BvD News 2013/2 - BvD eV

Empfehlungen

Info

Aus der PraxisAutorThomas KranigPräsident, Bayerisches Landesamt fürDatenschutzaufsichtPromenade 27 (Schloss), 91522AnsbachTel: 0981 . 53-1302Fax: 0981 . 53-5300E-Mail: thomas.kranig@lda.bayern.dehttp://www.lda.bayern.deNutzung ausgelegt ist.• Angepasste Datenschutzerklärung: Der Nutzermuss in seiner Datenschutzerklärung den Besucherseiner Webseite über die Erhebung und Verwendungpersonenbezogener Daten im Rahmenvon Adobe Analytics aufklären und auf die Widerspruchsmöglichkeitgegen die Erfassung durchAdobe Analytics hinweisen.• Serverseite Einstellungen: Serverseitig musseingestellt werden, dass die IP-Adresse des Besuchersder Webseite vor der jeweiligen Verarbeitunginsbesondere für die Geolokalisierung unddie Reichweitenmessung unabhängig voneinanderanonymisiert wird, d.h. die IP-Adresse vor der Geolokalisierungum das letzte Oktett gekürzt und dieverwendete IP-Adresse durch eine generische IP-Adresse ersetzt werden.• Laufzeit der Cookies: Die Laufzeit der Cookiesist auf das notwendige Mindestmaß zu begrenzen.Als Obergrenze wird eine Dauer von 24 Monatenangesehen.Diesem Schreiben war ein bis zum 30. Juli 2013zurückzuschickender Fragebogen beigefügt, indem u. a. darüber Auskunft gegeben werden sollte,ob das Produkt noch eingesetzt wird, ein Vertragzur Auftragsdatenverarbeitung abgeschlossenwurde, die Webseite eine Datenschutzerklärungenthält, eine Widerspruchsmöglichkeit gegen dasSetzen von Tracking-Cookies gegeben ist, die vollständigenIP-Adressen der Webseitenbesucher vorder Geolokalisierung um das letzte Oktett gekürztund vor der Auswertung der Webseitenaktivitätendurch eine generische IP-Adresse ersetzt werdenund welche Laufzeit der Tracking-Cookie hat.Innerhalb der gesetzten Frist haben 40 Unternehmengeantwortet, drei Unternehmen wurde aufentsprechenden Antrag eine Fristverlängerung eingeräumt,ein Unternehmen hat sich gar nicht geäußertund damit gemäß § 43 Abs. 1 Nr. 1 BDSGden Tatbestand einer Ordnungswidrigkeit erfüllt.In der Folgezeit hat sich auch das letzte Unternehmengemeldet und eine - noch nicht abgelaufene- Fristverlängerung eingeräumt bekommen.Die drei Unternehmen, denen vorher schon eineFristverlängerung eingeräumt worden war, habenihre Stellungnahme abgegeben, so dass heute dieAntworten von 43 Unternehmen vorliegen. Andersals bei der Prüfaktion bei Google Analytics zeigtesich bei dieser Prüfung, dass das kostenpflichtigeProgramm Adobe Analytics in der Regel von größerenFirmen eingesetzt wurde, die über fachlichgeschultes Personal verfügen, so dass sich dieRückfragen zur Implementierung der Vorgabenfür einen beanstandungsfeien Einsatz von AdobeAnalytics und damit der Arbeitsaufwand für die Datenschutzaufsichtsbehördesehr in Grenzen hielt.Auswertung der Rückmeldungen: Aus den43 vorliegenden Antworten der Unternehmenergibt sich, dass sechs das Produkt nicht mehreinsetzen. Überraschend und ein Stück erschreckendwar schließlich, dass von den verbliebenen37 Unternehmen lediglich fünf Unternehmen zumZeitpunkt der Prüfung im Juni 2013 über einenabgeschlossenen Vertrag zur Auftragsdatenverarbeitungmit der Firma Adobe verfügten und32 Unternehmen diesen erst im Zuge des Prüfverfahrensabgeschlossen haben. Auch diesesVerhalten (praktizierte Auftragsdatenverarbeitungohne erforderlichen Vertrag) erfüllt den Tatbestandeiner Ordnungswidrigkeit nach § 43 Abs. 1 Nr. 2bBDSG. Entsprechende Bußgeldverfahren wurdenvom BayLDA nicht eingeleitet, da Ziel dieser Prüfungprimär die datenschutzkonforme Nutzung vonAdobe Analytics war. Bei Vorliegen dieser Voraussetzungenist aber für die Zukunft vorgesehen, beientsprechenden Feststellungen durchaus ein Bußgeldverfahreneinzuleiten.Zwar stellt Adobe die Software zur Reichweitenmessungher, die datenschutzrechtliche Verantwortlichkeitliegt allerdings bei den Nutzern derSoftware. Die Webseitenbetreiber beauftragen Adobedamit, die Daten ihrer Webseitenbesucher zuerheben, für den Zweck der Reichweitenmessungzu verwenden und Auswertungen und Statistikender Webseitenaktivitäten zu erstellen. Adobe istsomit als weisungsgebundene Stelle Auftragsdatenverarbeiteri.S.d. § 11 BDSG und in diesemRahmen grundsätzlich weder Adressat von aufsichtsrechtlichenMaßnahmen noch von Bußgeldern.Das BayLDA geht aber davon aus, dass dieFirma Adobe ihren Vertragspartnern - jedenfalls inZukunft - im Zweifel von sich aus entsprechendeVerträge vorlegen wird, um ihre Auftraggeber voreinem Bußgeldverfahren zu bewahren.Die anderen Anforderungen bezüglich Datenschutzerklärung,Widerspruchsmöglichkeit und Anonymisierungder IP-Adressen wurden durchgehend38 | BvD-News 2/2013
Aus der Praxisals erfüllt bestätigt und waren, soweit sich diesin Stichproben nachprüfen ließ, auch umgesetzt.Ebenso wurde die Lebensdauer der Tracking-Cookiesauf maximal 24 Monate begrenzt.Fazit: Als Fazit dieser „kleinen Großprüfung“ lässtsich zunächst festhalten, dass eine strukturiertePlanung des Prüfablaufs die Prüfung deutlich erleichtert(eigentlich eine Binsenwahrheit) und imInteresse aller Beteiligten sicherstellt, dass diePrüfung zeitnah abgeschlossen werden kann. DieTatsache, dass zum Zeitpunkt der Prüfung vorbehaltlichder noch ausstehenden Antwort, jedenfalls32 von 37 Unternehmen, die geantwortet haben,d.h. mehr als 85%, Adobe Analytics ohne den erforderlichenVertrag zur Auftragsdatenverarbeitungeingesetzt haben, zeigt erhebliche Mängel bei derBeachtung datenschutzrechtlicher Vorschriften,selbst wenn es sich - jedenfalls in Bezug auf bußgeldrechtlicheGewichtung in § 43 Abs. 1 und Abs.2 BDSG - insoweit „nur“ um formelle und nicht ummaterielle datenschutzrechtliche Verstöße handelt.Allerdings hat der Vertrag zur Auftragsdatenverarbeitunggem. § 11 BDSG konstitutive Wirkung, sodass ein Datenumgang personenbezogener Datenohne Abschluss eines solchen Vertrages nicht imSinne einer Auftragsdatenverarbeitung privilegiertist. Es stellt sich in diesem Zusammenhang auchdie Frage nach der Fachkunde und Zuverlässigkeitder Datenschutzbeauftragten, nach denen in diesemPrüfverfahren nicht gefragt wurde, die es aberwegen der Größe der Unternehmen in der Regelin den geprüften Unternehmen geben müsste. DasBayLDA nimmt das Ergebnis dieser Prüfung zumAnlass, zeitnah vergleichbare Prüfungen unter Einbeziehungvon Fragen bezüglich der betrieblichenDatenschutzbeauftragten durchzuführen, zumindestin exemplarischen Fällen Bußgelder festzusetzenund diese Tatsache - unter Wahrung derVertraulichkeit bezüglich des konkret betroffenenUnternehmens - eventuell auch mittels entsprechenderPressemitteilungen publik zu machen.BvD-News 2/2013 | 39
Seite 1 und 2: BvD-NewsDas Fachmagazin für den Da
Seite 3 und 4: EditorialLiebe Leser,mit dieser BvD
Seite 5 und 6: Inhaltsverzeichnis / ImpressumInhal
Seite 7 und 8: Der neue DatenschutzstandardBvD und
Seite 9 und 10: Der neue DatenschutzstandardGütesi
Seite 11 und 12: Der neue DatenschutzstandardDer neu
Seite 13 und 14: Kolumnentitel (Thema)g Versiegelter
Seite 15 und 16: GastbeitragNSA-Affäre offengelegt.
Seite 17 und 18: Gastbeitragdie sich Europa selbst d
Seite 19 und 20: Die EU-DSGVOAuch beim Infotag des B
Seite 21 und 22: Die EU-DSGVOmeine Daten auch anderw
Seite 23 und 24: Aus der PraxisErhebung, Verarbeitun
Seite 25 und 26: Aus der PraxisWeiterbearbeitung in
Seite 27 und 28: Aus der Praxisalismus vor, dieses P
Seite 29 und 30: Aus der Praxisgrüßt daher die Ver
Seite 31 und 32: Aus der PraxisJugendschutzfilter fu
Seite 33 und 34: Aus der PraxisDie Stiftung Datensch
Seite 35 und 36: DREGER INFORMATION TECHNOLOGYAus de
Seite 37: Aus der Praxisdazu entsprechende In
Seite 41 und 42: Aus der Praxisund Dienstleistungszw
Seite 43 und 44: Aus der Praxissind dabei nicht ausr
Seite 45 und 46: Aus der Praxissystem ≠ Android Be
Seite 47 und 48: Aus der Praxisdurchgesetzt.• Der
Seite 49 und 50: Eine gute Adresse für Datenschutz:
Seite 51 und 52: Aus der Praxisist das Schutzniveau
Seite 53 und 54: BvD internGut schreiben könnenSie
Seite 55 und 56: BvD internSichern Sie sich Ihren Sc
Seite 57 und 58: BvD internser-Schnarrenberger pläd
Seite 59 und 60: BvD internNeue Möglichkeiten derDi
Seite 61 und 62: BvD internJe nach verwendetem Progr
Seite 63 und 64: den Krankenrückkehrergespräche. S
Seite 65 und 66: AktuellesRunder Tisch zurDatenträg
Seite 67 und 68: AktuellesBvD: Wäre für die Auswah
Seite 69 und 70: Aus der PraxisSpontanes Gruppenbild
Seite 71 und 72: BvD interndie Verordnung in den jew
Seite 73 und 74: TermineNächste Seminare der udisAl
Seite 75 und 76: Aus dem BvDBvD-Datenschutztage 2014

BvD News 2013/2 - BvD eV

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?