Frage zur DSGVO (GDPR) und Google Analytics in einer Softwareumgebung von einer kleinen Gesundheitseinrichtung

Datenschutz
1

Hallo zusammen,

(Tut mir leid wenn mein Deutsch ein wenig seltsam wirkt, Ich bin kein Deutscher. Mit Hilfe von Deepl habe Ich folgenes zusammengestellt).

Entschulding für die ausführliche Beitrag. Meine Frage ist konkret: die Kommunikation verläuft zwar schwierig (angeblich vonwegen einen Reorganisation), aber ist alles noch im Rahmen der GDPR? Gerne eure Fachwissen dazu.

Bei uns in die Niederlande gibt es wie bei euch kleine Gesundheitseinrichtungen. Genau für diese Sektor gibt es ein Online Softwarepaket wo die ganze Akte von die Teilnehmern wie zB. Evaluierungen, Notitzen über das Funktionieren, aber auch personenbezogen (Gesundheids)dateien gespeichert und bearbeiten werden. Es wird einem für die Teilnehmern getrennte Umgebung verfügbar gestellt. Dabei sind die Daten für die Teilnehmern beschränkt, das ist auch in Ordnung.

Schon am Anfang (2018?) von dieses System, läuft, erst wenn mann eingelogt ist, Google-tagmanager. Ich wurde von Jemanden auf meinem Bekanntenkreis darüber informiert und habe dieses Software-Unternehmen erst im Juni 2019 angeschrieben.

Antwort Firma:

Seit dem 30. Januar 2019 führen wir über Google Analytics anonyme Nutzungsstatistiken. Zuvor haben wir diese Daten in unserer eigenen Datenbank gespeichert, aber wir dachten, das wäre eine Verschwendung von Speicherplatz. Außerdem sind die Möglichkeiten von Google Analytics für uns nützlich, zum Beispiel um zu sehen, welcher Prozentsatz unserer Nutzer eine bestimmte Seite lieber mit einem mobilen Gerät besucht.

Ich:

Ich kann sehen, dass die IP-Adress anonymisiert ist. Was haben Sie sonst noch im Detail für Datenschutzzwecke Im Bezug auf das Google-Skript eingestellt?

Firma:

Wir senden nichts an Google, außer welche Seiten im Inneren besucht werden. Abgesehen von der IP-Adresse, die wir bereits anonymisieren, werden keine persönlichen Daten mit Google ausgetauscht. Das ist auch nicht nötig, denn für die Statistik sind wir nicht an den Aktionen der Nutzer interessiert. Zu Fehlersuchzwecken und aufgrund verschiedener gesetzlicher Verpflichtungen speichern wir zwar detaillierte Daten, aber dafür haben wir die Protokollierung komplett im Haus (natürlich ISO-zertifiziert).

Ich:

Leider ist die Anonymisierung der IP-Adresse ein Reinfall, denn nach dem Einloggen, beim ersten Aufruf des Skripts, anonymisiert google die IP-Adresse nicht, weil google den Parameter noch nicht erhalten hat, erst beim zweiten und dritten Aufruf wird er geladen.
Es stört mich, dass es keine Opt-in-Option gibt! Und auch, dass jemand in Ihrer Datenschutzerklärung nicht darüber informiert wird, dass Sie z.B. eine Verarbeitungsvereinbarung mit Google haben. Ich kann dieses Skript vielleicht blockieren, aber ein Teilnehmer oder sein Gesundheitsdienstleister tut dies nicht standardmäßig, genau wie 99% aller anderen Menschen. Dann könnten persönliche Daten ohne die Zustimmung von irgendjemandem an Google weitergegeben werden. Vielleicht passiert das nicht, aber ich bin mir da nicht sicher.

Firma:

Im Gegensatz zu einer öffentlichen Website besteht das „Opt-in“ bei einer SAAS-Anwendung in der Regel darin, diese Anwendung zu nutzen. Dabei wird natürlich angestrebt, den (potenziellen) Kunden so weit wie möglich im Voraus zu informieren. Das Analyseskript wird erst nach der Anmeldung geladen (nicht im Anmeldefenster selbst). „Opt-out“ bedeutet, dass der Dienst abbestellt wird. Die Möglichkeit, Analytics separat zu aktivieren/deaktivieren, ist etwas, das wir lieber nicht anbieten: Wir möchten die Statistiken haben UND die meisten unserer Kunden brauchen keine zusätzliche Frage/Einstellung. Für erfahrene Nutzer wie Sie gibt es immer die Möglichkeit, Cookies selbst zu blockieren - auch wenn wir das lieber nicht sehen würden: Die gesammelten Daten helfen uns, die Anwendung zu verbessern.

Ich:

Die meisten Menschen sind vielleicht nicht daran interessiert, dass ihnen eine zusätzliche Frage gestellt wird, und sie sind auch nicht dazu verpflichtet (?), aber auf diese Weise werden die Menschen auch nicht bewusst, dass Daten an Dritte weitergegeben werden. Die übermittelten Daten mögen zwar begrenzt sein, sind aber letztlich immer auf eine Person zurückführbar, wenn alle Daten miteinander verknüpft werden; es ist ein Mythos, dass dies anonym ist.

Dann Ende 2023 stellten wir fest, dass die Datenschutzerklärung aktualisiert worden ist (Ausschnitte):

[…]Im Folgenden finden Sie einen Überblick über die von uns verarbeiteten personenbezogenen Daten:
*Vor- und Nachname
*Geschlecht
*Geburtsdatum
*Geburtsort
*Adressdaten
*Telefonnummer
*E-Mail-Adresse
*IP-Adresse (???)
*sonstige personenbezogene Daten, die Sie uns aktiv zur Verfügung stellen, z. B. durch Anlegen eines Profils auf dieser Website, in der Korrespondenz und am Telefon
*Standortdaten (???)
*Daten über Ihre Aktivitäten auf unserer Website
*Daten über Ihr Surfverhalten auf verschiedenen Websites (z. B. weil dieses Unternehmen Teil eines Werbenetzwerks ist) (???)
*Liste der Kundenkontaktdaten über eine App (???)
*Internetbrowser und Gerätetyp
*Bankkundennummer

Besondere und/oder sensible personenbezogene Daten, die wir verarbeiten. Wir verarbeiten die folgenden besonderen und/oder sensiblen personenbezogenen Daten über Sie:
*Gesundheit
*Strafregister
*Daten von Personen, die das 16. Lebensjahr noch nicht vollendet haben *)
*Bürger-Service-Nummer (BSN) *)

*) Unsere Website und/oder unser Dienst haben nicht die Absicht, Daten von Website-Besuchern zu sammeln, die unter 16 Jahre alt sind. Es sei denn, sie haben die Zustimmung ihrer Eltern oder Erziehungsberechtigten. Wir können jedoch nicht überprüfen, ob ein Besucher älter als 16 Jahre ist. Wir raten daher den Eltern, die Online-Aktivitäten ihrer Kinder zu überwachen, um zu vermeiden, dass Daten von Kindern ohne elterliche Zustimmung erfasst werden. Wenn Sie davon überzeugt sind, dass wir personenbezogene Daten über einen Minderjährigen ohne eine solche Zustimmung gesammelt haben, setzen Sie sich bitte mit uns in Verbindung, und wir werden diese Informationen löschen. […]

[…] Wir verarbeiten Ihre personenbezogenen Daten für die folgenden Zwecke:
*…
*Wir analysieren Ihr Verhalten auf der Website, um die Website zu verbessern und das Angebot an Produkten und Dienstleistungen auf Ihre Präferenzen zuzuschneiden.
*…
[…]

[…]Weitergabe personenbezogener Daten an Dritte. Wir geben personenbezogene Daten nur dann an Dritte weiter, wenn dies für die Erfüllung unserer Vereinbarung mit Ihnen oder zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist.[…]

[…]Cookies oder ähnliche Techniken, die wir verwenden. Wir verwenden nur technische und funktionale Cookies. Und analytische Cookies, die nicht in Ihre Privatsphäre eindringen. Ein Cookie ist eine kleine Textdatei, die auf Ihrem Computer, Tablet oder Smartphone gespeichert wird, wenn Sie diese Website zum ersten Mal besuchen. Die von uns verwendeten Cookies sind für den technischen Betrieb der Website und Ihre Benutzerfreundlichkeit notwendig. Sie sorgen dafür, dass die Website ordnungsgemäß funktioniert und merken sich zum Beispiel Ihre Präferenzen. Sie ermöglichen es uns auch, unsere Website zu optimieren. Sie können Cookies ablehnen, indem Sie Ihren Internet-Browser so konfigurieren, dass er keine Cookies mehr speichert. Sie können auch alle zuvor gespeicherten Informationen über Ihre Browsereinstellungen löschen.[…]

Ich habe dann eine E-Mail an den Datenschutzbeauftragten geschrieben, aber bekamm kein Antwort. Ich habe nach einigen Zeit die Firma angerufen:

Ich:

Wenn der Datenschutzhinweis aktualisiert wird, erhalten wir keine Nachricht/Benachrichtigung darüber.

Firma:

Dafür sind Sie selbst verantwortlich. (Ich: Das ist nicht in Ordnung?)
Dazu wurde auch gesagt:
Der Verzicht auf den Datenschutz gilt NICHT für das Kundenportal, in das Sie sich als Kunde im Gesundheitswesen einloggen. Hierfür müssen Sie bei dem Gesundheitsdienstleister sein, mit dem Sie eine Verarbeitungsvereinbarung haben.

Ich:

Sicherlich läuft die Umgebung auf Ihren Servern, mussen wir also mit Ihnen verhandeln und gilt die Verbrauchervereinbarung, die wir mit Ihnen habe.

Firma:

Nein. Wenn Sie Einwände haben, sollten Sie sich an Ihre Gesundheitseinrichtung wenden.

Ich:

Wenn das nicht auf mich zutrifft, warum läuft dann der „googletagmanager“ im System, ohne uns zu informieren? Und warum wird das Surfverhalten auf verschiedenen Websites, die IP-Adresse und Standort gesammelt?

Firma:

Wenn man über Google auf der Seite von der Software Firma landet. Sie konnten mich nicht sagen, warum IP-Adressen und Standortdaten gesammelt werden.
Für Fragen musste Ich bei der Gesundheidseinrichtung sein, und nicht bei das Software Unternehmen.

Dann schickte der Gesundheitsdienstleister eine E-Mail mit unseren Fragen an das Softwareunternehmen. Die haben nie geantwortet. Erst nach Monaten kontaktierte das Unternehmen nach Anrufe von der Dienstleiser.
Wie ich vermutet habe, wird die IP-Adresse zunächst in die USA geschickt und dort anonymisiert. Aber das ist erlaubt laut dieser Firma.

Firma sagte noch dazu:

Ihre Anmerkungen werden an die Rechtsabteilung weitergeleitet und die Datenschutzerklärung wird aktualisiert.

Weitere konkrete Antworten wurden von der Softwarefirma nicht gegeben, außer:

'Leider hat uns unser Internet-Sicherheitsmanager verlassen und sich nicht um diese Frage gekümmert. Die Webanwendung nutzt nicht den Google Tag Manager, aber sie nutzt Google Analytics. Das Skript wird von der Domain des Google Tag Managers abgerufen. Die Google-Analytics-Anwendung ist so konzipiert, dass die Daten anonymisiert werden. Das ist die sicherste Datenschutzeinstellung. Google analytics ist in den Niederlanden noch erlaubt und wird daher im Allgemeinen derzeit noch als ausreichend sicher angesehen.

Die Datensicherheit ist Änderungen unterworfen […] und wir halten uns über die Sicherheitsentwicklung auf dem Laufenden. […]Wir erforschen auch Alternativen zu Google Analytics.[…]

Laut dieser Firma sind Sie ISO-zertifiziert und befolgen die Gesetze und Vorschriften der GDPR.

2

Du kannst Beschwerde bei https://autoriteitpersoonsgegevens.nl/ einreichen. Und uns gerne verraten was dabei herauskam.

3

„anonym“ ist doch OK… (Nein, ist es nicht, weil die Daten nicht wirklch anonym sind. Google kann die Identität der betroffenen Person kennen. Die IP-Adresse wird erst bei Google gekürzt; es gibt für Google zusätzliche Möglichkeiten, die Person zu identifizieren.

Also… Wozu werden Daten an Google übermittelt? (Art. 5 Abs. 1 Buchst. b DSGVO) Was ist die Rechtsgrundlage? (Art. 6 Abs. 1 DSGVO)

„Im Folgenden … Gesundheit, Strafregister…“ - Das sind Daten, die nur unter bestimmten Bedingungen verarbeitet werden dürfen (Art. 9, Art. 10 DSGVO). Wie Wie ist das realisiert?

Für jeden Zweck wird eine Rechtsgrundlage benötigt. Welche ist das z. B. für „Webseite zu verbessern“ und „auf Ihre Präferenzen zuzuschneiden“? Sind die Bedingungen für die Rechtsgrundlage erfüllt (Art. 6 Abs. 1 DSGVO)?

D., der nicht denkt, dass Google Analytics genutzt werden darf. Weil es die Rechte der Seitenbesucher zu stark beeinträchtigt. Und weil sich die Ziele (Statistik) auch ohne Google erreichen lassen.

1 „Gefällt mir“
4

Bevor Ich bei diese Autoriteit Persoons Gegevens eine Beschwerde einrichte, brauche Ich sicher zu sein dass diese Firma etwas falsch macht.

Danke. Es ist schwierig, weil es noch nicht verboten ist bei uns, wie in Östenreich, um Google Analytics zu verwenden. Es wird zwar abgeraten, aber die Autoriteit Persoons Gegevens hat nach zwei Jahren immer noch nicht beschlossen, es zu verbieten oder nicht. Ich werde, wenn Ich mehr Zeit habe, mal wieder diese Firma fragen konkret zu Antworten und nehme diese Hinweisen mit.

5

nein, es reicht, wenn Du denkst, sie macht etwas falsch. Artikel 77 Abs. 1 DSGVO lautet: „Jede betroffene Person hat … das Recht auf Beschwerde bei einer Aufsichtsbehörde, … , wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“
Wenn die Aufsicht das anders sieht, verstößt sie selbst gegen das Recht.

1 „Gefällt mir“
6

So sehe ich es:

  • Der Datenaustausch mit US-Firmen ist erlaubt (bis Schrems III kommt ;-)), sofern die restlichen Anforderungen erfüllt sind, d.h. eine Ausnahme aus Artikel 6 DSGOV gefunden werden kann. Die zu finden, ist nicht Deine Aufgabe, sondern derjenigen Firma, die Deine Daten quasi zuerst empfängt.
  • Diese Firma kann beliebige Auftragnehmer damit beauftragen, Deine Daten zu verarbeiten, solange die Rechtsgrundlagen (DSGVO) es zulassen. Es ist Aufgabe der „ersten Firma“, für den Schutz Deiner Daten zu sorgen und das notfalls auch beweisen zu können.
  • Bauen die Auftragnehmer Mist, ist dennoch erst einmal die erste Firme, die Deine Daten bekommen hat, für Dich Ansprechpartner.
  • Du musst also nicht beweisen, dass die Firmen etwas falsch machen, sondern die Firmen müssen beweisen, dass und wie sie es richtig machen (umgekehrte Beweislast nennt man das in Deutschland).
  • Gesundheitsdaten gehören zu den besonderen Kategorien von Daten. Sowas findet sich in Artikel 9 DSGVO. Dort ist eindeutig geregelt, dass eine Verarbeitung von Daten eine Einwilligung erfordert. Plus noch weitere Ausnahmen (in Deutschland darf z.B. öffentliche Rentenversicherung die Daten auch ohne Einwilligung verarbeiten). Allerdings gehört „Google Analytics“ definitiv zu den Dingen, die eine Einwilligung und damit ein Opt-In erfordern.
  • Eine Anonymisierung, die nur teilweise anonymisiert, ist keine. Auch wenn nur die ersten 2-3 HTTP-Anfragen mit voller IP-Adresse in die USA übertragen werden, sehe ich einen Datenschutzverstoss. Es gibt aus meiner Sicht kein „ein bischen Daten darf man übertragen“. So wie es kein „ein bischen schwanger“ gibt. Wir wissen alle, wie man mit Hilfe von Big Data und KI aus großen Datenmengen problemlos auf einzelne Personen schliessen kann.
  • Kurzum: Google Analytics hat NICHTS in einer Gesundheitsanwendung zu suchen. Nicht in Deutschland und auch nicht in den NL oder überhaupt dem Schengen-Raum. Wer sowas in seine Apps oder Webseiten einbaut, zeigt nicht nur ein gewisses Maß an Unseriösität, sondern auch einen Eimer voll Ignoranz, was das Gut der personenbezogenen Daten anderer und der informationellen Selbstbestimmung angeht. Genau davor soll uns die DSGVO schützen.
2 „Gefällt mir“
7

Es wird noch schlimmer. Ich habe mal wieder eingelogt. Dabei wird jetzt auch sentry.io geladen. Ublock verhindert es zwar und Ich kann nicht sehen ob sentry.io jetzt aus der Cloud geladen wird, oder lokal auf ein Server läuft.

Edit: die Sentry.io IP-Adressen sind von Google in die USA.

Die Server IP-Adressen von dem Software Firma führen zu Amazon. Wie Ich hier auf das Blog lesen kann, ist das nicht gleich ein Problem.

Ublock blokkiert auch mehrere externe Schriftarten. Ich versuche mal herauszufinden welche es sind.

Edit: die Schriftarten werden auch direkt aus der USA geladen (Amazon).

@Joachim @NichtDieMama

Ich kann dazu noch folgendes hinfügen:
Zwecke und Grundlagen für verabeiten von Daten laut Firma:

  • Abwicklung Ihrer Zahlung
  • Zusendung unseres Newsletters und/oder Werbeprospekts an Sie
  • Sie anzurufen oder per E-Mail zu kontaktieren, wenn dies für die Erbringung unserer Dienstleistungen erforderlich ist - Sie über Änderungen unserer Dienstleistungen und Produkte zu informieren
  • Ihnen die Möglichkeit geben, ein Konto zu erstellen
  • um Ihnen Waren und Dienstleistungen zu liefern
  • XXXXX analysiert Ihr Verhalten auf der Website, um die Website zu verbessern und die angebotenen Produkte und Dienstleistungen auf Ihre Präferenzen abzustimmen.
  • XXXXX verarbeitet auch personenbezogene Daten, wenn wir gesetzlich dazu verpflichtet sind, wie z. B. Daten, die wir für unsere Steuererklärung benötigen.
8

US-Übermittlungen sind nicht unbedingt unzulässig. Sie müssen aber genannt sein; und mit ihrer rechtlichen Absicherung.

Externe Schriften (inkl. Datenübermittlung an Dritte) sind meistens nicht nötig = unzulässig.

Diese Auflistung nennt Zwecke, die aber nicht automatisch zulässig sind.

Typische Rechtsgrundlagen (1 der 6 Möglichkeiten aus Art. 6 Abs. 1 DSGVO):

  1. b Vertragserfüllung
  2. a Einwilligung
  3. b Vertragserfüllung bzw. a Einwilligung (auch wegen § 7 UWG bei Werbung)
  4. b Vertragserfüllung
  5. b Vertragserfüllung
  6. a Einwilligung (evtl. auch wegen § 25 TTTDSG)
  7. c rechtliche Verpflichtung (z. B. steuerrechtliche Dokumentationspflicht)
    (Kein „f“ dabei? Nein, berechtigte Interessen erscheint nicht möglich, so dass es immer Erforderlichkeit zur Vertragserfüllung, eine konkrete Vorschrift, oder Einwilligung sein muss.)

Die Vertragserfüllung wäre tragfähig, wenn die Verarbeitung zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich(!) ist. Nicht erforerlich ist es aber, falls noch kein Vertrag ansteht; z. B. Warenkorb-Cookies mitzuführen, ohne dass etwas als bestellt oder wenigstens reserviert angeklickt war.

Anrufen kann zur Vertragserfüllung erfordelich sein, z. B. Liefertermin absprechen oder Rückfragen; Information über Produkte /Dienstleistungen kann aber auch reine Werbung sein, wofür unbedingt Einwilligungen fällig sind. Bei Mailwerbung gäbe es das „Bestandskundenprivileg“ (§ 7 Abs. 3 UWG), doch müssten dessen Voraussetzungen alle gleichzeitig erfüllt sein.

Verhaltensanalyse wird ebenfalls Einwilligungen benötigen. Man kann sich auch „berechtigte Interessen“… wünschen, doch würden meistens Schutzinteressen überwiegen, nicht getrackt zu werden, so dass diese Rechtsgrundlage nicht in frage kommt und Einwilligungen nötig sind. Ebenso wenn dazu etwas auf der Endeinrichtung gespeichert oder ausgelesen wird, z. B. Cookies oder Fingerprinting.

Bei Vertragserfüllung bzw. rechtlicher Verpflchtung ist die Verarbeitung jeweils nur für dies Zwecke zulässig; nicht etwa für Analyse, Werbung usw., weil man etwa die Daten schon mal hätte.

D., der noch nicht viel sieht, was zulässig wäre.

1 „Gefällt mir“
9

Soweit Ich sehen kann, hat die Datenschutzerklärung wenig oder nichts zu tun mit die Verarbeitung von Daten innerhalb den Teilnehmer-Portal, wo man einloggen muss. Was schon schlimm ist.