14.08.2020 - Google & Co - Änderungen sind notwendig

DSK fasst Beschluss für den Einsatz von Google & Co.

DSK fasst Beschluss für den Einsatz von Google

Die deutsche Datenschutzkonferenz (DSK), das gemeinsame Gremium der deutschen Aufsichtsbehörden für den Datenschutz, hat den Einsatz von Google Analytics (GA) neu bewertet und in diesem Zusammenhang auf bereits bekannte, jedoch auch auf neue Anforderungen hingewiesen (vgl. Hinweise zum Einsatz von Google Analytics). Der Umfang der Änderungen hängt davon ab, welche Kontoeinstellungen im jeweiligen Google Analytics – Konto vorgenommen worden sind. Notwendig sind u.a.

  1. eine informierte, freiwillige, aktive und vorherige Einwilligung der Nutzer
  2. spezifische Gestaltungshinweise für die Umsetzung der Anforderungen an eine solche Einwilligung und deren Widerruf. Unter anderem Information der Nutzer bspw. in der Datenschutzerklärung darüber
    1. dass die Daten in den USA gespeichert werden und
    2. dass Google die Daten für eigene Zwecke verarbeitet (JC) und
    3. dass auch US-Behörden auf diese Daten Zugriff haben.
  3. Anonymisierung durch Kürzung der IP-Adresse
  4. In Abhängigkeit von den Kontoeinstellungen:
    1. eine AV-Vereinbarung gem. Art. 28 DSGVO und
    2. sofern die Standardeinstellungen genutzt worden sind, einen Vertrag über eine Gemeinsame Verantwortung gemäß Art. 26 DSGVO abschließen

Ausblick:

  1. Die Anforderungen der DSK gelten natürlich nicht ausschließlich für Google Analytics So bietet Google bereits auch von einen JC-Vertrag für Google Maps an; siehe https://privacy.google.com/intl/de/businesses/mapscontrollerterms/
  2. Unter https://privacy.google.com/businesses/adsservices/ sehen Sie die Einordnung, welcher Werbedienst als Auftragsverarbeitung und welche als Gemeinsame Verantwortung gesehen wird.
  3. Im Analogie-Schluss gelten die Anforderungen der DSK für Tools (Plugins), bei denen eine  Nutzung der Daten durch den jeweiligen Anbieter für eigene Zwecke erfolgt. In Bezug auf Google sind dies bspw. Google Fonts sowie Google reCAPTCHA.

Empfehlung:  

  1. Webseitenbetreiber, die Google Analytics oder ähnliche Tools einsetzen, sollten prüfen, ob der Einsatz in der jeweiligen Konfiguration, die von der DSK formulierten Anforderungen erfüllt.
  2. Webseitenbetreiber sollten des Weiteren prüfen, welche weiteren Komponenten der Webseite die Anforderungen der DSK zu erfüllen haben.
  3. Webseitenbetreiber sollten für sämtliche relevanten Komponenten der Webseite die Anforderungen der DSK umsetzen (insb. die obigen 4 Punkte ; also bspw. prüfen, ob der jeweilige Anbieter bspw. einen JC-Vertrag anbietet und Abschluss des JC-Vertrages).
  4. Webseitenbetreiber, die ein Consent Management System (CMS) nutzen, sollten prüfen, ob die in dem CMS hinterlegten Texte (z.B. Datenschutzhinweise für GA), die Anforderungen des obigen Punktes 2 (z.B. Information der Nutzer über Datenspeicherung in den USA) erfüllen.

Fazit:

Zusammengefasst lässt sich feststellen, dass die Webseitenbetreiber aufgrund der Hinweise der DSK – mal wieder – ein Webseiten-Projekt durchführen müssen, um Risiken zu identifizieren, zu minimieren und zu beseitigen. Wenn Sie hier Unterstützung benötigen wird, kommen Sie gerne auf uns zu.

Zurück

Suche