Kategorie-Archiv: Whitepaper

Stellungnahme zum EuGH Urteil „Facebook Like Button“

Aufgrund des aktuellen EuGH Urteils erreichen uns viele Fragen von Kunden und Partnern, inwieweit der Einsatz von etracker auch davon betroffen ist. Im Folgenden finden Sie unsere Stellungnahme zum Urteil und die Begründung, warum das EuGH Urteil etracker Anwender gar nicht betrifft.

Ausgangssituation

Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 eine wegweisende Entscheidung gefällt, die jeden Website-Betreiber betrifft, der Inhalte von dritten Anbietern einbindet wie beispielsweise Facebook Like Button, Google Maps, Google Analytics oder auch etracker.

In dem vorliegenden Fall, der noch auf Grundlage der Datenschutzgesetzgebung vor Eintritt der Datenschutzgrundverordnung (DSGVO) verhandelt wurde, sind verschiedene Rechtsfragen aufgeworfen und beurteilt worden. Insbesondere wurde die Frage zur „Verantwortlichkeit“ von Datenverarbeitungsprozessen auf Webseiten abschließend höchstrichterlich geklärt. Da die Verantwortlichkeiten in der heute gültigen DSGVO praktisch identisch definiert sind, wie in der zugrunde liegenden Datenschutzgesetzgebung, entfaltet diese Entscheidung daher auch heute und für die Zukunft Wirkungskraft innerhalb Europas.

Hintergrund und Streitgegenstand

Der Betreiber eines Webshops hatte den Facebook Like Button als sogenanntes „Social Media Plugin“ in seine Website eingebunden. Hierbei wird bei jedem Besuch einer Seite, die ein solches Plugin enthält, die IP-Adresse des Besuchers an Facebook übermittelt – selbst wenn der Besucher den Facebook Like Button gar nicht klickt. Der EuGH urteilte bereits im Januar 2017, dass IP-Adressen personenbezogene Daten sind. Damit unterliegt die Datenübermittlung an Facebook unzweifelhaft dem Datenschutzrecht. Zudem ist Facebook mit über zwei Milliarden registrierten Nutzern in der Lage, praktisch jeden Nutzer, der eine Seite mit dem Social Media Plugin besucht, anhand von IDs (z.B. aus Cookies) persönlich zu identifizieren. Die über das Plugin gewonnenen Daten werden von Facebook Website-übergreifend zu detaillierten Persönlichkeitsprofilen verknüpft, die Facebook zu eigenen Zwecken nutzt. Verbraucherschützer klagten über verschiedene Instanzen und bemängelten zum einen, dass über den Verarbeitungsprozess der personenbezogenen Daten durch Facebook nicht hinreichend aufgeklärt wurde. Zum anderen fehle es an einer wirksamen Einwilligung in den Verarbeitungs­prozess vor dem Verarbeitungsvorgang sowie an einer Widerspruchsmöglichkeit durch den Verbraucher.

Entscheidung des EuGH

Der EuGH stellte nun fest, dass Website-Betreiber für das Erheben personenbezogener Daten beim Besuch des Internetauftritts und für die Weiterleitung der Daten an Facebook gemeinsam mit dem Anbieter des Social Media Plugins verantwortlich sind. Dabei sei es auch nicht erheblich, dass der Website-Betreiber nach der Übermittlung an Facebook gar keinen Zugriff auf die erhobenen Daten habe. Es sei bereits ausreichend, dass der Betreiber von der Datenverarbeitung u.a. durch bessere Werbemöglichkeiten für die betroffenen Besucher bei Facebook profitiere. So erlange sowohl Facebook als auch der Website-Betreiber einen wirtschaftlichen Vorteil und beide seien daher gemeinsam für die Zwecke und Mittel der Datenverarbeitung verantwortlich.

Generelle Auswirkungen des Urteils

Website-Betreiber, die Social Media Plugins verwenden, sind nunmehr angehalten, umfassend über die Datenweitergabe zu informieren und eine Einwilligung zur Datenverarbeitung beim Besucher einzuholen, bevor die Datenweitergabe beginnt. Diese Einwilligung muss wirksam erfasst und entsprechend der heutigen DSGVO dokumentiert werden. Dies gilt auch für andere Plugins und alle eingebundenen Inhalte Dritter wie beispielsweise Instagram, Twitter, Xing oder Trusted Shops. Aber es sind auch „unsichtbare“ Dienste wie Retargeting-Pixel und Website-Tracking betroffen, sofern sie vollständige IP-Adressen verarbeiten oder IDs (z.B. in Cookies) verwenden, die eine persönliche Identifikation des Besuchers ermöglichen.

Auswirkungen des Urteils auf Website Tracking und ähnliche Dienste

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben in Deutschland mit Verabschiedung der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ Anfang April 2019 eine klare Leitlinie für rechtskonformes Tracking unter der DSGVO vorgegeben. Diese Orientierungshilfe (im Folgenden kurz DSK-Papier genannt) steht vollständig im Einklang mit der jetzigen Entscheidung des EuGH. Denn auch sie sieht vor, dass die Einwilligung des Betroffenen vor dem Datenverarbeitungsvorgang einzuholen ist, sofern personenbezogene Daten – also auch vollständige IP-Adressen – durch einen Dritten verarbeitet werden. Darüber hinaus sieht sie auch dann die Notwendigkeit der Einwilligung vor, wenn Daten über einen Betroffenen über verschiedene Websites hinweg gesammelt und zusammengeführt werden. Denn damit ist allein durch die Vielzahl der gesammelten Einzelmerkmale eine Identifikation des Betroffenen möglich, selbst wenn zunächst keine personenbezogenen Daten (wie vollständige IP-Adressen) übermittelt werden. Insbesondere ist auch dann eine Einwilligung notwendig, wenn der Betreiber des eingebundenen Dienstes in der Lage ist, den Nutzer (z.B. unter Zuhilfenahme von IDs aus Cookies) persönlich zu identifizieren, selbst wenn keine vollständigen IP-Adressen verarbeitet werden. Dies ist beispielsweise häufig dann der Fall, wenn der Dienstanbieter Nutzern die Möglichkeit zur Registrierung eines Nutzerkontos anbietet und dabei die Einwilligung zur Datenzusammenführung über verschiedene Websites einholt. Beispiele für derartige Anbieter sind Facebook, Google aber auch Microsoft mit LinkedIn. Werden die Dienste dieser Anbieter (sei es der Facebook Like Button, LinkedIn Button, Google Maps oder Google Analytics) in Webseiten eingebunden, ist zwingend die informierte und freiwillige Einwilligung des Betroffen vor der Datenverarbeitung einzuholen.

Auswirkung auf den Einsatz von etracker

Neben der Notwendigkeit der Einwilligung beschreibt das DSK-Papier die Möglichkeit, die Datenverarbeitung auf das „berechtigte Interesse“ des Website-Betreibers zu stützen, wobei diesem sehr enge Grenzen gesetzt werden:

Der Website-Betreiber hat ein berechtigtes Interesse an der Erfassung statistischer Informationen zur Optimierung des Internetangebotes, sofern die Datenerfassung erforderlich ist und eine Interessenabwägung stattgefunden hat. Der Website-Betreiber hat damit ein berechtigtes Interesse an Tracking, solange eine persönliche Identifikation nicht erforderlich ist und auch keine Website-übergreifende Profilbildung durch den Tracking-Anbieter stattfindet. Denn beides ist nicht erforderlich für die statistische Auswertung und Optimierung seines Angebotes.

Der Einsatz von etracker stellt daher ein berechtigtes Interesse des Website-Betreibers dar und erfordert keine Einwilligung des Besuchers. Dies vor folgendem Hintergrund:

(1) etracker verarbeitet keine vollständigen IP-Adressen

etracker hält sich strikt an die „Privacy by Design“- und „Privacy by Default“-Prinzipien und benötigt für die statistischen Auswertungen keine personenbezogenen Daten. Anders als bei vielen anderen Analytics-Lösungen ist bei etracker keine zusätzliche Implementierung im Tracking Code oder eine aufwendige Konfiguration zur Anonymisierung der IP-Adresse notwendig. Eine Verarbeitung vollständiger IP-Adressen findet bei etracker niemals statt.

(2) etracker hat keine weiteren personenbezogenen Daten

Die von etracker gewonnenen Daten werden stets ausschließlich pseudonym (unter Verwendung einer ID) verarbeitet. Eine Registrierung von Nutzern und die Verknüpfung der Registrierungsdaten mit den verwendeten IDs ist bei etracker nicht möglich.Bei Google werden hingegen die mit Google Analytics gewonnenen Daten stets mit den personenbezogenen Daten aus dem Google Konto zu einem Persönlichkeitsprofil kombiniert, wenn der Nutzer ein Google Konto besitzt und der Zusammenführung nicht aktiv widersprochen hat.

(3) etracker erstellt keine Website-übergreifenden Nutzerprofile

Als Auftragsverarbeiter verknüpft etracker die Daten unterschiedlicher Kunden nicht miteinander und erstellt auch keine Website-übergreifenden Nutzerprofile. Dies ist rechtlich im Rahmen der AGB nicht zulässig und daher auch technisch gar nicht möglich.Anders ist die Website-übergreifende Profilbildung aber genau das Ziel von Anbietern wie Google, die mit Analytics jeden Internet-Nutzer über alle Websites und Geräte genau verfolgen, um umfangreiche Persönlichkeitsprofile zu erstellen. Denn diese dienen dem eigentlichen Geschäftszweck: dem gezielten Ausspielen von Werbung anhand von umfangreichen Persönlichkeitsprofilen.

(4) etracker ist klassischer Auftragsverarbeiter

etracker verarbeitet sämtliche Daten ausschließlich im Auftrag des Kunden und hat keinerlei Rechte an den erfassten Daten. Dem Auftraggeber stehen umfangreiche Weisungs- und Kontrollmöglichkeiten zu – bis hin zur physischen Kontrolle des Rechenzentrums.Diese für die Auftragsverarbeitung wichtigen Rechte und die sich daraus ergebenen Pflichten und Verantwortlichkeiten sind bei Anbietern wie Google in der Regel nicht gegeben, selbst wenn formell ein Vertrag zur Auftragsverarbeitung geschlossen wird. Die an Google zur Verarbeitung übergebenen Daten gehen ins Eigentum von Google über – und sind letztlich die Währung, in der Google Analytics bezahlt wird.

(5) etracker verarbeitet alle Daten ausschließlich in Deutschland

Die von etracker verarbeiteten Daten werden ausschließlich auf eigenen Servern im Hamburger Rechenzentrum verarbeitet. Es werden keinerlei Cloud-Dienste Dritter verwendet, bei denen die Datenspeicherung unter Umständen außerhalb der EU stattfindet. Alle von etracker verarbeiteten Daten verbleiben in der EU und unterliegen der DSGVO.

Die Voraussetzungen, die zum EuGH Urteil bei Facebook geführt haben, sind daher bei etracker gar nicht gegeben, so dass das Urteil – anders als bei anderen Analytics Anbietern – gar keine Anwendung findet.

Fazit

Auch wenn das aktuelle EuGH Urteil grundsätzlich einschneidende Veränderungen für den Betrieb von Websites mit sich bringt, wirkt es sich nicht auf den Einsatz von etracker aus. etracker Kunden haben im Einklang mit dem DSK-Papier ein berechtigtes Interesse an der Datenverarbeitung und müssen daher nur ihren Informationspflichten zur Datenerhebung im Rahmen der Datenschutzerklärung nachkommen. Eine explizite Einwilligung in die Verarbeitung, wie der EuGH und das DSK-Papier sie fordern, ist nicht notwendig. Dies wird auch durch ein unabhängiges Datenschutz-Audit bestätigt, so dass etracker das ePrivacyseal erhalten hat.

Websites von etracker Anwendern können daher weiterhin ungestört und friktionsfrei besucht werden, und es drohen keine Risiken aufgrund des etracker Einsatzes.

 

 

Der Beitrag Stellungnahme zum EuGH Urteil „Facebook Like Button“ erschien zuerst auf etracker.com.

Datenschutzgerechtes Tracking für Websites und Apps nach DSGVO

Datenschutz ist seit der Gründung von etracker vor nahezu 20 Jahren fest in der Unternehmens-philosophie verankert. Um den datenschutzkonformen Einsatz unserer Lösungen unter DSGVO und BDSG neu zu gewährleisten, haben wir uns mit den Aufsichtsbehörden abgestimmt, die Datenschutz-Zertifizierung mit erfolgreicher Verleihung des ePrivacyseal-Gütesiegels durchlaufen und uns mit vielen Datenschutzberatern und Fachanwälten ausgetauscht.

Unser dadurch gewonnenes Fachwissen und unsere praktische Erfahrung in Sachen DSGVO-konformes Tracking möchten wir hier mit Ihnen teilen.

Mehr erfahren? Hier geht es zu unserem Whitepaper.

Der Beitrag Datenschutzgerechtes Tracking für Websites und Apps nach DSGVO erschien zuerst auf etracker.com.

100 %ige Datenschutzkonformität gemäß EU-DSGVO und BDSG neu

Web-Analyse, KonversionsOptimierung und OnlineMarketing-Steuerung unter EU-DSGVO und BDSG neu

So tracken Sie auch nach dem 25. Mai 2018 rechtskonform weiter.

Die „Online-Marketing Klausel“ der EU-DSGVO

Für Online-Marketer ist Art. 6 eine der entscheidenden Passagen in der EU-DSGVO, denn hier geht es um die Rechtmäßigkeit der Verarbeitung personenbezogener Daten.

Art. 6 Abs. 1 der EU-DSGVO besagt, dass die Verarbeitung von personenbezogenen Daten [im Sinne von Tracking (Anmerkung etracker)] nur rechtmäßig ist, wenn:

lit. a: „Die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder
mehrere bestimmte Zwecke gegeben (hat).“

… oder

lit. f: „Die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich (ist), sofern
nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern,
überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Eine Einwilligung bzw. ein Opt-In ist demnach dann erforderlich, wenn bei der Abwägung der Interessen, der Schutz der betroffenen Person überwiegt.

Das ist der Fall, wenn

Anbieter das Recht auf die Daten beanspruchen und diese nutzen, um ihre eigenen Produkte und Services zu verbessern,
die Daten an Dritte weitergegeben werden,
Daten von Kindern oder besonders sensible personenbezogene Daten erhoben werden,
die Daten zu einer übergeordneten Profilbildung genutzt werden,
keine Pseudonymisierung bzw. ausreichende Verschlüsselung (durch geeignete Hashverfahren) bei der Verarbeitung erfolgt,
E-Mailings an Nicht-Kunden oder zu „unähnlichen“ Produkten versendet werden.

Keine Einwilligung ist notwendig, solange

der Zweck – wie Direktwerbung, Marktforschung (Web-Analyse und A/B-Testing) oder bedarfsgerechte Gestaltung des
Angebots (Personalisierung) – hinreichend klar formuliert ist und real besteht (Zweckbindung),
Datensparsamkeit, Anonymisierung bzw. Pseudonymisierung und Sicherheitsmaßnahmen beachtet werden,
keine hochsensiblen Daten verarbeitet werden,
keine erhebliche Beeinträchtigung oder mögliche Nachteile für Betroffene zu erwarten sind,
die Verarbeitung üblich und vernünftigerweise von betroffenen Personen abzusehen bzw. zu erwarten ist und
ein geringes Verbreitungspotenzial der Daten vorliegt.

Warum kommt dem Einwilligungserfordernis (Opt-In versus Opt-Out) eine so große Bedeutung zu?

Ein Blick auf das Ergebnis des Ländervergleiches einer internationalen Studie zum Einverständnis zur Organspende macht es deutlich. Der sogenannte „Default-Effekt“ sorgt für einen gravierenden Unterschied: In den Ländern, in denen man sich über ein Opt-Out aktiv von der Organspende ausschließen muss, liegt die Spenderbereitschaft bei nahezu 100%. Die Länder, in denen man sich über ein Opt-In aktiv für die Organspende melden muss, profitieren nur von einer Spenderbereitschaft von weit weniger als 28%.

 

 

Quelle: The effect of default choices on organ donation. Johnson and Goldstein (2003)

 

Dieses Beispiel zeigt, dass Compliance-Bemühungen nicht nur dazu dienen sollten, die Gefahren von Abmahnungen, Strafen und Bußgelder zu vermeiden, sondern Lösungen eingesetzt werden müssen, die der Compliance entsprechen, jedoch mögliche Compliance-Nachteile minimieren oder gar keine Nachteile mit sich bringen. Denn sobald die eingesetzte Lösung bzw. Art der Datenverarbeitung ein Opt-In erforderlich macht, muss mit einer deutlich geringeren Daten-Erfassungsrate gerechnet werden.

Fazit: Für die Gewährleistung einer bestmöglichen wie rechtskonformen Daten-Erfassungsrate entscheidend:
Alle Arten der Datenverarbeitung sollten nach Möglichkeit durch die Rechtsgrundlage des Art. 6 Abs. 1 f EU-DSGVO zu rechtfertigen sein.

Wenn ein Opt-In erforderlich sein sollte: Wie sieht dann eine rechtskonforme Einwilligung aus?

Heute in der Praxis verbreitete Hinweise wie z. B.:

erfüllen die gesetzlichen Anforderungen an eine EU-DSGVO-konforme Einwilligung nicht!

Denn die Einwilligung muss darüber informieren:

Welche(s) Verfahren/Produkt(e) kommt(en) zum Einsatz?
Welche Arten von personenbezogenen Daten werden verarbeitet?
Für welchen Zweck werden die Daten verarbeitet?
Hinweis auf Opt-Out-Möglichkeit

Und ganz wichtig: Eine aktive Wahlmöglichkeit muss geboten werden!

Was heißt das für die Nutzung von Google Diensten?

Bei Einsatz der Tracking-Tools von Plattform-Betreibern wie Google und Facebook, die das Recht auf Ihre Daten beanspruchen und diese nutzen, um ihre eigenen Produkte und Services zu verbessern, oder US-Tools, die IP-Adressen und Gerätekennungen nur mangelhaft anonymisieren oder verschlüsseln, laufen Sie Gefahr, eine Einwilligung von Ihren Nutzern zu benötigen.

In der Google Datenschutzerklärung Stand 18.12.2017 (recherchiert am 26.02.2018) heißt es:

„Bei Verwendung von Google Analytics zusammen mit unseren Werbediensten, z. B. solchen, die das DoubleClick-Cookie nutzen, werden Google Analytics-Daten vom Google Analytics-Kunden oder von Google mithilfe von Google-Technologie mit Daten über Besuche auf mehreren Websites verknüpft.“

Somit ist klar: Bei Verwendung von Google Analytics zusammen mit Googles Werbediensten erfolgt keine rein zweckgebundene, transparente Auftragsdatenverarbeitung, sondern eine Verarbeitung darüber hinaus für eigene Zwecke.

Es ist zum einen fraglich, ob es sich hierbei um ein berechtigtes Interesse von Dritten gemäß Art. 6 EU-DSGVO handelt, zum anderen könnten sehr wahrscheinlich die „Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“, da eine Website-übergreifende Profilerstellung vorgenommen wird.

Insofern ist davon auszugehen, dass bei Verwendung von Google Analytics zusammen mit Googles Werbediensten eine explizite Einwilligung vor der Verarbeitung durch die betroffenen Personen erforderlich ist. Hierbei sind die Anforderungen an eine EU-DSGVO-konforme Einwilligung zu beachten, insbesondere die Notwendigkeit einer aktiven Zustimmung von Seiten der betroffenen Personen.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit weist nach einer Prüfung von Google Analytics im Januar 2017 zwar explizit darauf hin, dass die Prüfung der Nutzung von Google Analytics nicht im Zusammenhang mit den Werbe-Diensten von Google erfolgte:

„Eine Bewertung der Datenschutzrechtlichen Zulässigkeit anderer, im Zusammenhang mit Google Analytics angebotenen Marketing-Instrumente und Werbe-Dienste (z.B. AdSense, AdWords oder erweiterte Funktionen von Google Universal Analytics), erfolgte nicht. Sie waren nicht Gegenstand der Prüfung. Die vorstehenden Hinweise treffen damit auch keine Aussage über die datenschutzrechtliche Zulässigkeit des Einsatzes dieser Dienste.“

(https://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_fuer_Webseitenbetreiber_in_Hamburg_2017.pdf)

Doch auch wenn der Einsatz von Google Analytics von der Hamburgischen Datenschutzbehörde als rechtskonform bewertet wurde, so gilt dies nur unter Beachtung vieler Faktoren, die Sie als Website-Betreiber berücksichtigen und somit Hindernisse, die Sie überwinden müssen. So müssen Sie durch entsprechende Einstellungen im Google Analytics- Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen, was für Sie zum einen extra Arbeitsschritte bedeutet und zum anderen Risiken in sich birgt, z. B. durch das Vergessen oder Übersehen einer Seite.

Wird Google Analytics ohne Googles Werbedienste eingesetzt, so kann auch dann nicht ausgeschlossen werden, dass eine explizite Einwilligung erforderlich ist. Beispielsweise könnte ein Personenbezug herstellbar werden, wenn die soziodemografischen Daten im Google Analytics-Konto aktiviert werden. Außerdem müsste ausgeschlossen werden, dass Google eine Verknüpfung über mehrere Websites vornimmt oder eine Nutzung der Daten zur Optimierung der eigenen Dienste ausschließt – unabhängig von den entsprechenden Einstellungen, die der Kontoinhaber eigenständig vornehmen kann.

Ihre Daten – Ihre Verantwortung

Bitte beachten Sie, dass Ihnen als Website-Betreiber eine Auswahlverantwortung der von Ihnen genutzten Dienste obliegt. Sie als Verantwortlicher dürfen nur mit Auftragsverarbeitern arbeiten, die gemäß Art. 28 Abs. 1 EU-DSGVO hinreichend garantieren können, dass „geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen“ der EU-DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden.

Die etracker Produkte sind 100% datenschutzkonform gemäß EU-DSGVO und BDSG neu

etracker Analytics und etracker Optimiser wurden in einem umfänglichen technischen wie juristischen Verfahren von unabhängigen Datenschutz-Experten geprüft. Die Einhaltung der Regelungen von EU-DSGVO und BDSG neu wurde bestätigt, zertifiziert und mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet.

Wichtig: Die ePrivacy-Experten halten es für vertretbar, die Datenverarbeitung mit etracker Analytics und Optimiser durch die Rechtsgrundlage des Art. 6 Abs. 1 f DSGVO zu rechtfertigen. Das heißt: Sie benötigen keine explizite Einwilligung.

 

Datenschutz genießt bei uns seit jeher höchste Priorität

Zur „etracker DNA“ gehört u.a. ein sehr hoher Anspruch an den korrekten und vertraulichen Umgang mit Besucher- und Kundendaten. Als erstem Anbieter von Lösungen zur Analyse und Optimierung von Websites und Online-Marketing Maßnahmen überhaupt, wurde uns bereits 2006 nach einem aufwändigen Prüfverfahren durch den Hamburgischen Datenschutzbeauftragten die datenschutz-rechtliche Konformität bescheinigt.

Wir kennen die Datenschutz-Bestimmungen genau und stehen mit den Aufsichtsbehörden im kontinuierlichen Dialog. So haben wir schon frühzeitig die Anforderungen der EU-DSGVO durch Privacy by Design umgesetzt. Um Ihnen die Sicherheit zu geben, mit etracker bereit für die EU-DSGVO zu sein, haben wir uns zudem von den Experten der ePrivacy GmbH prüfen lassen (siehe oben).

Was tut etracker konkret, um die DSGVO-Compliance zu gewährleisten?

Pseudonymisierung und Anonymisierung

Bei der Speicherung der Besucherdaten werden insbesondere auch die IP-Adressen, Geräte- und Domaindaten der Besucher nur verkürzt gespeichert beziehungsweise verschlüsselt, so dass ein Rückschluss auf den einzelnen Besucher nicht möglich ist. Wir verpflichten uns, erhobene Daten niemals mit anderen Datenbeständen zusammenzuführen, z.B. um einen Personenbezug herzustellen.

Die Kürzung der IP-Adresse erfolgt zum frühestmöglichen Zeitpunkt und zwar standardmäßig automatisiert, ohne dass Sie als Kunde spezielle Anpassungen oder Konfigurationen vornehmen müssen. Damit bieten wir Ihnen die geforderten datenschutzfreundlichen Voreinstellungen (Privacy by Design und Privacy by Default).

Identifier zur Wiedererkennung eines App-Nutzers, Durchführung von Session- und Cross-Device-Tracking sowie Bereitstellung von verhaltensbezogenen Daten für Remarketing werden sicher pseudonymisiert bzw. verschlüsselt.

✓ etracker stellt Daten ausschließlich dem jeweiligen Kunden zur Verfügung

Wir verarbeiten Ihre Daten ausschließlich in Ihrem Auftrag gemäß abgeschlossener Auftragsdaten-vereinbarung. Ihre Daten gehören Ihnen und werden nicht mit anderen Daten zusammengeführt oder gar an Dritte weitergegeben. Wir betreiben keinerlei Datenhandel noch nutzen wir Ihre Daten für übergeordnete Analysen oder Profilbildungen.

✓ Verarbeitung und Speicherung in Deutschland

Unser Rechenzentrum ebenso wie die Entwicklung und System-Administration befinden sich in Hamburg, Deutschland. Wir nutzen die hochwertige, hochsichere und hochverfügbare Rechenzentrum-Infrastruktur der ISO/IEC 27001:2013 zertifizierten IPHH Internet Port Hamburg GmbH für sogenanntes Server-Housing ohne externen Zugriff auf Applikationen und Daten.

✓ Optionaler Betrieb im eigenen Rechenzentrum

Für das Tracking hochsensibler Anwendungen und Portale empfehlen wir den Betrieb unserer Lösungen in Ihrem Rechenzentrum oder der von Ihnen genutzten Private Cloud. In unserer On-Premise-Installation sind alle hierfür notwendigen Bausteine enthalten: Code-Auslieferung, Zählungsannahme und Applikation. So kann die Gefahrenabwehr vollständig durch Ihre eigenen Schutzmaßnahmen erfolgen. Keine Kompromisse bei der Sicherheit oder bei der Leistung: Sie profitieren von der hoch performanten Big Data Analytics-Technologie auf Rohdaten-Basis, die genauso im SaaS-Betrieb zum Einsatz kommt.

✓ EU-DSGVO-konforme Vereinbarung zur Auftragsdatenverarbeitung (AV-Vertrag)

Um eine Verarbeitung von Daten im Auftrag datenschutzkonform umzusetzen, ist zunächst ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) gemäß Art. 28 DSGVO zu schließen. Dies kann bei etracker bequem elektronisch erfolgen. Der Vertrag wurde in Anlehnung an die Vorlagen von deutschen Landesdatenschutz-Ämtern von einer auf IT-Recht und Datenschutz spezialisierten Anwaltskanzlei auf die Belange der etracker Web-Analyse und Konversionsoptimierung angepasst.

✓ Datenschutzhinweis, Einwilligung und Widerspruchsmöglichkeit auf Ihrer Website

Damit der Einsatz der etracker Technologie auf Ihrer Website für Ihre Besucher transparent ist und diese über den Einsatz von etracker informiert sind, haben wir in Zusammenarbeit mit einer auf IT-Recht und Datenschutz spezialisierte Anwaltskanzlei eine Vorlage für Sie erarbeitet, die die Anforderungen von Art. 13,14 DSGVO erfüllt.

Für die Ausübung der geforderten Widerspruchsmöglichkeit stellen wir Ihnen in Ihrem Account einen Button zum einfachen Einbau in Ihre Website zu Verfügung. Daneben können Sie auch die von uns bereitgestellte Schnittstelle nutzen, um den Widerspruch in eigene Dialoge zu integrieren.

Sollte die Datenverarbeitung vom Einwilligungserfordernis umfasst sein, weil Sie beispielsweise hochsensible oder personenbezogene Daten per Parameter an etracker übergeben oder die Daten für „unübliche“ Zwecke weiterverarbeiten, so können Sie das optionale Tracking-Opt-In in Ihren Einstellungen aktivieren oder die dazugehörige Schnittstelle verwenden.

✓ Technischer und organisatorischer Datenschutz bei etracker

Der Betrieb komplexer technologischer Infrastrukturen ist unsere Kernkompetenz und elementarer Bestandteil unserer Dienstleistung. Daher ist es unser oberstes Gebot, dass unser Rechenzentrum immer nach den aktuellsten Sicherheitsstandards betrieben wird. Dazu zählen neueste Firewall- und Intrusion-Detection-Technologien genauso wie umfangreiche physische Kontrollen und Zugangs-beschränkungen. Auf Applikationsebene finden moderne Authentifizierungsmethoden für Nutzer- und Administrator-Berechtigungen ebenso statt wie tägliche Backups sämtlicher Daten und deren dezentrale Archivierung.

Darüber hinaus werden alle in den etracker Produkten erfassten Daten in regelmäßigen Abständen vom Unternehmen Trustwave durch sogenannte „Penetrationstests“ auf ihre Sicherheit hin geprüft.
Bei der Erfassung der Daten und dem Zugriff auf unsere Applikation wird zudem stets die „Secure Socket Layer“ (SSL)-Übertragung angewendet. Alle mit dieser Methode übertragenen Informationen werden verschlüsselt, bevor sie gesendet werden.

Genauso selbstverständlich wie die Verwendung neuester Sicherheitstechnologien ist für uns die Verpflichtung unserer Mitarbeiter/innen zur Verschwiegenheit und auf das Datengeheimnis. Die Verpflichtungen besteht auch nach Beendigung des Arbeitsverhältnisses fort. Zudem finden regelmäßige Schulungen zum Datenschutz statt.

Zeigen auch Sie Ihren Website-Besuchern und Kunden, dass Ihnen Datenschutz wichtig ist

eprivacy

Damit Sie Ihren Website-Nutzern und Kunden zeigen können, dass Sie verantwortungsvoll mit deren Daten umgehen, können Sie das etracker Privacy-Signet in Ihre Website, beispielsweise in den Datenschutzhinweisen, integrieren.

Wir stehen Ihnen gern Rede und Antwort zu Ihren Fragen zum Datenschutz. Wenden Sie sich hierzu jederzeit an unsere Datenschutzbeauftragte Elke Hollensteiner unter +49 40 55 56 59 52 oder privacy@etracker.com.

Unser Whitepaper gibt es hier zum Download.

Der Beitrag 100 %ige Datenschutzkonformität gemäß EU-DSGVO und BDSG neu erschien zuerst auf etracker.com.