linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING

DSK: Neue Hinweise zum Einsatz von Google Analytics

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz DSK) hat am 12. Mai 2020 neue Hinweise zum Einsatz von Google Analytics veröffentlicht. In den Hinweisen beschreibt sie die „datenschutzrechtlichen Mindestanforderungen, die von Seitenbetreibern nach derzeitigem Stand zwingend eingehalten werden müssen“.

Die Ausführungen der DSK gelten nur für den Fall, dass Google Analytics in der von Google empfohlenen Standardeinstellung genutzt wird. Werden abweichend davon weitere Funktionen eingesetzt oder andere Einstellungen vorgenommen, verweisen die Behörden auf die Ausführungen in der Orientierungshilfe für Anbieter von Telemedien.

Die DSK widmet sich im Einzelnen den drei Hauptfragestellungen im Bezug auf den Einsatz von Google Analytics. Dabei geht es erstens um die Frage des Personenbezugs der durch Google Analytics erhobenen Daten, zweitens um die Verantwortlichkeiten und die Vertragsgestaltung sowie drittens um die Frage nach der einschlägigen Rechtsgrundalge für die Verwendung des Tools.

Nutzungsdaten = personenbezogene Daten?

Die DSK äußert sich in diesem Fall deutlich und definiert die durch Google Analytics verarbeiteten „Nutzungsdaten und sonstige gerätespezifischen Daten, die einem bestimmten Nutzer zugeordnet werden können“ als personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO.

Verantwortlichkeiten beim Einsatz von Google Analytics

Neben der Frage nach dem Personenbezug schwebt bei der Verwendung von Google Analytics immer auch das Konstrukt der gemeinsam Verantwortlichen (Art. 26 DSGVO) im Raum umher. Auch hierzu hat sich die DSK geäußert. Nach Auffassung der Behörden liege im Fall von Google Analytics eindeutig der Fall vor, bei dem zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung gemeinsam festlegen. Die dahinterstehende Argumentation ist nachvollziehbar: Der Webseitenbetreiber als Verantwortlicher kann die Mittel und Zwecke der Datenverarbeitung bei der Nutzung von Google Analytics nicht vollumfänglich bestimmen. Vielmehr geschieht dies in weiten Teilen durch Google selbst, der Webseitenbetreiber kann die Datenverarbeitung durch Google nicht weiter beeinflussen und hat Google gegenüber insbesondere faktisch keine Weisungsbefugnis.

Die Behörden nehmen also an, dass Webseitenbetreiber gemeinsam mit Google für die Verarbeitung der personenbezogenen Daten im Rahmen von Google Analytics verantwortlich sind. Demnach müssen die Voraussetzungen des Art. 26 DSGVO erfüllt werden, weshalb insbesondere der Abschluss eines sog. Joint-Control-Vertrages erforderlich sei. Einen solchen Vertrag stellt Google jedoch zurzeit nicht zur Verfügung, wodurch die Datenverarbeitung bei der Nutzung von Google Analytics faktisch nicht auf rechtmäßige Beine gestellt werden kann. Der Abschluss des von Google bereitgestellten Auftragsverarbeitungsvertrages schafft hier keine Abhilfe, da nach Ansicht der DSK eben gerade keine Auftragsverarbeitung vorliegt.

Rechtsgrundlage für die Nutzung von Google Analytics

Abgesehen davon äußert sich die DSK auch zur Rechtsgrundlage für den Einsatz von Google Analytics. Die Datenschützer machen deutlich, dass für den Einsatz von Google Analytics in der Regel die Einwilligung der Webseitennutzer gemäß Art. 6 Abs. 1 lit. a DSGVO nötig ist.

Bei der Frage, ob außerhalb der Regel der Einsatz von Google Analytics ausnahmsweise auch auf berechtigte Interessen des Webseitenbetreibers (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden könne, legt sich die DSK nicht fest. Der Einsatz von Google Analytics sei „in der Regel (…) nicht nach Art. 6 Abs. 1 lit. f DSGVO rechtmäßig„. Es ist leider völlig unklar, was die DSK mit dem Zusatz „in der Regel“ bezwecken möchte. Denn in der nachfolgenden Erläuterung gehen die Behörden in keiner Weise auf die Ausnahme zur Regel ein. Vielmehr vertritt die DSK vehement die Auffassung, dass die Datenverarbeitung durch Google Analytics „weit über das hinaus [geht], was im Rahmen des Art. 6 Abs. 1 lit. f) DSGVO zulässig ist“. Der Nutzer der Webseite könne nicht damit rechnen, dass die über Google Analytics erhobenen Daten zum Zweck der Erstellung personenbezogener Werbung und Profilbildung verarbeitet werden würden. Deshalb überwiegen laut Auffassung der DSK regelmäßig die Rechte und Freiheiten der betroffenen Personen gegenüber den berechtigten Interessen der Webseitenbetreiber. Daher könne die Datenverarbeitung nicht auf berechtigte Interessen gestützt werden.

Wie kann man Google Analytics datenschutzkonform einsetzen?

Die korrekte Antwort wäre hier: Gar nicht! Denn ohne den Abschluss eines Joint-Control-Vertrages mit Google, den es nicht gibt, kann der Einsatz von Google Analytics nicht datenschutzkonform ausgestaltet werden. Es ist auch nicht davon auszugehen, dass Google Verträge unterzeichnen würde, die von Webseitenbetreibern bereitgestellt werden. Es besteht daher bei der Nutzung von Google Analytics IMMER ein Restrisiko für Bußgelder und Abmahnungen.

Die DSK scheint sich der Akzeptanz für dieses Restrisiko seitens der Webseitenbetreiber allerdings bewusst zu sein. Denn die Behörden definieren trotz allem Maßnahmen, die Webseitenbetreiber nun befolgen sollten, sofern sie Google Analytics (weiter) einsetzen möchten:

Einholen einer wirksamen Einwilligung: Analytics dürfe nur genutzt werden, sofern die Nutzer vorab aktiv in die Nutzung des Dienstes eingewilligt haben. Die Einwilligung muss dabei die Voraussetzungen des Art. 4 Nr. 11, Art. 7 (Art. 8) DSGVO erfüllen und darf insbesondere nicht durch irreführende, schwammig formulierte und vorangekreuzte Cooke-Banner eingeholt werden.

Umsetzung eines Widerrufs: Jede Einwilligung ist jederzeit und ohne die Angabe von Gründen widerrufbar. Als Folge darf die entsprechende Datenverarbeitung in Zukunft nicht weiter stattfinden. Technisch haben Webseitenbetreiber demnach die Aufgabe sicherzustellen, dass ein getätigter Widerruf auch technisch wirksam umgesetzt wird. Es darf demnach nach erfolgtem Widerruf keine Datenerhebung durch Google Analytics stattfinden, das eingebettete Skript darf nicht nachgeladen oder erneut ausgeführt werden. Die DSK stellt auch klar, dass der Widerruf so leicht möglich sein muss, wie es die Einwilligung war. Der reine Verweis auf das von Google bereitgestellte Browser-Add-On zur Deaktivierung von Google Analytics reicht nicht als wirksame Widerrufsmöglichkeit aus. Es kann vom Nutzer nicht verlangt werden, dass er dieses Add-On installieren muss, um die Einwilligung in die Nutzung von Google Analytics zu widerrufen.

Transparenz in der Datenschutzerklärung: Wie bei jeder Datenverarbeitung müssen die betroffenen Personen auch beim Einsatz von Google Analytics über die stattfindende Datenverarbeitung informiert werden. Dabei muss dem Nutzer unter anderem gegenüber offengelegt werden, dass ein Transfer der Daten an die Google LLC stattfindet und dass Google die erhobenen Daten auch zu anderen Zwecken nutzt.

Kürzung der IP-Adresse: Die DSK stellt klar, dass die oft bereits implementierte Anonymisierung der IP-Adresse durch Kürzung beibehalten werden sollte, um die Daten der betroffenen Personen weiter zu schützen. Webseitenbetreiber, die Google Analytics noch ohne IP-Anonymisierung nutzen, sollten diese spätestens jetzt implementieren.

Sind die Aussagen der DSK verbindlich?

Nein, verbindliche Aussagen zur Auslegung von Rechtsvorschriften können nur durch die Gerichte erfolgen. Die DSK weist in dem Hinweispapier direkt zu Beginn darauf hin, dass die vertretene Auffassung vorbehaltlich einer möglicherweise abweichenden Rechtsprechung des Europäischen Gerichtshofs gilt. Denn die DSK als Zusammenschluss der nationalen Datenschutzaufsichtsbehörden kann lediglich ihren Standpunkt darlegen, der wiederum im ersten Schritt bei Bußgeld- oder anderen Sanktionsverfahren ausschlaggebend ist. Nichtsdestotrotz haben Verantwortliche auch bei aufsichtsbehördlichen Verfahren immer das Recht, Widerspruch gegen die verhängten Sanktionen einzulegen und den Bescheid vor Gericht anzufechten.

Was nun?

Die Frage nach dem Einsatz von Google Analytics endet letztendlich in einer Risiko-Nutzen-Analyse, die jeder Webseitenbetreiber einzelfallbezogen durchführen und dokumentieren sollte. Momentan gibt es nicht die eine, datenschutzkonforme Lösung, auf die sich Webseitenbetreiber berufen können. Vielmehr gibt es Unsicherheiten und Risikoquellen in verschiedenen Bereichen – von der Rechtsgrundlage für den Einsatz bis hin zu dem Fakt, dass eine zu 100 Prozent konforme Nutzung von Google Analytics schon an der Tatsache scheitert, dass Google einen notwendigen Joint Control-Vertrag weder zur Verfügung stellt, noch Bereitschaft zeigen wird, eine Kundenvorlage zu unterzeichnen. Ein gewisses Restrisiko bleibt also in jedem Fall. (llu)

Quelle:
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12.05.2020: Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich

Cookies: Ja, ich will! Der Bundesgerichtshof zur Notwendigkeit einer Einwilligung...LfDI BaWü: Millionenbußgeld gegen die AOK Baden-Württemberg