Aktualisiert: 28. Februar 2018.
Allen Visiolink-Lösungen ist gemeinsam, dass sie alle – unabhängig von der Plattform – mit Google Analytics verknüpft sind und somit der neuen Datenschutz-Grundverordnung (DSGVO) unterliegen, die am 25. Mai in Kraft tritt.
Einige unserer Kunden haben eine Benutzer-ID-Verfolgung in ihrer Lösung, andere nicht. In jedem Fall sind sie von der DSGVO betroffen, da Lösungen, die kein Benutzer-ID-Tracking haben, immer noch den Client-ID verfolgen, und dies wird ebenfalls als Profiling angesehen, vgl. Erwägungsgrund 30 der DSGVO:
(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.
Wir haben bereits mit allen unseren Kunden in Bezug auf die Änderungen, die an ihren Lösungen vorgenommen werden müssen, Kontakt aufgenommen, um die Einhaltung der DSGVO sicherzustellen. Im Folgenden erfahren Sie, welche Anpassungen – auch für andere Produkte oder Lösungen – erforderlich sind und wie Google die Einführung der neuen EU-Verordnung übernimmt.
Benutzer müssen über das Tracking informiert werden
Explizite Informationen über Google Analytics-Tracking müssen bei der ersten Kommunikation mit dem Nutzer präsentiert werden, vgl. DSGVO Artikel 21:
(4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
Dies bedeutet, dass der Benutzer über das Tracking informiert werden muss, wenn die App das erste Mal geöffnet wird. Diese Information muss den Benutzer auch darüber informieren, wo die Datenverfolgung ausgeschaltet werden kann.
Benutzer müssen die Möglichkeit haben, sich abzumelden
Für Google Analytics ist eine Deaktivierungsfunktion mit und ohne Benutzer-ID erforderlich, vgl. Artikel 21:
(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Nutzer haben das „Recht, vergessen zu werden“
Wenn ein Endnutzer seine Einwilligung zurückzieht, kann er seine verfolgten Daten löschen lassen, vgl. Artikel 17:
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
(1b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Derzeit gibt es keine Funktion, mit der bestimmte Nutzerdaten in Google Analytics gelöscht werden könnten. Wir haben jedoch Kontakt zu Google aufgenommen, die sagen, dass dies bis Mai 2018 umgesetzt wird:
„Im Hinblick auf die Datenlöschung bietet Google Analytics bis Mai 2018 Unterstützung für Kunden, die bestimmte Endbenutzerdaten basierend auf der Benutzer-ID oder der Client-ID löschen möchten.“ – Oxana aus dem Google-Analytics Hilfecenter.
Datenverarbeitungsvereinbarung/Änderung mit Google
Alle unsere Kunden müssen eine Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) mit Visiolink unterzeichnen, die direkt mit jedem Kunden kommuniziert wird. Darüber hinaus müssen sie eine Datenverarbeitungsänderung bei Google akzeptieren.
AKTUALISIERUNG: Google hat jetzt seine DPA aktualisiert, so dass es für die Datenschutz-Grundverordnung (DSGVO) verantwortlich ist.
Dies ist derzeit nicht möglich, da die aktuelle Datenschutzrichtlinie nicht mit den Bestimmungen der neuen Datenschutzverordnung aktualisiert wird. Laut Google wird die neue DPA nächstes Jahr veröffentlicht:
„Die Änderung, die derzeit in den GA-Kontoeinstellungen sichtbar ist, bezieht sich nicht auf die DSGVO, sondern auf frühere Datenschutzbestimmungen (weitere Einzelheiten finden Sie hier). Die Änderungen der DSGVO-Daten werden nächstes Jahr veröffentlicht.“ -Oxana aus dem Google Analytics Hilfecenter.
Um die DPA zu akzeptieren, müssen Sie zu Ihrem Google Analytics-Admin gehen und unter „Konto“ auf „Kontoeinstellungen“ klicken. Dort können Sie den Änderungsantrag unter „Data Processing Amendment“ überprüfen und akzeptieren (sehen Sie Bild unten).
Google hat auch Regeln
Die Einführung der DSGVO erfordert einige Anpassungen, aber Google hat auch einige Regeln, die Sie beachten müssen, wenn Sie mit der Benutzerverfolgung arbeiten.
Im Klartext dürfen Nutzerdaten nicht in Google Analytics gespeichert werden. Dies bedeutet im Klartext, dass z.B. das Senden von E-Mail-Adressen oder -Namen, über benutzerdefinierte Dimensionen nicht zulässig ist. Google kann Ihr Konto sperren, wenn Sie gegen diese Regel verstoßen. Weitere Informationen dazu, was Sie bei Google Analytics nicht senden können, finden Sie hier:
https://support.google.com/analytics/answer/6366371?hl=de&ref_topic=2919631
Keine der Google Analytics-Lösungen von Visiolink enthält Tracking von personenbezogenen Daten, die gegen diese Richtlinien verstoßen.
Wenn Sie Fragen zu DSGVO, Google Analytics oder Nutzer-ID-Tracking haben, können Sie mich gerne direkt unter roz@vsiolink.com kontaktieren.
Haftungsausschluss
Dieser Blogbeitrag enthält allgemeine Informationen darüber, wie sich die DSGVO auf unsere Kunden auswirken wird und sollte nicht als Rechtsberatung betrachtet werden. Alle unsere Kunden sind verantwortlich für die Einhaltung der DSGVO sowie anderer relevanter Vorschriften.
