Hinweise zur Onlineprüfung Adobe Analytics (Omniture)

Ähnliche Dokumente
Hinweise zur Onlineprüfung Google Analytics

Datenschutzrechtliche Bewertung der Wearables

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Die rechtlichen Grundlagen des Datenschutzes finden sich im Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG).

Datenschutz im Web 2.0. Unvollständige Anmerkungen aus Anlass der Diskussion bei Radio Köln am 19. September 2011.

Übermittlung und Speicherung von Daten aus technischen Gründen und zu Zwecken von Statistik und Marktforschung

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

DATENSCHUTZERKLAERUNG DATENSCHUTZERKLÄRUNG FÜR DEN DIENST PTV MAP&GUIDE INTERNET

Diese Datenschutzerklärung erläutert, wie der Anbieter dieser Website, die DaVita HealthCare Inc., th St. Denver, CO 80202, Vereinigte Staaten

Datenschutzerklärung:

D a t e n s c h u t z h i n w e i s e

Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Sie können unsere Seite grundsätzlich besuchen, ohne Angaben zu Ihrer Person zu machen.

Leseprobe. IT-Recht kompakt

MARMIND. Datenschutzbestimmungen

Datenschutzerklärung. Gegenstand des Datenschutzes. Allgemeiner Datenschutzhinweis

WHITEPAPER. Datenschutz. Ratgeber zum Umgang mit Web Analyse-Daten. etracker GmbH, Hamburg.

Datenschutz Ticket-Erstattung.de

Datenschutzerklärung

Datenschutzerklärung. Datenschutz

Erfassen von personenbezogenen Daten

Datenschutzerklärung. sind Betreiber dieser Website und der darauf angebotenen Dienste und somit

Datenschutzerklärung

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Der Schutz Ihrer personenbezogenen Daten ist der crowdhouse GmbH ein wichtiges Anliegen.

Datenschutzerklärung für die Nutzung von Facebook-Plugins (Like-Button)

Da müssen wir rein. Was Unternehmen in sozialen Netzwerken beachten müssen

Datenschutzerklärung für

Nicht nur IP-Adressen und Cookies!

Seminar: Rechtsfragen des Cyberspace. Tibor Schütt und Michael Burkard betreut von Prof. Dr. Viola Schmid, LL.M. (Harvard)

17. Januar 2015 SBR-Portal/5 Datenschutz-Seite

Definition personenbezogene Daten

Datenschutz- bestimmungen

COBI Datenschutzrichtlinie

Die Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten dient insbesondere für folgende Zwecke:

Social Media Marketing und Datenschutz

Datenschutzbestimmungen der Webseite

Datenschutzerklärung für das Kundenportal der Kommunale Wasserwerke Leipzig GmbH. 1 Grundsatz, Änderungsvorbehalt. 2 Personenbezogene Daten

Hinweise zum Datenschutz

Datenschutzrechtliche Einwilligungserklärung

Grundlagen des Datenschutzes. Musterlösung zur 3. Übung im SoSe 2008: Mediendatenschutz & Kundendatenschutz (2)

Google Analytics. - datenschutzrechtliche Betrachtung -

Pressemitteilung. Facebook Custom Audience bei bayerischen Unternehmen

Hinweise zum Datenschutz

Datenschutzerklärung LINDE + WIEMANN SE & Co. KG Stand Juni 2017

Einbindung von Diensten und Inhalten Dritter

Quo vadis Datenschutz bei Tracking und Geolokalisation - ein Ausblick -

Das Internet ist für uns alle Neuland. Angela Merkel

NEWSLETTER an die Kunden und Geschäftspartner der klein TREUHAND GmbH

Haftungsausschluss (Disclaimer)

Datenschutzerklärung DATENSCHUTZERKLÄRUNG

Datenschutzerklärung.

Datenübermittlung und Aufzeichnung zu systeminternen und statistischen Zwecken

Datenschutzhinweise. Allgemeiner Teil

Prozessbeschreibung des Trackings zur Firmenerkennung

Datenschutz DATENSCHUTZERKLÄRUNG

HAFTUNGSAUSSCHLUSS (DISCLAIMER) Haftung für Inhalte

Datenschutzerklärung für die Nutzung von Google Analytics

Datenschutz Anonyme Datenerhebung Erhebung und Verarbeitung bei Nutzung des Kontaktformulars

Datenschutzbestimmungen 1. Welche Daten werden gesammelt? 2. Was sind Cookies und Zählpixel?

Datenschutzerklärung. Seite 1 von 5

Informationen zu den aktuellen Datenschutzbestimmungen und Anforderungen durch Google Analytics

1. Verantwortliche Stelle und allgemeine Grundsätze. 2. Erhebung und Verwendung Ihrer personenbezogenen Daten

Datenschutz im Web

Datenschutzrechtliche Anforderungen an soziale Netzwerke

Der Einsatz von Reichweitenanalysediensten im Internet

Carlo Piltz. Soziale Netzwerke im - Eine Gefahr das Persönlichkeitsrecht? RESEARCH

Datenschutz. Datenschutzerklärung: Datenschutz

Fragen und Antworten zu Datenschutzerklärung und Cookies

Datenschutzerklärung der Firma Taglia Scarpe GmbH

DATENSCHUTZBESTIMMUNGEN für die Generali-bewegt-Deutschland-Website

Datenschutzinformationen. Dokumenten-Informationen: Version: 3.1 Stand: ProfitBricks GmbH

19-21 Zweiter Unterabschnitt Rechte des Betroffenen

Remote Support Datenschutz-

Datenschutzrichtlinien

Datenschutz und Datensicherheit. Norbert Höhn Datenschutzbeauftragter des BHV Stand: September 2017

Datenschutzerklärung KomNet


Diese Datenschutzerklärung informiert Sie über die Verarbeitung und Nutzung Ihrer Daten auf unserer Internetseite

JAFRA Datenschutzerklärung Online

Datenschutzerklärung Apps

Damit Sie die nachfolgenden Informationen sinnvoll nutzen können, sind zunächst einige Begriffserklärungen notwendig:

Datenschutzerklärung. Favoptic AB (

Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen

Impressum. Kontakt: Angaben gemäß 5 TMG: Werner Eiser Naturhuf Eiser Hauptstr Seelbach. Steuernummer: 02/036/51994.

Hinweis zum Datenschutz

Datenschutzerklärung

Jahrestagung GRUR 2013

Einbindung Ihrer Rechtstexte in Amazon

Datenschutzerklärung des Online-Shops m12-stecker.de

Verantwortlich für den Inhalt nach 55 Abs. 2 RStV:

Allgemeine Datenschutzbestimmungen

Datenschutz- Abmahnungen vermeiden

REFERENTEN: Dr. Dennis Voigt, Markus Faust MELCHERS, FRANKFURT AM MAIN Business-Frühstück Keine Website ohne Datenschutz

emetrics Summit, München 2011 Special: Datenschutz im Online-Marketing HÄRTING Rechtsanwälte Chausseestraße Berlin

Datenschutzbestimmungen der VICE SPORTING GOODS GmbH (Stand )

Der Buchführungs- und Lohnverrechnungskanzlei Silvia Kuntner ist Ihre Privatsphäre wichtig!

Datenschutzerklärung

Transkript:

Hinweise zur Onlineprüfung Adobe Analytics (Omniture) Stand: Juni 2013 Ein weit verbreitetes Programm, das von der Firma Adobe für Webseitenbetreiber angeboten wird, ist das Programm Adobe Analytics (Omniture). In einer Onlineprüfung untersucht das Bayerische Landesamt für, ob das Programm Adobe Analytics (Omniture) beanstandungsfrei eingesetzt wird. Nach der Feststellung, dass Adobe Analytics zum Einsatz kommt, überprüft das hierfür vom BayLDA selbst entwickelte Prüfprogramm, ob auf der Startseite des Internetauftritts ein Hinweis auf eine Datenschutzerklärung zu finden ist, in einer vorhandenen Datenschutzerklärung über den Einsatz von Adobe Analytics (Omniture) informiert wird und in einer vorhandenen Datenschutzerklärung der Nutzer auf sein Widerspruchsrecht gegen die Erfassung seiner Nutzungsdaten durch Adobe Analytics (Omniture) hingewiesen wird. Im November 2009 hatte sich der Düsseldorfer Kreis, das bundesweite Gremium der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, zu den Voraussetzungen für eine beanstandungsfreie Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten geäußert (siehe Beschluss vom 26./27.11.2009) Auf dieser Grundlage hat das Bayerische Landesamt für Gespräche mit der Firma Adobe geführt und sich darüber verständigt, wie das Produkt Adobe Analytics (Omniture) angepasst werden muss, damit es die bayerischen Webseitenbetreiber beanstandungsfrei einsetzen können. Als Ergebnis dieser Gespräche wurde Adobe Analytics (Omniture) dahingehend geändert, dass die Voreinstellung der Gültigkeitsdauer der Tracking-Cookies statt 60 Monaten auf 24 Monate reduziert wird, die Geolokalisierung der Webseitenbesucher bei entsprechenden Einstellungen nur noch Anhand einer anonymisierten IP-Adresse erfolgt. Nicht mit dem Bundesdatenschutzgesetz vereinbar ist die Speicherung der IP-Adressen der Webseitenbesucher nach Verarbeitung mit der MD5-Hashfunktion, da dies nicht die Anforderung an die Anonymisierung personenbezogener Daten erfüllt. Diese Hashwerte dürfen nicht mehr gespeichert werden.

Für einen beanstandungsfreien Betrieb von Adobe Analytics (Omniture) müssen Sie als Betreiber einer Webseite folgende Maßnahmen umsetzen: Vertrag zur Auftragsdatenverarbeitung Sie müssen, falls noch nicht geschehen, den von Adobe vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Dieser Vertrag zur Auftragsdatenverarbeitung wird auf Anfrage von Adobe bereitgestellt. Widerspruchsmöglichkeit anbieten Sie müssen dem Nutzer eine Widerspruchsmöglichkeit gegen das Setzen von Tracking- Cookies durch Adobe Analytics anbieten. Angepasste Datenschutzerklärung In Ihrer Datenschutzerklärung müssen Sie die Nutzer Ihrer Webseite über die Erhebung und Verwendung personenbezogener Daten im Rahmen von Adobe Analytics aufklären und auf die Widerspruchsmöglichkeit gegen die Erfassung durch Adobe Analytics hinweisen. Serverseite Einstellungen Serverseitig muss die IP-Adresse des Nutzers vor der jeweiligen Verarbeitung insbesondere für die Geolokalisierung und die Reichweitenmessung unabhängig voneinander anonymisiert werden. Hierzu müssen Sie 1. die Einstellung: Before Geo-Lookup: Replace visitor s last IP octet with 0 aktivieren, wonach eine Kürzung der IP-Adresse um das letzte Oktett vor der Geolokalisierung vorgenommen wird und 2. die Einstellung Obfuscate IP-Removed vornehmen, bei der die IP-Adresse durch eine generische IP-Adresse ersetzt wird. Laufzeit der Cookies Die Laufzeit der Cookies ist auf das notwendige Mindestmaß zu begrenzen. Als Obergrenze sehen wir eine Dauer von 24 Monaten an.

Prüfung (Onlineprüfung vom Juni 2013) Sofern überprüfte Webseitenbetreiber Adobe Analytics nach unseren Erkenntnissen eingesetzt haben, wurden sie oder werden sie schriftlich darüber informiert. Haben Sie Post vom BayLDA zum Einsatz von Adobe Analytics (Omniture) in Ihrem Internetauftritt erhalten, sind gegebenenfalls die Einstellungen des Produktes Adobe Analyst entsprechend der Vorgaben für einen beanstandungsfreien Einsatz anzupassen. Unter dem Abschnitt Maßnahmen sind diese Vorgaben nochmals zusammengefasst zu finden. Sofern die dortigen Hinweise nicht ausreichen sollten, besteht die Möglichkeit, unter der E- Mail-Adresse onlinepruefung@lda.bayern.de konkrete Fragen an das BayLDA zu richten. Die Mitarbeiterinnen und Mitarbeiter des BayLDA sind bemüht, die Fragen so zeitnah wie möglich zu beantworten und werden immer wiederkehrende Fragen und deren Antworten in dem unten enthaltenen Abschnitt FAQ aufnehmen. FAQ zu Adobe Analytics (Onlineprüfung vom Juni 2013) 1. Was versteht man unter einer Onlineprüfung des beanstandungsfreien Einsatzes von Webanalysetools auf Webseiten durch das BayLDA? Im Rahmen einer Onlineprüfung werden Webseiten von einer speziellen Software abgerufen und deren Inhalte einer automatisierten Analyse unterzogen. Bei der Adobe Analytics Prüfung wird hierbei zunächst der Einsatz des Analysetools festgestellt. Wurde ein solcher automatisiert festgestellt, wird zusätzlich im schriftlichen Verfahren Kontakt mit dem Unternehmen aufgenommen, um die Einhaltung der Anforderungen für einen beanstandungsfreien Einsatz des Analysetools feststellen zu können (vgl. hierzu auch Punkt 3). 2. Wie wurden die angeschriebenen Unternehmen ausgewählt? Die Unternehmen wurden durch das BayLDA rein zufällig ausgewählt, ohne dass es einen besonderen Anlass für eine aufsichtliche Prüfung gab. 3. Ist der Erhalt eines ersten Anschreibens durch das BayLDA gleichbedeutend mit der Feststellung eines datenschutzrechtlichen Verstoßes? Nein. Manche Aspekte beim Einsatz eines Webanalysetools lassen sich ohne Mithilfe und die Auskünfte des einsetzenden Unternehmens nicht feststellen. Daher wird in einem ersten Anschreiben der Kontakt mit dem Unternehmen gesucht um sich die Einhaltung der Anforderungen für einen beanstandungsfreien Einsatz von Adobe Analytics schriftlich schildern und zusichern zu lassen. 4. Wie kann das BayLDA die schriftlichen Auskünfte eines Unternehmens überprüfen?

Das Bundesdatenschutzgesetz gibt dem BayLDA insbesondere die Möglichkeit, ein Unternehmen vor Ort zu kontrollieren und Datenverarbeitungsprogramme einzusehen ( 38 Abs. 4 BDSG). In diesem Zusammenhang wäre eine Überprüfung wahrheitsgemäßer Auskunftserteilung möglich. 5. Droht ein Bußgeld, wenn ein Unternehmen angeschrieben wird? Das BayLDA beabsichtigt mit der Onlineprüfung von Adobe Analytics primär, den beanstandungsfreien Einsatz von Software zur Erfassung des Nutzerverhaltens im Internet zu erreichen und damit eine Verletzung des Datenschutzgrundrechts der Nutzer, des sog. Rechts auf informationelle Selbstbestimmung, zu verhindern. Aus diesem Grund wird das BayLDA im Rahmen dieser Prüfung auch bei Feststellung eines datenschutzrechtlich nicht beanstandungsfreien Einsatzes von Adobe Analytics zunächst kein Bußgeldverfahren einleiten, sondern erst dann, wenn der Webseitenbetreiber sich nach einer entsprechenden Aufforderung durch das BayLDA sein Programm anzupassen, nachhaltig weigert oder nicht reagiert. 6. Welche Verfahren werden über eine Onlineprüfung bewertet? Nachdem im Jahr 2012 als erstes Verfahren durch das BayLDA die Reichweitenmessung von Google Analytics bei bayerischen Webseitenbetreibern einer Prüfung unterzogen worden ist, möchte das BayLDA in einem zweiten Schritt den beanstandungsfreien Einsatz von Adobe Analytics bei bayerischen Unternehmen erreichen. Es ist geplant, noch eine weitere Methode zur Reichweitenmessung systematisch zu prüfen. 7. Was muss die Datenschutzerklärung einer Webseite bezüglich Adobe Analytics beinhalten? Der Webseitenbetreiber muss den Webseitennutzer in seiner Datenschutzerklärung über den Einsatz von Adobe Analytics informieren und ihm die Möglichkeit eines Widerspruchs aufzeigen. Dies resultiert aus der Pflicht des Diensteanbieters zur Information des Nutzers nach 13 Abs. 1 und 15 Abs. 3 TMG, die folgenden Wortlaut haben: Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein. ( 13 Abs. 1 TMG)

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. ( 15 Abs. 3 TMG) 8. Wie muss die Datenschutzerklärung in einem Internetauftritt eingebunden sein? Grundsätzlich hat ein Diensteanbieter den Nutzer "zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten (...) in allgemein verständlicher Form zu unterrichten." ( 13 Abs. 1 Satz 1 TMG). Zwar wird durch diese gesetzliche Regelung nicht im Einzelnen vorgeschrieben, wie genau die Unterrichtung in den Internetauftritt eingebunden werden muss. Es muss jedoch gewährleistet sein, dass der Nutzer bereits zu Beginn des Nutzungsvorgangs, d. h. bei Aufruf der Startseite des Internetangebots, einen eindeutigen Hinweis auf die Unterrichtung erhält und dieser Hinweis sofort erkennbar ist. In der Praxis sind die datenschutzrechtlichen Ausführungen daher häufig unter einem eigenen Link mit Bezeichnungen wie "Datenschutzerklärung", "Datenschutzhinweis" und ähnliche zu finden. 9. Wie wird ein Widerspruch (Opt-Out) implementiert? Ein Webseitenbetreiber muss einen leicht auffindbaren Link für einen Webseitenbesucher innerhalb der Datenschutzerklärung anbieten, durch den ein Widerspruch gegen die Nutzungsprofilbildung ausgedrückt werden kann. Nach den Informationen des BayLDA bietet Adobe hierzu die Möglichkeit an, spezielle Opt-Out Cookies auf dem Browser der Webseitenbesucher zu platzieren. Diese Cookies beinhalten keine fürs Tracking geeigneten Werte (z.b. Cookie Name: adobe_optout, Inhalt: 1), sondern ermöglichen es der JavaScript- Software von Adobe Analytics, den erteilten Widerspruch zu erkennen und keine Datenübermittlung an die Server von Adobe mit dem Ziel der Profilbildung mehr durchzuführen. Das BayLDA sieht es hierfür als ausreichend an, auf die Opt-Out Seite von Adobe (URL: http://www.adobe.com/de/privacy/opt-out.html) zu verlinken. 10. Wieso reichen Browser-Einstellungen als Möglichkeit eines Opt-Out nicht aus? Adobe Analytics kann sogenannte First-Party-Cookies auf dem Browser eines Webseitennutzers platzieren. Um diese Form von Cookies über Browsereinstellungen zu blockieren, müssten grundsätzlich alle Cookies, auch Session- oder Warenkorb-Cookies abgelehnt werden, die für das Funktionieren vieler Dienste aber notwendig sind. Ein Bewegen im Internet wäre damit praktikabel nicht mehr möglich. Auch wenn die Tracking-Cookies als Third-Party-Cookies realisiert sein sollten, wäre ein alleiniger Widerspruch über Browsereinstellungen nach Auffassung des BayLDA nicht ausreichend, da eine auf Reichweitenmessung angepasste Browser-Konfiguration nur mit

unverhältnismäßig großem Aufwand und technischem Verständnis praktikabel realisiert werden könnte. 11. Wieso müssen zwei Einstellungen zur Anonymisierung der IP-Adresse konfiguriert werden? Wird ein Tracking-Datensatz von einem Browser eines Webseitenbesuchers an die Adobe Datacenter übermittelt, dann beinhaltet dieser auch die vollständige IP-Adresse des Nutzers. Im ersten Schritt ermittelt Adobe anhand der IP-Adresse den ungefähren Standort des Nutzers (z.b. Nürnberg, Frankfurt, ). Durch die Einstellung Before Geo-Lookup: Replace visitor s last IP octet with 0 wird gewährleistet, dass vor dieser sogenannten Geolokalisierung die IP-Adresse anonymisiert wird, indem das letzte Oktett der IP-Adresse durch Nullen ersetzt wird. Der ungefähre Standort des Nutzers wird zur statistischen Auswertung an das Tracking- Paket, dass noch die vollständige IP-Adresse enthält, hinzugefügt. Vor Speicherung des Tracking-Pakets wird die IP-Adresse dann durch eine einzelne feste IP-Adresse ersetzt - hier spricht man von einer generischen IP-Adresse - wenn die Einstellung Obfuscate IP Removed konfiguriert ist. Damit ist die IP-Adresse nicht mehr in einem gespeicherten Datensatz enthalten. Dieser Vorgang ist in folgender Grafik nochmals dargestellt. 12. Wieso können IP-Adressen nicht wie bisher als Hashwert gespeichert werden? Die Einstellung IP Obfuscation Enabled verarbeitet eine IP-Adresse vor Speicherung mit dem Hashverfahren MD5. Die Intention dieses Verfahrens war wohl, eine IP-Adresse durch ein kryptographisches Verfahren derart zu verarbeiten, dass diese nicht mehr in die ursprüngliche IP-Adresse zurückgeführt werden kann. Nach 3 Abs. 6 BDSG sind

personenbezogene Daten, und damit nach Auffassung des BayLDA auch IP-Adressen, dann anonymisiert, wenn diese nicht mehr oder nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft auf die ursprüngliche IP-Adresse zurückgeführt werden können. Bei IPV4, das momentan noch bei den meisten Privatanschlüssen eingesetzt wird, gibt es maximal 2^32 = 4294967296 IP-Adressen. Da es bereits mit aktuellen Mittelklassegrafikkarten möglich ist, über eine Milliarde MD5-Hashoperationen pro Sekunde berechnen zu lassen, könnten alle mit MD5 gespeicherten IP-Adressen innerhalb weniger Sekunden de-anonymisiert werden. Da dem BayLDA der Aufwand hierfür nicht unverhältnismäßig hoch erscheint, ist nach Auffassung des BayLDA diese Form der Verarbeitung und Speicherung der IP-Adressen keine Anonymisierung im Sinne des BDSG und damit ohne Einwilligung eines Webseitenbesuchers nicht zulässig.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback