Für Squarespace Analytics benötigen Sie einen Passus in Ihrer Datenschutzerklärung
Datenschutzerklärung kostenlos erstellen
Warum ist Squarespace Analytics datenschutzrechtlich relevant?
Squarespace Analytics verwendet Cookies, um das Verhalten von Usern auf der Webseite von Unternehmen auswerten zu können. Diese erheben unter anderem Daten wie
- IP-Adresse,
- Endgerätetyp,
- verwendete Sprache auf der Webseite,
- verweisende Domain und
- Datum und Uhrzeit des Webseitenbesuchs.
Dabei handelt es sich zum Teil um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) besonders geschützt. Unternehmen müssen daher verschiedene Maßnahmen ergreifen, um Squarespace Analytics datenschutzkonform zu verwenden.
Squarespace Analytics DSGVO-konform verwenden
Damit Seitenbetreiber bei der Verwendung von Squarespace Analytics nicht gegen die DSGVO verstoßen, müssen sie diese datenschutzrechtlichen Pflichten erfüllen.
Vertrag zur Auftragsverarbeitung abschließen
Geben Unternehmen personenbezogene Daten an einen Dritten weiter und verarbeitet dieser die Daten, müssen Unternehmen mit dem Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Bei Squarespace Analytics geben Unternehmen Daten zum Verhalten ihrer Webseitenbesucher an diesen weiter. Sie müssen daher mit Squarespace Analytics einen AV-Vertrag eingehen.
Bei Squarespace Analytics schließen Seitenbetreiber einen AV-Vertrag, sobald sie den Nutzungsbedingungen des Anbieters zugestimmen. Diese enthalten ein Data Processing Agreement (DPA). Das DPA entspricht einem AV-Vertrag. Seitenbetreiber müssen daher keinen separaten AV-Vertrag mit Squarespace Analytics eingehen.
Unternehmen sollten jedoch darauf achten, dass das DPA klärt,
- welche personenbezogenen Daten sie an Squarespace Analytics weiterreichen,
- warum Squarespace Analytics die Daten speichert,
- wie lange Squarespace Analytics diese speichert und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Seitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie personenbezogene Daten an Squarespace Analytics weitergeben. Dabei sollten sie erwähnen, dass sie dafür einen AV-Vertrag mit dem Anbieter geschlossen haben. Sie müssen darauf hinweisen,
- warum sie über Squarespace Analytics personenbezogene Daten erheben,
- welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. f DSGVO) und
- wie lange sie die Daten speichern wollen.
Unternehmen müssen ihren Webseitenbesuchern zudem erklären, dass sie der Datenerhebung über Squarespace Analytics widersprechen können. Damit User wissen, was mit ihren Daten bei Squarespace Analytics passiert, sollten Business-Inhaber auch auf die Nutzungsbestimmungen und Datenschutzbestimmungen des Anbieters verweisen.
Und: Sie müssen jeden Hinweis auf den Privacy Shield aus ihrer Datenschutzerklärung entfernen. Denn: Der Europäische Gerichtshof (EuGH) hat diesen für unwirksam erklärt, um Daten von der EU in die USA zu verschicken.
Standardvertragsklauseln prüfen
Squarespace Analytics verwendet Standardvertragsklauseln, um rechtmäßig personenbezogene Daten seiner Kunden in Drittländer – unter anderem in die USA – zu übermitteln. Dazu gibt der Anbieter an, technische und organisatorische Schutzmaßnahmen eingeführt zu haben. Zudem wendet Squarespace Analytics weiter die Grundsätze des Privacy Shield Frameworks an, um Daten zusätzlich zu schützen – auch wenn der EuGH den Privacy Shield für unwirksam erklärt hat.
Unternehmen sollten die Standardvertragsklauseln von Squarespace Analytics überprüfen. Denn: Der EuGH hat in seiner Entscheidung festgestellt, dass ein Datentransfer in die USA auf Basis von Standardvertragsklauseln nur dann rechtlich möglich ist, wenn dort ein ähnliches Datenschutzniveau wie in der EU herrscht. Grundsätzlich ist das in den USA derzeit jedoch nicht der Fall, so die Einschätzung der Richter des EuGH. Es ist daher unklar, inwieweit Unternehmen Standardvertragsklauseln nutzen können, um Daten rechtssicher in die USA zu transferieren.
Aktivitätenprotokoll deaktivieren
Damit Unternehmen bei der Verwendung von Squarespace Analytics möglichst wenig Daten erheben und so den Grundsatz der Datensparsamkeit der DSGVO einhalten, sollten sie das Aktivitätenprotokoll deaktivieren. Auf diese Weise erheben sie keine IP-Adressen und weitere personenbezogene Daten.
Analytics-Cookies deaktivieren
Um möglichst wenige Daten von Webseitenbesuchern zu sammeln, sollten Unternehmen die Squarespace Analytics-Cookies deaktivieren. Sie verhindern so, dass nicht erforderliche Cookies im Browser der Seitenbesucher platziert werden.
Cookie-Banner anpassen
Unternehmen setzen über Squarespace Analytics Cookies in den Browser ihrer Webseitenbesucher. Das müssen sie in ihrem Cookie-Banner erklären und User per Opt-In ausdrücklich einwilligen lassen.
Rechtsprechung zu Squarespace Analytics
Im Oktober 2019 entschied der EuGH: Unternehmen dürfen keine Tracking-Cookies auf ihrer Seite nutzen, wenn sie über keine ausdrückliche Einwilligung der Nutzer verfügen. Dabei ist es irrelevant, ob die Cookies anonyme Daten oder personenbezogene Daten erheben (C-637/17). Diese Entscheidung bestätigte der Bundesgerichtshof im Mai 2020: Unternehmen müssen User aktiv per Opt-In in das Setzen von Tracking-Cookies einwilligen lassen. Dabei darf die Checkbox im Cookie-Banner nicht vorangekreuzt sein (I ZR 7/16).
Der EuGH erklärte im Sommer 2020: Der Privacy Shield ist unwirksam. Unternehmen können diesen nicht mehr als rechtliche Basis verwenden, um Daten in die USA zu versenden. Denn: Dort herrscht kein angemessenes Datenschutzniveau. Die Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt. Und: Deutsche Nutzer können sich rechtlich nicht wehren, wenn US-amerikanische Unternehmen oder Behörden ihre Daten missbräuchlich verwenden.
Die Hamburger Datenschutzbehörde verhängte am 17.12.2018 ein Bußgeld in Höhe von 5.250 Euro gegen das Versandunternehmen Kolibri Image. Dies hatte es versäumt, mit einem spanischen Dienstleister einen AV-Vertrag zu schließen.