+49 7071 - 13 87 40 info@die-besserwisser.de

26.04.2018 – DSGVO & Analytics; SSL Verschlüsselung

Wie Sie sicherlich wissen, tritt am 25.05.18 die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Falls Sie noch Last-Minute Vorbereitungen treffen oder sich absichern möchten, raten wir Ihnen unbedingt, Ihren Fachanwalt für Internetrecht zu konsultieren. Wir als Laien dürfen aus juristischen Gründen keine beratende Tätigkeit ausführen und können Ihnen leider keine Fragen dazu beantworten. Hier können Sie den Gesetzestext einsehen.

Kurzer Überblick über den Inhalt dieses Newsletters:

1. Google Analytics und DSGVO

Es wird ab Ende Mai neue Verträge für die Nutzung von Analytics geben. Bereits abgeschlossene Verträge können in manchen Fällen bestehen bleiben, aber nur wenn Sie bereits zusätzliche datenschutzrechtliche Maßnahmen vorgenommen haben! Erläuterungen dazu finden Sie weiter unten. Zukünftig kann man bei Analytics Einstellungen vornehmen, mit denen automatisch ältere Daten gelöscht werden. Weiterhin gibt es auch Änderungen an der EU User Consent Policy.

2. SSL-Verschlüsselung

In Zukunft werden Webseiten ohne SSL-Verschlüsselungen (HTTP) deutlich als „unsicher“ markiert! Wir empfehlen daher unbedingt, auf HTTPS umzustellen! Vorsicht ist jedoch bei einigen (kostenlosen) Zertifikaten geboten – nicht alle sind vertrauenswürdig!

1. Google Analytics und DSGVO

Die neue DSGVO wird Auswirkungen auf viele Bereiche des Geschäftslebens im Online Marketing haben. Wenn Sie z.B. Google Analytics nutzen, sollten Sie auch dieses Thema unbedingt mit Ihrem Fachanwalt besprechen. Google selbst arbeitet schon länger an den Änderungen in Analytics. Eines der wichtigsten Updates betrifft das Speichern von Nutzer- und Event-Daten. Analytics-Nutzer können in Zukunft einstellen, wie lange Daten auf den Google-Servern gespeichert werden sollen. Ab dem 25.05.18 werden Daten, die älter sind, als der eingegebene Zeitpunkt, gelöscht.

Zum Löschen von den kompletten Daten eines Nutzers soll noch vor dem Stichtag ein Tool live gehen. Außerdem will Google weiterhin mehrere Möglichkeiten zur Datenverwaltung anbieten, etwa anpassbare Cookies-Einstellungen, Privatsphäre-Tools, Einstellungen zum Teilen und Löschen von Daten, zum Löschen von Accounts und zur IP-Anonymisierung. Auch an den Verträgen mit Google und der EU User Consent Policy soll es Änderungen geben, die neuen Verträge werden zum 25.05.18 verbindlich.

Sie müssen, wenn Sie schon einen Vertrag zu Analytics geschlossen haben, eine Zusatzvereinbarung zur Datenverarbeitung akzeptieren. Es wird jedoch nach dem 25.05.18 einen neue Version des Vertrags zu Analytics, den Vertrag zur Auftragsverarbeitung (AV) (vorher: Vertrag zur Auftragsdatenverarbeitung (ADV)) geben. Bisher musste der Vertrag per Post an Google geschickt werden, in Zukunft erfolgt die Abwicklung elektronisch.

An dieser Stelle möchten wir Sie darauf hinweisen, dass nach unserem Informationsstand bei manchen Analytics Nutzern bei der neuen Vertragsschließung das alte Konto samt aller Daten gelöscht werden sollte. An dieser Stelle nochmal der Hinweis: Da wir keine Juristen sind, sind diese Angaben ohne Gewähr!Alle Informationen, die wir dazu haben, sind Aussagen aus öffentlichen Publikationen. Sie sollten auf jeden Fall Ihre Verträge von Ihrem Fachanwalt prüfen lassen!

Ob Ihr Konto von der Löschungspflicht betroffen sein könnte, hängt vermutlich hauptsächlich mit dem Zeitpunkt des Vertragsschlusses zwischen Ihnen und Google zusammen. Zwischen September 15 und September 16 gab es eine Datenschutzlücke im Vertrag, somit ist die Speicherung von Nutzerdaten, die in dieser Zeit gesammelt wurden, ggf. nicht rechtskonform. Wenn Sie allerdings bereits zusätzliche datenschutzrechtliche Maßnahmen vorgenommen haben, könnte es sein, dass Sie, obwohl Sie einen Vertrag aus dieser Zeit haben, nicht betroffen sind. Wie immer können wir Sie jedoch an dieser Stelle nur an Ihren Fachanwalt verweisen!

Das Online Magazin Netzpolitik.org schreibt dazu:

„Die betroffenen Nutzer sollen laut der Datenschutzbehörde (PDF) die folgenden Schritte befolgen:

• Einen schriftlichen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen.
• Besucher der Webseite auf die Verwendung des Dienstes hinweisen und möglichen Widerspruch kenntlich machen.
• Eigene Widerspruchsmöglichkeit zur Verfügung stellen, insbesondere wenn der Dienst für mobile Angebote gedacht ist.
• Erfasste IPs im Administrationsbereich von Google Analytics anonymisieren.
• In der Vergangenheit unrechtmäßig erhobene Daten löschen. (Dies bezieht sich auf die oben beschriebene, juristische Lücke.)“

Den ganzen Artikel finden Sie hier. Hier zwei weitere Quellen, wo Sie sich über die nötigen Maßnahmen zur weiterem Nutzung von Google Analytics informieren können:

Datenschutzbeauftragter-info.de

E-recht24.de

Hier finden Sie eine von Google zusammengestellte Übersicht über die Maßnahmen, die Google zum Schutz personenbezogener Daten vornimmt.

2. SSL-Verschlüsselung

Eine weitere Neuerung, die bevorsteht, betrifft die SSL-Verschlüsselung. Seit einigen Jahren werden Webseiten-Betreiber von Google aufgefordert HTTPS einzusetzen – seit 2014 spielt dieser Faktor sogar beim Ranking eine Rolle. Webseiten mit HTTPS-Verschlüsselung werden also schon seit Längerem von Google Chrome favorisiert, z.B. durch ein grünes Schloss und den Zusatz „Sicher“ in der Adressleiste. Ab Juli 2018 sollen nun http-Verbindungen mit dem Hinweis „Not secure“ deutlich markiert werden! Neben Chrome wird auch Mozilla Firefox, die Nummer zwei auf dem Browser-Markt, Webseiten ohne Verschlüsselung als „unsicher“ markieren. Als Folge sehen Ihre Besucher Ihre Webseite erst, nachdem sie mehrere Warnhinweise weggeklickt haben.

Wir empfehlen Ihnen also, falls noch nicht geschehen, jetzt auf HTTPS umzustellen. Dafür stellt Google auch Hilfsmittel parat. Inzwischen gibt es durch die Initiative Let’s Encrypt sogar kostenlose Zertifikate. Falls Sie noch kein HTTPS einsetzen, sprechen Sie Ihren Provider an, ob diese kostenlosen Zertifikate bei Ihnen genutzt werden können.

An dieser Stelle möchten wir Sie bitten, uns mit genügend Vorlaufzeit darüber zu informieren, wenn Sie vorhaben, auf HTTPS umzustellen! Gegebenenfalls sind Weiterleitungen nötig, außerdem benötigen wir von Ihnen eine Liste mit den alten und neuen URLs in tabellarischer Form.

Falls Sie schon HTTPS einsetzen, sollten Sie zusätzlich prüfen, ob Ihr Zertifikat von Symantec oder einem Reseller stammt. Nachdem Symantec mehrfach ohne Prüfung unberechtigt Zertifikate für Webseiten ausgestellt hat, z.B. für google.com, haben mehrere Browser-Hersteller (z.B. Google und Mozilla) dem Zertifikatsaussteller das Vertrauen entzogen.Besucher Ihrer Seite erhalten dann einen Warnhinweis. Sie sollten daher Ihre Zertifikate von Ihrem Webmaster prüfen lassen und gegebenenfalls Ihre Zertifikate erneuern. Viele Provider bieten an, die betroffenen Zertifikate kostenlos zu ersetzen.

Einen ersten kostenfreien Überblick über die Qualität Ihrer Verschlüsselungs-Zertifikate bekommen Sie z.B. hier.