese Ankündigung reagieren. In Südkorea, einem der wichtigsten Gaming-Märkte weltweit, hatten Google und Apple als Reaktion auf die Einführung eines gesetzlichen Altersfreigabesystems lange Zeit überhaupt keine Spiele in Android Market und App Store vertrieben. Erst nach einer deutlichen Entschärfung des Gesetzes waren Games wieder im Angebot.

No Comments

Jetzt bei unseren Specials:

Eine kurze Zusammenfassung der jüngsten Streitigkeiten um Google Analytics und den Facebook Like Button und deren Relevanz für die Spielebranche.

[hier weiterlesen]

No Comments

Die weit über zweijährige Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics ist beendet und erinnert an das Hornberger Schießen. „Beanstandungsfrei“ können Webseitenbetreiber den Dienst einsetzen, wenn sie ein bestimmtes Verfahren beachten. Das ist das Ergebnis langer Gespräche des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises mit dem Dienstanbieter Google.

Die Kurzform dessen, was zu tun ist: Man nehme eine neue Zeile Code, lösche Daten und tausche vor allem einen Haufen Papier aus. Fertig ist der „beanstandungsfreie Betrieb“. Oder noch kürzer: Es wird kompliziert, aber nicht sinnvoll.

Anforderungen an einen beanstandungsfreien Betrieb

Wichtig ist, dass der Dienst keinesfalls nun per se bedenkenlos eingesetzt werden kann. Vielmehr ist ein kompliziert anmutendes Procedere vorab erforderlich.

Webseitenbetreiber, die Google Analytics einsetzen wollen, müssen mit Google Inc. einen Vertrag schriftlich (also mit Unterschrift auf Papier) abschließen. Dieser Vertrag beinhaltet im Kern folgende Punkte:

• ŸWebseitenbetreiber klären Nutzer ihrer Websites in einer Datenschutzerklärung über die Verarbeitung personenbezogener Daten durch Google Analytics auf und weisen auf eine Widerspruchsmöglichkeit hin. Den Widerspruch gegen die Erfassung personenbezogener Daten kann der Nutzer durch Betätigung eines Deaktivierungs-Add-On erklären.
• Webseitenbetreiber können durch Aktivierung der IP-Masken-Funktion die nachträgliche Identifizierung des Nutzers ausschließen. Die Funktion verhindert die standardmäßige Verwendung der vollen IP-Adresse der Nutzer bei Analyseerstellung, indem sie den letzten Bestandteil der IP-Adresse des jeweiligen Besuchers vor Verwendung und Speicherung entfernt.
• Webseitenbetreiber müssen die vorformulierte Datenschutzerklärung verwenden, welche auf die Kürzung der IP-Adresse hinweist. Die Anonymisierung ist auf den Geltungsbereich der EU oder anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum beschränkt. Nur in Ausnahmefällen erfolgt die Übertragung der vollen IP-Adresse an Google in den USA.
• Webseitenbetreiber gelten beim Umgang mit den Daten der Seitenbesucher als Auftraggeber und Google als Auftragsdatenverarbeiter im Sinne des BDSG (dazu im Folgenden mehr).

Bedeutung für Webseitenbetreiber

Durch die Unterzeichnung des Vertragstextes erteilen die Webseitenbetreiber also einen Auftrag zur Datenverarbeitung nach § 11 BDSG. Aber was bedeutet das eigentlich für sie?

Wichtigste Folge ist die fortgesetzte Pflicht des Auftraggebers, also des Webseitenbetreibers, den Auftragnehmer, also Google, regelmäßig auf die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überprüfen. Die Ergebnisse dieser Überprüfung muss der Webseitenbetreiber auch dokumentieren.

Die Idee mutet merkwürdig an, aber tatsächlich hat sich die Google, Inc. nun von jedem Seitenbetreiber, der Google Analytics einsetzt, regelmäßig überprüfen zu lassen. Google hat sich dazu ein Verfahren ausgedacht, wonach der Webseitenbetreiber vorformulierte schriftliche Ausführungen von einem Wirtschaftsprüfer erhält.

Webseitenanbieter sichern mit Vertragsschluss Google zu, die Google Analytics Nutzungsbedingungen einzuhalten. Wie sie u.a. der Bedingung nachkommen, die aus Analytics erhobenen Daten getrennt von anderen personenbezogenen Daten bereitzuhalten, bleibt allerdings ihrem eigenen technischen Know-how überlassen. Besonders vor dem Hintergrund, dass Webseitenbetreiber durch die Vertragsunterzeichnung eine Haftungsübernahme für sämtliche Schäden durch eine vertrags- bzw. gesetzeswidrige Nutzung der Daten erklären, ist den Webseitenbetreibern daher eine gewissenhafte und erfindungsreiche Befolgung der Nutzungsbedingungen anzuraten.

Schließlich nimmt sich Google das Recht heraus, die derzeit kostenlose Nutzung des Dienstes, von „Zeit zu Zeit“ einseitig ändern zu dürfen. Ratsam ist es daher, von „Zeit zu Zeit“ auch die Webseite http://www.google.com/analytics auf eine Änderung der Zahlungsbedingungen zu checken. Ein fortgesetzter Gebrauch des Dienstes durch den Webseitenbetreiber nach einer Bekanntgabe neuer Zahlungsmodalitäten auf der Webseite gilt nämlich als Annahme der Änderungen.

Fazit

Google Analytics ist nutzbar. Irgendwie, und jedenfalls nicht einfach so, sondern mit einem irritierenden Aufwand.

Die nun behördlich abgesegnete Lösung mutet deshalb seltsam an. Sowohl Webseitenbetreiber als auch Google selbst müssen sich nun durch einen ritualisierten Austausch von immer gleichen Verträgen und Prüfberichten in Papierform quälen.

Gerade diese Schriftform ist ein typischer Datenschutzanachronismus. Das Verfahren mutet also bloße Förmelei an, in der als konstruktiver Ansatz bestenfalls die Errichtung einer gewissen Hemmschwelle für die Webseitenbetreiber gesehen werden kann.

Weder der Datenschutz, noch die Webseitenbetreiber, noch Google selbst dürften über die Lösung jubeln. Allenfalls für Datenschutzexperten ist schließlich der Weg über eine sog. Auftragsdatenverarbeitung mit einem in den USA beheimateten Unternehmen interessant. Denn zwar kann ein solcher Vertrag durchaus weltweit abgeschlossen werden. Aber die typischerweise mit dem Vertragsschluss bezweckte Regelung der Verantwortlichkeit ist nur innerhalb von EU / EWR sinnvoll.

Herzlichen Dank an unsere wissenschaftliche Mitarbeiterin Alexandra Heliosch für die Mitarbeit an diesem Beitrag!

4 Comments

Einbruch in das Playstation-Netzwerk bei Sony und Verlust von Millionen Spielekundendaten, Hack des auf IT-Sicherheit spezialisierten Unternehmens RSA, daraufhin Cyber-Attacken auf RSA-Kunde Lockheed-Martin, chinesischer E-Mail Diebstahl bei Morgan Stanley, angeblich Passwort-System von Googles Handy-Betriebssystem geknackt … Die Serie der Datenpannen bei international agierenden Großunternehmen scheint nicht abzureißen; die Aufmerksamkeit der Medien war nie größer. Aber was sind die rechtlichen Folgen?

Der Verlust von Kundendaten bedeutet in aller Regel einen beträchtlichen Imageschaden für das Unternehmen. Es ist dann die Rede von einem PR-Desaster, und die Seriosität des Unternehmens wird angezweifelt. Sogar ein Umsatzrückgang kann die Folge sein. So kostete der Hackerangriff auf das Playstation-Netzwerk Sony laut eigenen Angaben 1,3 Milliarden Euro, teilweise schätzen Analysten den Schaden sogar noch höher.

Angesicht solch verheerender Nachwirkungen dürfte die Versuchung bei Unternehmen groß sein, eventuelle Datenlecks zu verheimlichen.

Doch aufgepasst: Seit 1. September 2009 besteht gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) eine ausdrückliche Verpflichtung zur Information der Betroffenen (Kunden, Mitarbeiter …) und Datenschutzbehörden im Falle von Datenverlusten!

Unternehmen müssen also sich selbst als Datensünder an den Pranger stellen. Bei einem Verstoß drohen Bußgelder bis zu 300.000 Euro.

Wann besteht eine Mitteilungspflicht?

Trotzdem besteht die Mitteilungspflicht nicht in jedem Fall eines Datenlecks. Vielmehr besteht eine solche Pflicht nur bei Verlust bestimmter Datentypen. Im Einzelnen sind dies:

• Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, eine eventuelle Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben
• Informationen, die einem Berufsgeheimnis unterliegen (Anwaltsdaten, ärztliche Daten etc.)
• Strafrechtlich relevante Daten
• Daten zu Bank- und Kreditkartenkonten

Wichtig ist, dass die Pflicht auch nur gilt, wenn die Daten personenbezogen sind, d.h. mit einer konkreten Person in Verbindung gebracht werden können. Handelt es sich um vollständig anonymisierte Daten, besteht kein Risiko für die Betroffenen. Folglich existiert keine Mitteilungspflicht. Bei verschlüsselten Daten kommt es darauf an, ob eine Entschlüsselung für Dritte realistisch möglich ist.

Außerdem besteht die Mitteilungspflicht nicht schon beim bloßen Verlust von Daten. Vielmehr muss das Unternehmen dann auch feststellen, dass tatsächlich Dritte Kenntnis von den Daten erlangt haben. Auch das ist in der Praxis eine wichtige Einschränkung.

Zwar ist laut Gesetz weiterhin eine „schwerwiegende Beeinträchtigung der Rechte oder schutzwürdigen Interessen der Betroffenen“ notwendig. Die sperrige Wendung macht es schon deutlich: Hier ist eine Abwägung im Einzelfall erforderlich.

Wem muss was mitgeteilt werden?

Worst Case. Rien ne va plus. Jemand hat sich tatsächlich Zugriff auf die genannten Daten verschafft. Was tun?

Gesetzliche Pflicht ist eine sofortige persönliche Benachrichtigung der Betroffenen und der zuständigen Datenschutzbehörde, d.h. des jeweiligen Landesdatenschutzbeauftragten. Sollten, wie im Falle Sony, eine Vielzahl von Personen betroffen oder deren Kontaktdaten nicht bekannt und die persönliche Benachrichtigung daher mit unverhältnismäßigem Aufwand verbunden sein, kann sie durch eine Information der Öffentlichkeit in Form einer halbseitigen Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine zur Information der Betroffenen ebenso geeignete Maßnahme ersetzt werden. Die Pflicht zur gesonderten Informierung der Datenschutzbehörden bleibt bestehen.

Die Betroffenen müssen bei der Benachrichtigung darüber informiert werden, auf welche Weise die Daten in fremde Hände gelangt sind und wie etwaige „nachteilige Folgen“ gemildert werden können. In der Benachrichtigung der Behörde müssen auch noch die möglichen nachteiligen Folgen und die daraufhin vom Unternehmen getroffenen Maßnahmen konkret benannt werden.

Sicherheit und Aufklärung gehen vor

Aber: Das Unternehmen darf vielleicht mit der Benachrichtigung warten. Nämlich dann, wenn eine sofortige Benachrichtigung die  Aufklärung des Sachverhalts oder den schnellstmöglichen Schließen der Sicherheitslücke behindern würden. So soll insbesondere verhindert werden, dass das bereits bestehende Datenleck weiteren Dritten eine einfache Angriffsfläche bietet. Weil die Behörden aber einer gesetzlichen Verschwiegenheitspflicht unterliegen, sind sie immer sofort nach Feststellung einer Drittkenntnisnahme zu informieren. Mit diesen Sicherheits- und Aufklärungserwägungen kann sich also ein Unternehmen niemals herausreden, wenn es völlig passiv geblieben ist.

Was bedeutet das für mein Unternehmen?

Ein Datenverlust ist neben dem Imageschaden auch ein rechtliches Problem. Pflichten können entstehen und bei deren Nichtbeachtung können Bußgelder zu 300.000 Euro anfallen. In der Aufarbeitung reicht also keine ausgefeilte Unternehmenskommunikation. Vielmehr ist eine datenschutzrechtlich korrekte Handhabung der Situation erforderlich. Ob eine Mitteilungspflicht besteht, kann nur nach sorgfältiger rechtlicher Prüfung festgestellt werden. Verschiedene Anknüpfungspunkte existieren dabei, um jedenfalls die unangenehme Mitteilungspflicht an Betroffene oder die Öffentlichkeit zu umgehen oder hinauszuzögern.

No Comments

Piwik Analytics ist eine Open-Source-Software zum Tracking von Website-Besuchern (die auch in unserem Blog eingesetzt wird). Anders als bei der seit längerem unter datenschutzrechtlichem Druck stehenden Lösung Google Analytics lässt sich diese Software lokal betreiben. Eine Datenübermittlung an Dritte oder gar ins Ausland findet also nicht statt.

Unsere Einschätzung, dass damit bei entsprechend sorgfältiger Konfiguration ein mit dem deutschen Datenschutzrecht konformes Tracking möglich ist, wird nunmehr auch ganz offiziell vom – tendenziell in Datenschutzfragen recht strengen – Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) geteilt – Piwik wird als Alternative zu Google Analytics sogar ausdrücklich empfohlen.

Allerdings genügt dafür die Grundversion der Software nach Meinung des ULD nicht ganz. Ausgehend von der umstrittenen Rechtsauffassung, dass IP-Adressen personenbezogene Daten darstellen, fordern die Datenschützer mindestens noch den Einsatz des Plugin “AnonymizeIP”, das die vollständige Speicherung von IP-Adressen abschaltet.

1 Comment

Die FAZ meldet, dass der für den Sitz von Google Deutschland zuständige Datenschutzbeauftragte von Hamburg, Johannes Caspar, die Verhandlungen mit Google über die datenschutzkonforme Ausgestaltung des verbreiteten Analysetools Google Analytics abgebrochen habe. Der Suchmaschinenriese hat sich dem Anschein nach nicht genügend bewegt.

Dem rechtliche Kernproblem von Google Analytics haben wir schon vergangenen März einen Beitrag gewidmet: Die Software erhebt IP-Adressen von Websitebesuchern und übermittelt diese zur Auswertung und Speicherung an Google-Server in den USA. Hält man mit Teilen von Rechtsprechung und Rechtswissenschaft IP-Adressen für personenbezogene Daten, dann bedeutet dies eineErhebung und Übermittlung solcher personenbezogener Daten in Drittstaaten außerhalb der EU. Beides ist grundsätzlich nur mit der Einwilligung des Betroffenen zulässig – aber eine solche Einwilligung kann bei der aktuellen technischen Ausgestaltung des Prozesses nicht eingeholt werden.

Nachdem die Verhandlungen über eine Umgestaltung der Software ergebnislos geblieben sind und die Hamburger Datenschutzbehörde auch den Verweis auf Blockier-Plugins zu Recht schon deswegen nicht für ausreichend hält, weil diese für etliche verbreitete Browser gar nicht zur Verfügung stehen, könnte es nun zu behördlichen Maßnahmen gegen jeden Websitebetreiber kommen, der Google Analytics weiterhin einsetzt.

Dazu die FAZ:

Da die Aufsichtsbehörden gegen Google selbst nicht vorgehen können, wollen sie nun prüfen, ob und wie sie gemeinsam gegen Betreiber von Websites vorgehen, die weiterhin GA einsetzen. Auf sie könnte dann „ein empfindliches Bußgeld“ zukommen, sagte Caspar. Auch ein Musterprozess gegen ein größeres Unternehmen wird erwogen.

Für die betroffenen Unternehmen kann das teuer werden: § 43 BDSG sieht grundsätzlich Geldbußen bis 300.000 Euro vor – im Einzelfall darf dieser Rahmen sogar noch überschritten werden.

Update 14.1.2011:

Die Einstellung der Datenschutzbehörde scheint sich etwas zu beruhigen. Das Conversion Room Blog berichtet von einem Post des Google Analytics Teams. Darin heißt es:

Nach dem Gespräch können wir bestätigen, dass von der Datenschutzbehörde in Hamburg derzeit keine aufsichtsrechtlichen Maßnahmen (z. B. Bußgelder) gegen den Einsatz von Google Analytics geplant sind.

3 Comments

Unser Fundstück zum Wochenende – Google feiert (einen Tag zu früh) den 30. Geburtstag von Pac-Man mit einem interaktiven Google-Doodle:

Sobald man eine Münze eingeworfen hat (Mausklick genügt – virtuelle Währung einmal anders) geht das Game los, gesteuert wird mit den Pfeiltasten. Zum Spielvergnügen passt ein Spruch, der dem Nintendo-Manager Kristian Wilson zugeschrieben wird. Bereits 1989 soll er gewusst haben:

Computer games don’t affect kids; I mean if Pac-Man affected us as kids, we’d all be running around in darkened rooms, munching magic pills and listening to repetitive electronic music.

Immerhin hält er uns heute noch zeitweise von der ernsthaften Internetrecherche ab. Happy Birthday, Pac-Man!

Update 25.05.2010: Das Doodle gibt es – dauerhaft – hier.

No Comments

Damit eine “Benutzung” der Marke im Sinne des Art. 5 Abs. 1 Satz 2 lit. a der Richtlinie 89/104/EWG vorliegt und der Markeninhaber die Nutzung durch Dritte überhaupt verbieten kann, müssen nach der Rechtsprechung des EuGH entweder die Werbe- oder die Herkunftsfunktion beeinträchtigt sein.

Auf die Vorlage des BGH in Sachen “Bananabay” hat der EuGH nun ein weiteres Mal entschieden, dass die Verwendung einer mit einer fremden Marke identischen Zeichenkombination als Adword bei Google grundsätzlich die Werbefunktion der fremden Marke nicht beeinträchtigt:

Zur Werbefunktion hat der Gerichtshof in diesem Urteil [Google France und Google, C‑236/08 bis C‑238/08] ausgeführt, dass die Benutzung eines mit einer Marke eines anderen identischen Zeichens im Rahmen eines Referenzierungsdienstes wie „AdWords“ nicht geeignet ist, die Werbefunktion der Marke zu beeinträchtigen (Urteil Google France und Google, Randnr. 98).

Dies gilt auch für den vorliegenden Fall, da sich das Ausgangsverfahren auf die Auswahl von Schlüsselwörtern und das Erscheinen von Anzeigen im Rahmen desselben Referenzierungsdienstes „AdWords“ bezieht.

Allerdings könne eine Beeinträchtigung der Herkunftsfunktion vorliegen, wenn durch den als Anzeige geschalteten Text der Eindruck entstehe, dass eine wirtschaftliche Verbindung zwischen dem Markeninhaber und dem Werbenden bestehe. Dies ist aber zunächst eine Frage des Einzelfalls, die die nationalen Gerichte beurteilen müssen.

Während grundsätzlich also auch Marken Dritter als Adword benutzt werden können, ist bei der Formulierung der Werbeanzeigen weiterhin Vorsicht geboten. Hier muss jede Täuschung über die Identität des Werbenden und seine Verbindung zum Markeninhaber vermieden werden.

No Comments

Wieder einmal steht Google mit seinem für Webseitenbetreiber kostenlos einsetzbaren Analysedienst in den Schlagzeilen. Denn der Suchmaschinen-Primus hat ein globales Browser-Plugin angekündigt, mit dem Surfer zukünftig Google Analytics deaktivieren können. Dies darf jedoch nicht darüber hinwegtäuschen, dass der Dienst auch dann aufgrund klarer Verstöße gegen das Datenschutzrecht in Deutschland weiter nicht eingesetzt werden darf.

Google Analytics ist mit deutschem Datenschutzrecht unvereinbar. Darauf hat sich jüngst der sogenannte Düsseldorfer Kreis, die informelle Vereinigung der obersten Datenschutz-Aufsichtsbehörden, verständigt. Denn der bei Webseitenbetreibern immer noch beliebte Dienst sammelt und verarbeitet IP-Adressen und andere personenbezogene Daten ohne das erforderliche Einverständnis der Nutzer. Noch dazu übermittelt der Dienst diese Daten in die USA; ein Land, in dem die Userdaten praktisch ungeschützt sind. Die jetzt bekannt gewordenen Pläne von Google, den Dienst für Besucher individuell abschaltbar zu machen, ändern an dieser rechtlichen Bewertung nichts.

Viele Spieleanbieter setzen dennoch weiterhin Google Analytics ein. Und riskieren damit ein Bußgeld, das theoretisch bis zu 300.000 Euro hoch ausfallen kann. Denn die mit dem Analysedienst verbundenen, mehrfachen Datenschutzverstöße stellen unter dem Bundesdatenschutzgesetz eine Ordnungswidrigkeit dar. Und weil der Gesetzgeber davon ausging, Teile der Wirtschaft zur Räson rufen zu müssen, wurde das Bußgeld zuletzt mehrfach erhöht. Möglicherweise droht darüber hinaus auch eine Abmahnung durch Mitbewerber.

Rechtswidrig ist nicht allein Google Analytics. Verschiedene andere Dienste arbeiten ähnlich und sind damit genauso unzulässig. Der Einsatz solcher Dienste auf der eigenen Internetpräsenz sollte schnellstmöglich abgestellt werden. Dabei ist auch zu bedenken, dass solche, rechtswidrigen Anwendungen auf der eigenen Seite für jedermann erkennbar sind. Und Lösungen in Form von rechtlich zulässigen Diensten existieren ohnehin.

18 Comments