“Die emp­foh­le­nen Maß­nah­men unter­strei­chen den Trend hin zu deut­lich mehr Trans­pa­renz und Infor­miert­heit. Vor allem die Anfor­de­run­gen an die Ein­ho­lung einer Ein­wil­li­gung der Web­site­be­su­cher in die Nut­zung von Goog­le Ana­ly­tics und ande­ren ver­gleich­ba­ren Tracking-Tools erhal­ten zen­tra­le Bedeu­tung.” – Eileen Binder

Anwendungsbereich der DSGVO

Zunächst wird fest­ge­stellt, dass — ent­ge­gen der Auf­fas­sung von Goog­le — Nut­zungs­da­ten sehr wohl per­so­nen­be­zo­ge­ne Daten im Sin­ne des Art. 4 Nr. 1 DSGVO sind. Der Anwen­dungs­be­reich der DSGVO ist also in jedem Fall eröffnet.

Gemeinsame Verantwortung

Inter­es­sant wird es in den Aus­füh­run­gen zum Ver­hält­nis zwi­schen Goog­le und dem Website-Betreiber. Recht knapp stellt die DSK fest, dass es sich um eine gemein­sa­me Ver­ant­wor­tung nach Art. 4 Nr. 7, Art. 26DSGVO zwi­schen Goog­le und dem Website-Betreiber als Nut­zer han­delt. Beim Ein­satz von Goog­le Ana­ly­tics bestim­me der Website-Betreiber nicht allein über die Zwe­cke und Mit­tel der Daten­ver­ar­bei­tung. Die­se wür­den viel­mehr zum Teil aus­schließ­lich von Goog­le vor­ge­ge­ben und vom Sei­ten­be­trei­ber ver­trag­lich akzeptiert.

Goog­le stellt zwar wei­ter­hin ein Data Pro­tec­tion Agree­ment zur Ver­fü­gung, stellt jedoch im Ver­trag und in den Nut­zungs­be­din­gun­gen klar, dass Goog­le und der Nut­zer für bestimm­te Ver­ar­bei­tun­gen jeweils selbst ver­ant­wort­lich sei­en und dass Goog­le Daten für eige­ne Zwe­cke ver­wen­de. Goog­le und der Nut­zer sind also gemein­sam für die Daten­ver­ar­bei­tung ver­ant­wort­lich, die Grund­sät­ze des Art. 26 DSGVO sind in soweit zu beachten.

Rechtsgrundlage

Auch eine Aus­füh­rung zur Rechts­grund­la­ge für den zuläs­si­gen Ein­satz von Goog­le Ana­ly­tics ent­hält der Beschluss der DSK. So kommt in der Regel nur eine Ein­wil­li­gung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO in Betracht. Nur unter Umstän­den kön­ne der Ein­satz auch auf das berech­tig­te Inter­es­se nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt wer­den. Da der Beschluss der DSK aber noch vor dem aktu­el­len Urteil des BGH vom 28.05.2020 gefasst wur­de, dürf­ten die Anwen­dungs­fäl­le für das berech­tig­te Inter­es­se als Rechts­grund­la­ge nun fast nicht mehr vor­han­den sein.

Maßnahmen

Im Wei­te­ren lis­tet der Beschluss der DSK diver­se Maß­nah­men auf, die beim Ein­satz von Goog­le Ana­ly­tics beach­tet wer­den müs­sen. Die emp­foh­le­nen Maß­nah­men unter­strei­chen den Trend hin zu deut­lich mehr Trans­pa­renz und Infor­miert­heit. Vor allem die Anfor­de­run­gen an die Ein­ho­lung einer Ein­wil­li­gung der Web­site­be­su­cher in die Nut­zung von Goog­le Ana­ly­tics und allen ande­ren ver­gleich­ba­ren Tracking-Tools erhal­ten zen­tra­le Bedeutung:

• In der Ein­wil­li­gung muss klar und deut­lich beschrie­ben wer­den, dass die Daten­ver­ar­bei­tung im Wesent­li­chen durch Goog­le erfolgt, die Daten nicht anonym sind, wel­che Daten ver­ar­bei­tet wer­den und dass Goog­le die­se zu belie­bi­gen (!) eige­nen Zwe­cken wie zur Pro­fil­bil­dung nutzt sowie mit ande­ren Daten wie even­tu­el­ler Google-Accounts ver­knüpft. Ein blo­ßer Hin­weis wie z.B. „die­se Sei­te ver­wen­det Coo­kies, um Ihr Surf­erleb­nis zu ver­bes­sern“ oder „ver­wen­det Coo­kies für Web­ana­ly­se und Wer­be­maß­nah­men“ ist nicht aus­rei­chend, son­dern sogar irre­füh­rend, weil die damit ver­bun­de­nen Ver­ar­bei­tun­gen nicht trans­pa­rent gemacht werden.
• Die Nut­zer müs­sen aktiv und frei­wil­lig ein­wil­li­gen (Anfor­de­run­gen an die akti­ve Ein­wil­li­gung: vgl. Urteil des BGH vom 28.05.2020)
• Kla­re, nicht irre­füh­ren­de Über­schrift – blo­ße „Respekt­be­kun­dun­gen“ bezüg­lich der Pri­vat­sphä­re rei­chen nicht aus. Viel­mehr muss aus der Über­schrift deut­lich her­vor­ge­hen, in wel­che Daten­ver­ar­bei­tung kon­kret ein­ge­wil­ligt wird, z.B. Ein­wil­li­gung in die Daten­ver­ar­bei­tung Ihrer Nut­zer­da­ten durch Google
• Links müs­sen ein­deu­tig und unmiss­ver­ständ­lich beschrie­ben sein
• Der Gegen­stand der Ein­wil­li­gung muss deut­lich gemacht wer­den: Anwen­der von Goog­le Ana­ly­tics müs­sen deut­lich machen, für wel­chen Zweck Goog­le Ana­ly­tics ver­wen­det wird, dass die Nut­zungs­da­ten von Goog­le LLC ver­ar­bei­tet wer­den, die­se Daten in den USA gespei­chert wer­den, sowohl Goog­le als auch staat­li­che Behör­den Zugriff auf die­se Daten haben, die­se Daten mit ande­ren Daten des Nut­zers wie bei­spiels­wei­se dem Such­ver­lauf, per­sön­li­chen Accounts, den Nut­zungs­da­ten ande­rer Gerä­te und allen ande­ren Daten, die Goog­le zu die­sem Nut­zer vor­lie­gen, ver­knüpft werden.
• Der Zugriff auf das Impres­sum und die Daten­schutz­er­klä­rung darf nicht ver­hin­dert oder ein­ge­schränkt werden.
• Es muss stets ein ein­fa­cher und immer zugäng­li­cher Mecha­nis­mus (z. B. Schalt­flä­che) zum Wider­ruf der ein­mal vom Nut­zer erteil­ten Ein­wil­li­gung imple­men­tiert sein. Das von Goog­le zur Ver­fü­gung gestell­te Browser-Add-On zur Deak­ti­vie­rung von Goog­le Ana­ly­tics ist nicht zuläs­sig. Den Nut­zer aus­schließ­lich auf die­ses Add-On zu ver­wei­sen reicht nicht aus, da dies kei­ne hin­rei­chen­de Wider­rufs­mög­lich­keit darstellt.
• Gemäß Art. 13 DSGVO müs­sen Nut­zer in den Daten­schutz­be­stim­mun­gen umfas­send über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Rah­men von Goog­le Ana­ly­tics informieren.

IP-Anonymisierung

Laut des Beschlus­ses der DSK soll­te die IP-Anonymisierung als zusätz­li­che Maß­nah­me vor­ge­nom­men wer­den. Die IP-Anonymisierung führt dazu, dass die IP-Adresse gekürzt und damit anony­mi­siert wird. Das hat jedoch nicht zur Fol­ge, dass die gesam­te Daten­ver­ar­bei­tung anony­mi­siert wird. Es wer­den wei­ter­hin Nut­zer­da­ten erho­ben, die eine Iden­ti­fi­zier­bar­keit, z.B. durch Ver­knüp­fung mit dem Goog­le Kon­to, zulas­sen. Die IP-Anonymisierung führt also nicht dazu, die Ein­ho­lung einer Ein­wil­li­gung umge­hen zu kön­nen, und so die Zuläs­sig­keit der Ver­ar­bei­tung auf das berech­tig­te Inter­es­se stüt­zen zu können.

Fazit

Die Hin­wei­se der DSK stel­len Ergän­zun­gen zur Ori­en­tie­rungs­hil­fe für Anbie­ter Tele­me­di­en beim Ein­satz von Goog­le Ana­ly­tics dar. Die Nut­zung von Goog­le Ana­ly­tics ist unter den Stan­dard­ein­stel­lun­gen nur noch mit einer Ein­wil­li­gung der Nut­zer mög­lich. Dies gilt unab­hän­gig von einer IP-Anonymisierung. Im Lich­te des BGH-Urteils vom 28.05.2020 zum Ein­satz von Werbe-Cookies erhält der Beschluss der DSK weit­rei­chen­de­re Bedeu­tung. Die hohen Anfor­de­run­gen an die Trans­pa­renz und die Infor­ma­ti­on beim Ein­satz von Goog­le Ana­ly­tics sind auch an alle ande­ren Coo­kies zu stel­len, die Nut­zer tra­cken und Nut­zer­pro­fi­le erstel­len. Hier sind bei Website-Betreibern gute Lösun­gen gefragt, gera­de Online­an­ge­bo­te las­sen sich durch Auf­sichts­be­hör­den leicht prü­fen. Zudem ist der Ein­satz von Goog­le Ana­ly­tics nicht im Rah­men einer Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO mög­lich. Goog­le und Website-Betreiber sind gemein­sam für die Daten­ver­ar­bei­tung ver­ant­wort­lich. Auch hier wird man sich Lösun­gen für einen Ver­trag über die gemein­sa­me Ver­ant­wor­tung über­le­gen müssen