Google Analytics ist das meist verwendete Tool unter Website-Betreibern, um umfassende Auswertungen des Nutzerverhaltens auf der Website vorzunehmen. Entsprechend hoch ist der Beratungsbedarf. Die Datenschutzkonferenz hat die aktuellen Entwicklungen zu Cookies sowie die Einwilligung in deren Nutzung zum Anlass genommen, Google Analytics datenschutzrechtlich neu zu bewerten.
In ihrem Beschluss vom 12.05.2020 hat die Datenschutzkonferenz (DSK) Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich herausgegeben. Gleich zu Beginn wird festgestellt, dass es sich hierbei nicht um eine abschließende Beurteilung handelt und dass die Hinweise Ergänzungen zur Orientierungshilfe für Anbieter von Telemedien darstellen. Die Ergänzungen stellen Mindestanforderungen dar und haben keine rechtliche Wirkung. D.h. die Hinweise zum Einsatz von Google Analytics können jederzeit durch den Europäischen Datenschutzausschuss und den EuGH anders ausgelegt werden. Ebenfalls wird darauf hingewiesen, dass die Ausführungen für den Fall gelten, dass Google Analytics mit den von Google empfohlenen Standardeinstellungen genutzt wird. Bei Nutzung weiterer Module muss der Einsatz neu bewertet werden.
“Die empfohlenen Maßnahmen unterstreichen den Trend hin zu deutlich mehr Transparenz und Informiertheit. Vor allem die Anforderungen an die Einholung einer Einwilligung der Websitebesucher in die Nutzung von Google Analytics und anderen vergleichbaren Tracking-Tools erhalten zentrale Bedeutung.” – Eileen Binder
Anwendungsbereich der DSGVO
Zunächst wird festgestellt, dass — entgegen der Auffassung von Google — Nutzungsdaten sehr wohl personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO sind. Der Anwendungsbereich der DSGVO ist also in jedem Fall eröffnet.
Gemeinsame Verantwortung
Interessant wird es in den Ausführungen zum Verhältnis zwischen Google und dem Website-Betreiber. Recht knapp stellt die DSK fest, dass es sich um eine gemeinsame Verantwortung nach Art. 4 Nr. 7, Art. 26DSGVO zwischen Google und dem Website-Betreiber als Nutzer handelt. Beim Einsatz von Google Analytics bestimme der Website-Betreiber nicht allein über die Zwecke und Mittel der Datenverarbeitung. Diese würden vielmehr zum Teil ausschließlich von Google vorgegeben und vom Seitenbetreiber vertraglich akzeptiert.
Google stellt zwar weiterhin ein Data Protection Agreement zur Verfügung, stellt jedoch im Vertrag und in den Nutzungsbedingungen klar, dass Google und der Nutzer für bestimmte Verarbeitungen jeweils selbst verantwortlich seien und dass Google Daten für eigene Zwecke verwende. Google und der Nutzer sind also gemeinsam für die Datenverarbeitung verantwortlich, die Grundsätze des Art. 26 DSGVO sind in soweit zu beachten.
Rechtsgrundlage
Auch eine Ausführung zur Rechtsgrundlage für den zulässigen Einsatz von Google Analytics enthält der Beschluss der DSK. So kommt in der Regel nur eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO in Betracht. Nur unter Umständen könne der Einsatz auch auf das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden. Da der Beschluss der DSK aber noch vor dem aktuellen Urteil des BGH vom 28.05.2020 gefasst wurde, dürften die Anwendungsfälle für das berechtigte Interesse als Rechtsgrundlage nun fast nicht mehr vorhanden sein.
Maßnahmen
Im Weiteren listet der Beschluss der DSK diverse Maßnahmen auf, die beim Einsatz von Google Analytics beachtet werden müssen. Die empfohlenen Maßnahmen unterstreichen den Trend hin zu deutlich mehr Transparenz und Informiertheit. Vor allem die Anforderungen an die Einholung einer Einwilligung der Websitebesucher in die Nutzung von Google Analytics und allen anderen vergleichbaren Tracking-Tools erhalten zentrale Bedeutung:
- In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen (!) eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller Google-Accounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend, sondern sogar irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.
- Die Nutzer müssen aktiv und freiwillig einwilligen (Anforderungen an die aktive Einwilligung: vgl. Urteil des BGH vom 28.05.2020)
- Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Vielmehr muss aus der Überschrift deutlich hervorgehen, in welche Datenverarbeitung konkret eingewilligt wird, z.B. Einwilligung in die Datenverarbeitung Ihrer Nutzerdaten durch Google
- Links müssen eindeutig und unmissverständlich beschrieben sein
- Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.
- Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.
- Es muss stets ein einfacher und immer zugänglicher Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein. Das von Google zur Verfügung gestellte Browser-Add-On zur Deaktivierung von Google Analytics ist nicht zulässig. Den Nutzer ausschließlich auf dieses Add-On zu verweisen reicht nicht aus, da dies keine hinreichende Widerrufsmöglichkeit darstellt.
- Gemäß Art. 13 DSGVO müssen Nutzer in den Datenschutzbestimmungen umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics informieren.
IP-Anonymisierung
Laut des Beschlusses der DSK sollte die IP-Anonymisierung als zusätzliche Maßnahme vorgenommen werden. Die IP-Anonymisierung führt dazu, dass die IP-Adresse gekürzt und damit anonymisiert wird. Das hat jedoch nicht zur Folge, dass die gesamte Datenverarbeitung anonymisiert wird. Es werden weiterhin Nutzerdaten erhoben, die eine Identifizierbarkeit, z.B. durch Verknüpfung mit dem Google Konto, zulassen. Die IP-Anonymisierung führt also nicht dazu, die Einholung einer Einwilligung umgehen zu können, und so die Zulässigkeit der Verarbeitung auf das berechtigte Interesse stützen zu können.
Fazit
Die Hinweise der DSK stellen Ergänzungen zur Orientierungshilfe für Anbieter Telemedien beim Einsatz von Google Analytics dar. Die Nutzung von Google Analytics ist unter den Standardeinstellungen nur noch mit einer Einwilligung der Nutzer möglich. Dies gilt unabhängig von einer IP-Anonymisierung. Im Lichte des BGH-Urteils vom 28.05.2020 zum Einsatz von Werbe-Cookies erhält der Beschluss der DSK weitreichendere Bedeutung. Die hohen Anforderungen an die Transparenz und die Information beim Einsatz von Google Analytics sind auch an alle anderen Cookies zu stellen, die Nutzer tracken und Nutzerprofile erstellen. Hier sind bei Website-Betreibern gute Lösungen gefragt, gerade Onlineangebote lassen sich durch Aufsichtsbehörden leicht prüfen. Zudem ist der Einsatz von Google Analytics nicht im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO möglich. Google und Website-Betreiber sind gemeinsam für die Datenverarbeitung verantwortlich. Auch hier wird man sich Lösungen für einen Vertrag über die gemeinsame Verantwortung überlegen müssen
Mehr interessante Artikel:
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]