Google Analytics rechtssicher einsetzen

[mw-handel]

Weil die Frage mir so banal vorkommt, suche ich schon ein paar Tage im Forum und im Netz, was meine Verwirrung nur noch größer macht.

 

Darum gehts: das Google Analytics Modul gibt mir nur die Option, meine UA einzutragen. Was mir fehlt, ist die IP Anonymisierung.

 

Hinzu kommt, dass der Opt-Out-Code in der Datenschutzerklärung verlinkt sein muss. Diese ist als CMS-Seite erstellt, die mir leider jeden Javascript-Code wieder löscht.

 

Kennt Ihr einen Weg, das ohne Programmierung zu lösen?

 

Danke im Voraus

Ruth

[Shad86]

Ganz ohne Programmierung geht es leider nicht.

Aber Google selber sagt dir wie die Anonymisierung geht:

 

https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization

 

Wer des englischen nicht so mächtig ist:

 

ga('set', 'anonymizeIp', true);

 

mit in deinen von Google gegebenen Code einfügen.

So haben wir es jedenfalls gemacht.

[philipps]

Hallo mw-handel,
für die anonymisierung und einer optOut Funktion habe ich leider auch vergebens gesucht.
Ich habe es jetzt aber händisch selber gemacht. Hierzu habe ich das Google Analytics Modul wie folgt angepasst:
Du musst die folgende Datei anpassen: modules/ganalytics/ganalytics.php
Hier findest du ab Zeile 258 den folgenden Code:

'
			<script type="text/javascript">
				(window.gaDevIds=window.gaDevIds||[]).push(\'d6YPbH\');
				(function(i,s,o,g,r,a,m){i[\'GoogleAnalyticsObject\']=r;i[r]=i[r]||function(){
				(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
				m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
				})(window,document,\'script\',\'//www.google-analytics.com/analytics.js\',\'ga\');
				ga(\'create\', \''.Tools::safeOutput(Configuration::get('GA_ACCOUNT_ID')).'\', \'auto\');
				ga(\'require\', \'ec\');'
				.(($user_id && !$back_office) ? 'ga(\'set\', \'&uid\', \''.$user_id.'\');': '')
				.($back_office ? 'ga(\'set\', \'nonInteraction\', true);' : '')
			.'</script>';

Diesen musst durch den folgenden Code ergänzen oder einfach komplett ersetzen:

'
			<script type="text/javascript">
				(window.gaDevIds=window.gaDevIds||[]).push(\'d6YPbH\');
				(function(i,s,o,g,r,a,m){i[\'GoogleAnalyticsObject\']=r;i[r]=i[r]||function(){
				(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
				m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
				})(window,document,\'script\',\'//www.google-analytics.com/analytics.js\',\'ga\');
//Aenderungen beginnen hier
				// Set to the same value as the web property used on the site
				var gaProperty = \''.Tools::safeOutput(Configuration::get('GA_ACCOUNT_ID')).'\';

				// Disable tracking if the opt-out cookie exists.
				var disableStr = \'ga-disable-\' + gaProperty;
				if (document.cookie.indexOf(disableStr + \'=true\') > -1) {
				window[disableStr] = true;
				}

				// Opt-out function
				function gaOptout() {
				document.cookie = disableStr + \'=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/\';
				window[disableStr] = true;
				}
				ga(\'create\', \''.Tools::safeOutput(Configuration::get('GA_ACCOUNT_ID')).'\', \'auto\');
				//anonymizeIp
				ga(\'set\',\'anonymizeIp\',true);
				ga(\'require\', \'ec\');

				//Disable google analytics 
				$( "#disable_Google_Analytics" ).click(function() {
				gaOptout(); alert("Google Analytics is disabled")
				});'


				.(($user_id && !$back_office) ? 'ga(\'set\', \'&uid\', \''.$user_id.'\');': '')
				.($back_office ? 'ga(\'set\', \'nonInteraction\', true);' : '')
			.'</script>';

Um die Optout() Funktion in der Datenschutzerklärung nutzen zu können musst du den folgenden Link hinzufügen:

<a href="#" id="disable_Google_Analytics">Disable Google Analytics</a>

 

 

Gruß,

Philipp

Edited October 11, 2016 by philipps (see edit history)

[Lausli]

Ist das noch aktuell?

Denn wenn ich z.B. den Link in die Datenschutz CMS einfüge:

<a href="#" id="disable_Google_Analytics">Disable Google Analytics</a>

Bringt das glaube ich nicht viel. Zumindest weiß der User nicht per feedback das das Tracking deaktiviert ist.

Habe mich heute zum ersten mal mit Google Analytics beschäftigt und von daher ist es für mich ratsam das vernünftig um zu setzen.

 

Interessant dazu finde ich diesen Artikel:
https://www.e-recht24.de/artikel/datenschutz/6843-google-analytics-datenschutz-rechtskonform-nutzen.html

Dann gibt es hier noch einen Vertrag:
https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf

Verstehe ich es richtig, dass ich Google Analytics nur und ausschließlich dann rechtssicher verwenden kann, wenn ich diesen Vertrag ausfülle und an google sende?

 

Würde das Thema Google Analytics und Prestashop (tb :D) gerne mal etwas ausführlicher ansprechen wollen.

 

Danke

[CAHEK09]

Ist das noch aktuell?

Denn wenn ich z.B. den Link in die Datenschutz CMS einfüge:

<a href="#" id="disable_Google_Analytics">Disable Google Analytics</a>

Bringt das glaube ich nicht viel. Zumindest weiß der User nicht per feedback das das Tracking deaktiviert ist.

Habe mich heute zum ersten mal mit Google Analytics beschäftigt und von daher ist es für mich ratsam das vernünftig um zu setzen.

 

Interessant dazu finde ich diesen Artikel:

https://www.e-recht24.de/artikel/datenschutz/6843-google-analytics-datenschutz-rechtskonform-nutzen.html

 

Dann gibt es hier noch einen Vertrag:

https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf

 

Verstehe ich es richtig, dass ich Google Analytics nur und ausschließlich dann rechtssicher verwenden kann, wenn ich diesen Vertrag ausfülle und an google sende?

 

Würde das Thema Google Analytics und Prestashop (tb :D) gerne mal etwas ausführlicher ansprechen wollen.

 

Danke

 

Den Vertrag brauchst du definitiv zwingend, habe meinen letztens auch zurück bekommen. Die Vertragsgeschichte dauert ein paar Wochen. 

Als Alternative scheint Piwik auch sehr interessant zu sein, vor allem verbleiben dann alle Daten bei dir. 

[Whiley]

 

Als Alternative scheint Piwik auch sehr interessant zu sein, vor allem verbleiben dann alle Daten bei dir.

 

Aber es ist schon klar, daß ihr auch bei Piwik einen entsprechenden Vertrag zur Auftragsdatenverarbeitung (§ 11 BDSG) braucht, wenn ihr euren Piwik-Server bei einem Hoster oder in einem Rechenzentrum stehen habt.

Praktisch einen solchen Vertrag zu bekommen könnte schwierig sein. Das Nichtvorhandensein eines solchen Vertrages ist bußgeldbewährt nach § 43 Abs. 1 Nr. 2b BDSG. Die Höhe des Bußgelds beträgt bis zu 50 000 Euro!

 

 

Verstehe ich es richtig, dass ich Google Analytics nur und ausschließlich dann rechtssicher verwenden kann, wenn ich diesen Vertrag ausfülle und an google sende?

Nein, nur wenn du ihn ausfüllst, an Google sendest und von dort unterschrieben zurückbekommen hast.

 

 

Grüsse

Whiley

[Shad86]

Mal eine ähnliche Frage, ich habe in mehreren Posts was von Piwik gelesen.

Ist das ohne weiteres nutzbar oder wie sieht es da mit unseren Rechten aus?

 

(Soll ich dafür einen neuen Thread auf machen?)

[sowjetmo]

Verstoße ich gegen deutsches Recht wenn ich Google Analytics ohne IP Anonymisierung nutze? 

 

LG

Edited April 5, 2017 by sowjetmo (see edit history)

[Shad86]

Kurz gesagt, ja.

Die lange Version findest du im Netz zu genüge.

Beispielsweise hier: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

[Whiley]

Verstoße ich gegen deutsches Recht wenn ich Google Analytics ohne IP Anonymisierung nutze? 

 

 

Das dürfte ein Verstoß gegen die  Ordnungswidrigkeitentatbestände des § 43 Abs. 2 BDSG

sein, Bußgelder bis 50 000 oder sogar 300 000 Euro sind da möglich.

 

Grüsse

Whiley

[Lausli]

Piwik empfiehlt sich meiner Meinung nach nur und ausschließlich auf dem eigenen Server!

[Claudiocool]

Wo soll man das auch sonst laufen lassen? Wenn ich dem Besucher die entsprechende Anonymisierung zusichere, ist das nur dann wirklich einzuhalten, wenn ich die Geschichte bei mir auf dem Server habe, wobei das ja immer zweigeteilt ist. Die DB wird vom Prestashop gefüttert und zur Anzeige von Piwik ausgelesen. Wir haben uss hierfür entschieden, weil Google Analytics für uns in vielerlei Hinsicht nicht transparent genug war. Wenn dann was gegen die Datenschutzrichlinien läuft. geht Google elegant aus der Schusslinie und du als Betreiber kriegst die volle Breitseite ab, also nicht gut.

Bei Piwik stelle ich alles selbst ein und Dritte haben keinen Zugriff auf die Sache, das passt dann so.

 

Und wenn ich unverschleierte IP sehen will, schaue ich...

...im Prestashop bei den Besuchern nach

...in unseren Serverlogs (wobei diese definitiv legitim sind)

[Shad86]

Frage mich auch wo man es sonst laufen lassen will.

Oder meinst du nicht auf einem Shared Hosting Server?

[Whiley]

Der "eigene Server" müßte dann aber physisch im alleinigen eigenen Zugriff stehen also im eigenen Haus oder ein einem abgeschlossenen Raum eines Rechenzentrums, ist der Server gemietet u. steht bei einem Hoster benötigt man wieder einen Vertrag zur Auftragsdatenverarbeitung (§ 11 BDSG).

 

Grüsse

Whiley

[Claudiocool]

Im Prinzip speicherst du keine personenbezogenen Datem weil

 

1. die IP nicht vollständig ist

2. du anhand der IP normalerweise keine Informationen erlangst, wer zu der IP gehört.

 

Beides wird noch dadurch erschwert, weil man jederzeit mit einem Proxi unterswegs sein kann.

[Whiley]

Unabhängig von der Anonymisierung der IP ist aber ein Vertrag zur Auftragsdatenverarbeitung bei Übermittlungen an Dritte (§ 11 BDSG – Vertrag) mit demjenigen der den Server physisch unterhält (Hoster) immer notwendig.

https://www.datenschutzbeauftragter-info.de/fachbeitraege/piwik-datenschutzkonform-einsetzen/

[Shad86]

Wenn es tatsächlich so ist, macht es ja für die meisten unmöglich Piwik zu nutzen die den Server nicht im eigenen Haus haben.

Denn irgendein X beliebiger Hoster wird einem sicherlich nicht diesen Vertrag unterschreiben nur weil man der Meinung ist auf seinem Server Daten von Kunden zu speichern.

Und ist in dem Sinne nicht die Datenbank des Shops das selbe Problem? Da speichere ich ja definitv Benutzerrelevante Daten wie Adresse und volle Namen teilweise in verbindung mit IP Adressen. Dann müsste ich diesne Vertrag ja so oder so mit meinem Hoster eingehen oder nicht?

[Whiley]

 

Wenn es tatsächlich so ist, macht es ja für die meisten unmöglich Piwik zu nutzen die den Server nicht im eigenen Haus haben.

Sehe ich auch so!

 

Und ist in dem Sinne nicht die Datenbank des Shops das selbe Problem? Da speichere ich ja definitv Benutzerrelevante Daten wie Adresse und volle Namen teilweise in verbindung mit IP Adressen. Dann müsste ich diesne Vertrag ja so oder so mit meinem Hoster eingehen oder nicht?

Nein,

in dem Fall sind das auftragsbezogene Daten, dein Kunde weiß Bescheid (Datenschutzerklärung) und ist mit der Speicherung einverstanden, du gewährst ihm jederzeit Einsicht in das was gespeichert ist, er weiß wie er seine Daten wieder löschen lassen kann .... usw

 

Grüsse

Whiley

[Claudiocool]

mein Hausjurist hält dies in der Datenschutzerklärung im Bezug auf Piwik für ausreichend:

 

Auf dieser Website werden unter Einsatz der Webanalysedienst-Software Piwik (www.piwik.org) Daten zu Marketing- und Optimierungszwecken gesammelt und gespeichert. Aus diesen Daten werden unter einem Pseudonym Nutzungsprofile erstellt, hierzu werden Cookies eingesetzt. Bei Cookies handelt es sich um kleine Textdateien, die lokal im Zwischenspeicher des Internetbrowsers des Seitenbesuchers gespeichert werden. Die Cookies ermöglichen die Wiedererkennung des Internetbrowsers. Die mit der Piwik-Technologie erhobenen Daten (einschließlich Ihrer anonymisierten IP-Adresse) werden an unseren Server übertragen und zu Nutzungsanalysezwecken gespeichert, was der Webseitenoptimierung unsererseits dient. Die durch den Cookie erzeugten Informationen im pseudonymen Nutzerprofil werden nicht dazu benutzt, den Besucher dieser Website persönlich zu identifizieren und nicht mit personenbezogenen Daten über den Träger des Pseudonyms zusammengeführt. Wenn Sie mit der Speicherung und Auswertung dieser Daten aus Ihrem Besuch unserer Website nicht einverstanden sind und für die Zukunft widersprechen möchten, können Sie die Verwendung von Cookies und damit die Teilnahme am Tracking verhindern. Hierzu können Sie Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und einzeln über deren Annahme entscheiden oder die Annahme von Cookies für bestimmte Fälle oder generell ausschließen. Bei der Nichtannahme von Cookies kann die Funktionalität unserer Website eingeschränkt sein.

[Shad86]

Auf sowas hätte ich auch gehofft. Das es genügt sich mit so einem Text ab zu sichern. Ist ja das selbe wie bei Analytics auch. Abgesehen von dem Vertrag.

Und ich bin mir wirklich nicht sicher ob man den Vertrag auch mit einem Hoster braucht. Oder ob es wirklich nur um ein Unternehmen geht das bewusst diese Kundendaten für einen verarbeitet.

[Lausli]

An sich ist es doch egal, wo der Server steht. also rein theoretisch, da der Anbieter gar keine Befugnis hat auf die Daten zu zu greifen und im besten fall auch gar nicht ran kommt.

 

Wenn ich die Daten, nur Theoretisch ECC verschlüssle, ist nach aktueller Auslegung nicht knackbar. Das bedeutet, dass die Daten für dritte unmöglich zu lesen sind ohne den passenden key dazu. Zumindest sicherer wie mein Server zuhause

 

 

Von daher wäre @Claudiocool seine Methode schon für mich ausreichend.

 

Allerdings, wie @Whiley schon sagt ist es ja nicht Recht = Recht sondern wer den besten Anwalt hat....

Edited April 10, 2017 by Lausli (see edit history)

[Claudiocool]

Das mit dem besten Anwalt stimmt wohl leider. An die Daten kommt im Normalfall ausser mir niemand ran, schon, weil da mod_security was dagegen hat und dann der Fail2Ban dafür sorgt, dass derjenige zuerst eine andere IP zum Weitermachen braucht, oder aber eine Woche Geduld bis zum nächsten Versuch.

 

Wenn also nun der bessere Anwalt meine Daten ausspähen würde, hätte ich schlechte Karten, das Risiko hierfür dürfte aber gering sein.

[Shad86]

Ärgerlich das man damit so ein Risiko eingeht. Hätte gern Piwik nebenher genutzt um zu gucken ob wir nicht auch umsteigen sollten.

[Lausli]

Ärgerlich das man damit so ein Risiko eingeht. Hätte gern Piwik nebenher genutzt um zu gucken ob wir nicht auch umsteigen sollten.

Na das Risiko ist meiner Meinung nach kaum vernehmbar.

Guck dir mal all die Seiten an, die Google Analytics nutzen oder auch Piwik. Da wird kaum jemand einen Vertrag abgeschlossen haben. Also gerne lasse ich mich korrigieren: Mir ist kein Fall bekannt, indem ein Betreiber dafür abgemahnt oder verurteilt wurde, weil er Piwik verwendet.

[Claudiocool]

So denke ich auch, zumal man gerade bei Piwik alles in der Hand hat und genau steuern kann, was mit den Daten passiert. Da ist jedes Server-Log bei einem Hoster rechtlich bedenklicher, wer sich so ein Log mal genau angesehen hat und weiß, was da alles geloggt wird (natürlich nur, um den Server verwalten zu können), der merkt schnell, dass Piwik da deutlich wreniger offenlegt.

[Lausli]

Bei mir sieht das ganze so aus:

[Shad86]

@Lausli,

 

das Problem ist das man ja nicht mit bekommt ob ein Vertrag geschlossen wurde oder nicht. Ich denke nach der ganzen Panikmache im Netz werden wohl viele den Vertrag mit Google gemacht haben. Wer den Vertrag auhc mit seinem Hoster geschlossen hat ist natürlich schwer zu sagen. Und vor allem welche Hoster soetwas überhaupt unterschreiben würden.

Fakt ist aber, sollte es mal, aus welchen Gründen auch immer, soweit kommen das man Post hat, muss man den Vertrag vorlegen können. Ich persönlich denke auch das es ein geringes Risiko ist das ein Anwalt jemanden anschreibt nur weil dieser Piwik nutzt und einen gehosteten Server hat. Möglich ist es trotzdem. Und da es nicht mein eigener Shop ist (und dan selbst in der Verantwortung bin) ist das schon ein Problem für mich.

[Claudiocool]

Wenn es nicht dein eigener ist, lässt du dich eben explizit beauftragen, das einzurichten und dartin auch bestätigen, dass eventuelle rechtliche Folgen nicht zu deinen Lasten gehen.

[Shad86]

Würde bei einem Kunden funktionieren, mein Hauptberuflicher Arbeitgeber zeigt mir dann aber einen Vogel :-)

Der sagt mir dann "wenn wir damit ein Risiko eingehen bleiben wir halt bei Google". aber ich hätte halt gerne getestet in wieweit sich die beiden Systeme unterscheiden und ob Piwik vielleicht besser für uns ist. Wir nutzen ja längst nicht alles was Analytics zu bieten hat.

[Claudiocool]

Ja, da ist es umso einfacher

 

Du tust das ja dann auf seine Veranlassung hin. Analytics ist vor allem deshalb nervig, weil die ständig ihre Seite so verändern, dass man das, was man heute nach mühevoller Suche findet, morgen schon wieder wo ganz anders suchen muss. Fast könnte man meinen, die ändern Ihr Template ständig, um die Supporter nicht arbeitslos werden zu lassen

Edited April 12, 2017 by Claudiocool (see edit history)

[Lausli]

https://www.datenschutzbeauftragter-info.de/fachbeitraege/piwik-datenschutzkonform-einsetzen/

 

Ich mach jetzt einfach mal die Probe und frage meinen Hoster.

 

// Edit:

 

Sie können mit uns gerne einen Vertrag zur Auftragsdatenverarbeitung schließen. Wenn Sie dafür unsere auf Anfrage bereitgestellte Vertragsvorlage verwenden, ist dies für Sie kostenfrei. Bitte lassen Sie uns bei Interesse eine kurze E-Mail zukommen, wir übermitteln Ihnen dann gerne weitere Informationen.

 

Also das lässt schon mal Rückschlüsse auf die Frage zu ob "Hoster" im Allgemeinen solche Verträge schließen.

Vermute also mal: Ja.

 

https://www.audatis.de/ratgeber/business/uebersicht-zur-auftragsdatenverarbeitung-adv-beim-webhosting/

Edited April 12, 2017 by Lausli (see edit history)

[Shad86]

Ach, das klingt ja pflegeleicht. Dann sollte ich testweise vielleicht auch gleich mal bei unserem anfragen. Dann ist das ganze getöse vielleicht für nichts gewesen.

Ich bin davon ausgegangen das die sich mit sowas garnicht befassen.

 

Und @Claudiocool

 

Wie gesagt der wird eher sagen wir bleiben bei analytics, warum sollte man wechseln wenns doch läuft.

[Lausli]

 Ich habe bei meinem Hoster von einem User einen guten Tipp bekommen:

https://www.datenschutzzentrum.de/uploads/projekte/verbraucherdatenschutz/20110315-webanalyse-piwik.pdf

[rictools]

Fakt ist aber, sollte es mal, aus welchen Gründen auch immer, soweit kommen das man Post hat, muss man den Vertrag vorlegen können. Ich persönlich denke auch das es ein geringes Risiko ist das ein Anwalt jemanden anschreibt nur weil dieser Piwik nutzt und einen gehosteten Server hat. Möglich ist es trotzdem.

Das mag so sein, wenn dich eine dafür zuständige Behörde anschreibt (da dürften sich Konsequenzen, wenn du diesen Vertrag nicht hast, aber in Grenzen halten). Einem Anwalt mußt du sicher nichts vorlegen, er kann dir auf den bloßen Verdacht vielleicht eine Abmahnung schicken oder dich verklagen, wenn du dann aber erst vor Gericht den Vertrag aus der Tasche ziehst, hat er geloost ...

[Shad86]

Das ist der Grund weshalb ich nicht glaube das etwas kommt und wenn es mein eigener Shop wär ich es auch in Kauf nehmen würde.

Da dieser Shop aber der meines Arbeitgebers ist, kann ich darüber nicht entscheiden.

Ich kann ihm nur vorlegen das ich ein zweites System zur Datananalyse nebenher laufen lasse, ich aber alles getan habe damit es Rechtlich keine konsequenzen haben kann.

[Whiley]

Hier im Topic werden ja mal wieder munter Äfpel mit Birnen und vielen anderen Dingen mehr verglichen.

 

Ein Verstoß gegen § 11 BDSG ist bußgeldbewehrt, (bis zu 50000 bzw 300000 Euro), mit Abmahnungen, Schreiben von Anwälten u. dergleichen hat das nichts zu tun.

Eine Anzeige bei einem vermuteten Verstoß jann jeder Betroffene erstatten, aber auch jeder Datenschutzbeauftragte, die Verbraucherschutzvereine etc.

Eine solche Anzeige kann bei jeder Polizei-Dienststelle oder auch direkt im Internet aufgegeben werden.

Bei einem vermuten Verstoß werden die Ordnungsbehörden bzw. Staatsanwaltschaften tätig.

 

Mein Eindruck ist, daß immer mehr Menschen auf das Thema BIG BROTHER sensibilisiert sind und durchaus darauf achten wo im Netz sie überall Spuren hinterlassen, und da es mit einfachen Browser-Addons wie z.B. Ghostery problemlos möglich ist zumindest festzustellen, das Google-Analytics oder Piwik eingesetzt wird, möge jeder für sich das Risiko abschätzen hier bei einem möglichen Verstoß erwischt zu werden.

Die Behörden gehen bei derartigen Verstößen jedenfalls rigoros vor:

https://www.ka-rechtsanwalt.eu/bussgeld-auftragsdatenverarbeitung/

 

Auf jeden Fall erscheint es mir vernünftig einen entsprechenden Vertrag mit dem Hoster abzuschließen oder aber einen kleinen Server im Haus zu betreiben was ja letztendlich auch kein großes Problem darstellen dürfte.

 

Grüsse

Whiley

[Lausli]

Mehr ist da nicht hinzuzufügen!

Wenn du einen Server bei einem Provider mietest, vergibst du eben sehr wohl im juristischen Sinn einen Auftrag zur Datenspeicherung. Dein Provider verpflichtet sich dir Hardware lauffähig zur Verfügung zu stellen, und bietet dir die Möglichkeit der Datenspeicherung auf Hardware die nach wie vor sein Eigentum ist. Dein Provider wird regelmäßige Wartungsarbeiten durchühren (Backups, Austausch älterer Festplatten etc), er hat also Zugriff und greift die Daten ab -- und genau dafür brauchst du den Vertrag, und für viele der Provider ist das ja auch kein Problem dir diesen Vertrag - häufig sogar kostenfrei - zu unterschreiben (vgl deinen Link weiter oben).

 

Alter Müll....:

 

Na was heißt denn

Die bayrische Datenschutzaufsichtsbehörde hat in einer Pressemeldung am 20.08.2015 mitgeteilt, dass sie gegen ein Unternehmen, dass einen externen Dienstleister mit der Auftragsdatenverarbeitung (kurz ADV) ohne ausreichenden Vertrag beauftragt hat,

 
Nutze ich Piwik auf "meinen" Server beim DL dann beauftrage ich niemanden sonder mache das selbst!
 
Also ich habe im Forum von meinem Anbieter ebenso ziemlich kompetente Antworten erhalten.
 
Kern der Aussage wäre (wie hier auch bereits erkannt):
>> Bei einem eigenen Server
Der eigene Server, ist DEIN / MEIN Verantwortungsbereich! Nicht der des Anbieters. Von Daher beauftrage ich auch keine dritten im juristischem Sinne sondern ich mache das eigenverantwortlich! Daraus resultiert, dass man keinen Vertrag für Piwik braucht!
 
Es kann jedoch auch nicht schaden einen solchen Vertrag ab zu schließen.
Nach bisherigen Kenntnissen macht das so ziemlich jeder Anbieter. Bei einigen kostet es Geld bei anderen nicht.
 
Wichtiger Hinweis zu den Cookies:
Die Cookiedauer sollte nicht länger als 7 Tage (eine Woche) sein, besser kürzester Einstellungsgrad!
 
>> Bei Verwendung von Piwik durch einen spezialisierten Anbieter
Siehe Google Analytics
 
Bei google Analytics:
Ist ein Vertrag zwingend notwendig, da man hier einen dritten, Google/Piwik Hosting Anbieter, beauftragt diese Daten zu erheben und zu verarbeiten.
Hier muss man explizit die IP Anonymisieren (lassen) und die Cookiedauer einstellen.

 

Edited April 13, 2017 by Lausli (see edit history)

[Whiley]

 

Kern der Aussage wäre (wie hier auch bereits erkannt):

>> Bei einem eigenen Server

Der eigene Server, ist DEIN / MEIN Verantwortungsbereich! Nicht der des Anbieters. Von Daher beauftrage ich auch keine dritten im juristischem Sinne sondern ich mache das eigenverantwortlich! Daraus resultiert, dass man keinen Vertrag für Piwik braucht!

 

Bei so einer Frage dürfte es sich ev. lohnen den Anwalt deines Vertrauens zu befragen, der wird dir sagen, daß es auf Eigenverantwortlichkeit und Verschlüsselung (ein anderer Post weiter oben) und darauf das im Normalfall nur du  auf den Server zugreifst (Post weiter oben) überhaupt nicht ankommt, dies alles ist für § 11 BDSG von keinerlei Bedeutung.

 

Wenn du einen Server bei einem Provider mietest, vergibst du eben sehr wohl im juristischen Sinn einen Auftrag zur Datenspeicherung. Dein Provider verpflichtet sich dir Hardware lauffähig zur Verfügung zu stellen, und bietet dir die Möglichkeit der Datenspeicherung auf Hardware die nach wie vor sein Eigentum ist. Dein Provider wird regelmäßige Wartungsarbeiten durchühren (Backups, Austausch älterer Festplatten etc), er hat also Zugriff und greift die Daten ab -- und genau dafür brauchst du den Vertrag, und für viele der Provider ist das ja auch kein Problem dir diesen Vertrag - häufig sogar kostenfrei - zu unterschreiben (vgl deinen Link weiter oben).

 

Ganz anders sieht es aus wenn du den Server bei dir im Haus hast, dann bist du alleinverantwortlich für den Datenschutz, wirst also selbst entscheiden z.B. eine ausgetauschte Festplatte nicht einfach in den Müll zu werfen sondern vorher die Daten  zu zerstören(DIN 66399).

 

Grüsse

Whiley

 

.

[Claudiocool]

Das hat mich jetzt auch etwas nachdenklich gemacht. Ich habe zwar eine Erklärung des Rechenzentrums über die getroffenen Massnahmen gem §9 BDSG hier, aber das mit dem Vetrag habe ich nun explizit angefragt, mal sehen, was die dazu sagen.

[Viitali]

Hallo mw-handel,

für die anonymisierung und einer optOut Funktion habe ich leider auch vergebens gesucht.

Ich habe es jetzt aber händisch selber gemacht. Hierzu habe ich das Google Analytics Modul wie folgt angepasst:

Du musst die folgende Datei anpassen: modules/ganalytics/ganalytics.php

Hier findest du ab Zeile 258 den folgenden Code:

 

Ist die Lösung noch aktuell oder hat sich in dem halbem Jahr was getan? Das Modul selbst wurde wohl seit 2015 nicht mehr aktualisiert

[philipps]

Ich nutze es so in der aktuellen 1.6er Version.  Version 1.7 habe ich noch nicht getestet.

[Claudiocool]

Sodele....

 

also zumindest in meinem Fall ist die Sache mit dem Server geklärt.

 

Es ist ein unmangaed Server, den Zugang SSH/FTP haben wir mit eigenen Passworten und Zugangsmethoden gesichert. Weiter haben wir eine Zusicherung des Betreibers, dass kein Mitarbeiter unseren Serverbereich "betritt", ohne dass dies auf unsere ausdrückliche Veranlassung hin passiert. Jeder Zugang ist mit Logdaten nachvollziehbar, so dass wir auch sicher sein können, dass diese Regelung eingehalten wird, bzw. deren Nichteinhaltung nachvollzogen werden könnte. Die entsprechenden Erklärungen liegen hier vor.

 

Im Fall eines managed Server wäre die Sache etwas anders, weil hier die Mitarbeiter des Betreibers einigermaßen uneingeschränkten Zugang zu den Daten hätten, hier wäre ein Betrieb von Software, die Daten speichert, problematisch.

 

Soweit das....

 

Piwik speichert keine eindeutigen IP, somit ist die personenbezogene Nutzung soweit erschwert, dass das nicht explizit zuordenbar ist. Insofern ist das weit unproblematischer als beim Prestashop selbst, denn hier wird alles gespeichert, was eine eindeutige personenbezogene Zurordnung ermöglicht. Also ist der Prestashop selbst weitaus problematischer als Piwik.

Eine andere Sache ist hier Google Analytics, weil man hier eigentlich die Daten komplett aus der Hand gibt, hier ist ein Vertrag mit Google, der genau regelt, was mit den Daten passiert, unumgänglich, ohne einen solchen Vertrag würde ich Google keinesfalls nutzen, zumal die Daten nach Übertragung zu Google in deren Besitz gelangen (zumindest inhaltlich) und man somit alle Möglichkeiten der Nutzungssteuerung aus der Hand gegeben hat.

[Lausli]

Piwik speichert bzw. Nimmt aber zu erst die ganze IP auf. Danach wird sie anonymisiert. Im cache können daher immer ganze ips sein. Und der Anbieter macht eigentlich immer Backups und da der Server in seinem Rechenzentrum steht hat er zugriff.

 

Was du sagst steht eigentlich in meiner ADV. Da steht aufgelistet wie der Server gesichert ist, wer Zugriff hat und wann etc. Das ist Teil der ADV. Ich darf es hier leider nicht posten.

 

Und ich habe auch selbst verwaltete Server .

 

Hast du diese Zusicherung schriftlich wäre es sozusagen eine ADV

[Claudiocool]

Jo, alles schriftlich vorhanden

[Lausli]

Optimal !

 

Gut zu wissen, dass das wirklich zu funktionieren scheint.

 

Hatte am Anfang ja so meine bedenken das die Anbieter sowas gar nicht anbieten oder nur für viel Geld.

 

Freut mich

[Claudiocool]

Ich denke eher, die kennen das Problem, verschweigen es aber, damit man denen im Zweifelsfalle keine Verantwortung zuschieben kann.

 

Ich habe auch erst auf Nachfrage die ganzen Unterlagen erhalten, die das klar regeln mit den Daten auf dem Server.

[Viitali]

 

                ga(\'create\', \''.Tools::safeOutput(Configuration::get('GA_ACCOUNT_ID')).'\', \'auto\');

                //anonymizeIp

                ga(\'set\',\'anonymizeIp\',true);

                ga(\'require\', \'ec\');

Muß es eigentlich nicht ga('send', 'pageview'); am ende heißen?

Mit ga('require', 'ec'); werden bei mir zwar die Käufe ins Analytics übertragen, der Trafic und Quellen aber nicht so richtig.

Oder kann man beides gleichzeitig verwenden?

Edited September 28, 2017 by Viitali (see edit history)