Verschiedene Landesbehörden für den Datenschutz haben jeweils Stellungnahmen zur Einbindung von Google Analytics auf Webseiten veröffentlicht. Hiernach ist für die datenschutzkonforme Einbindung eine Einwilligung der Nutzer notwendig.
Die Aufsichtsbehörden für den Datenschutz der Länder Berlin, Brandenburg, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Schleswig-Holstein sowie die Freistaaten Sachsen, Thüringen und Bayern und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit haben jeweils – in der Sache aber gleichlautende – Erklärungen zu Trackingdiensten, insbesondere Google Analytics, herausgegeben.
Bei Einsatz von Google Analytics Einwilligung notwendig
Gemäß den Erklärungen ist der Einsatz von Google Analytics und ähnlichen Diensten nur dann rechtskonform, wenn eine Einwilligung des Nutzers eingeholt wird. Die Behörden begründen dies in der Sache damit, dass die Daten bei der Nutzung der Dienste von Google Analytics an einen weiteren Empfänger (Google) übermittelt werden und dieser die Daten zu eigenen Zwecken verarbeitet. Die Verarbeitung durch Google stelle gerade keine Auftragsverarbeitung (mehr) dar.
Abkehr von bisherigen Aussagen zur Nutzung von Google Analytics
Nach den bisherigen „Hinweise[n] des HmbBfDI zum Einsatz von Google Analytics“ war der Einsatz von Google Analytics auch ohne eine Einwilligung möglich, wenn die folgenden Kriterien berücksichtigt wurden:
- Erstellung von pseudonymen Profilen,
- Einräumung eines Widerspruchsrechts (Opt-Out Verfahren),
- Abschluss einer Vereinbarung über die Auftragsverarbeitung,
- Information des Nutzers über den Einsatz von Google Analytics und
- Kürzung der IP-Adresse bei den Einstellungen unter Google (IP-Anonymisierung).
Diese Hinweise erklärt der Hamburgische Beauftragte nun ausdrücklich für überholt. Die Forderung einer ausdrücklichen Einwilligung des Nutzers für Google Analytics ist dementsprechend neu und wurde so bisher nicht von den Behörden für einen Einsatz vorausgesetzt.
Allerdings hatte sich eine solche Entscheidung bereits im Frühjahr 2019 angekündigt, als die Datenschutzkonferenz die „Orientierungshilfe für Anbieter von Telemedien“ veröffentlichte, die für sogenannte Trackingdienste eine Einwilligung einforderte. Trackingdienste waren dabei grob umschrieben mit Diensten, die eine Erkennung und Nachverfolgung des Nutzers über mehrere Webseiten hinweg ermöglichten.
Jetzt also Opt-In
Eine Einwilligung, auch als Opt-In-Verfahren bezeichnet, muss nun von jedem Nutzer bzw. Webseitenbesucher eingeholt werden. Eine solche Einwilligung muss spezifisch, das heißt für den konkreten Zweck der Datenverarbeitung, und ausdrücklich erteilt werden.
Ein einfaches Weitersurfen oder vorangekreuzte Kästchen erklären die Behörden in ihren Stellungnahmen für unzulässig. Ein solches Vorgehen würde den Anforderungen der DSGVO an eine wirksame Einwilligung nicht genügen. Der Nutzer müsse eine eindeutig bestätigende Handlung ausüben, um seinen Willen zum Ausdruck zu bringen. Außerdem muss der Nutzer die Möglichkeit haben, seine erteilte Einwilligung jederzeit zu widerrufen.
Weiterhin muss der Seitenbetreiber zusätzlich über den Einsatz von Google Analytics auf seiner Webseite informieren. In dieser Hinsicht haben sich die datenschutzrechtlichen Anforderungen nicht verändert.
Google Analytics verarbeitet personenbezogene Daten
Datenschutzrechtlich relevant ist Google Analytics deshalb, weil Google ein Cookie bereitstellt, das beim Besuch einer Webseite, die Google Analytics verwendet, gesetzt wird. Dieses Cookie zeichnet dann das Nutzerverhalten auf und übermittelt dieses zusammen mit der (teilweise gekürzten) IP-Adresse und anderen technischen Angaben an die Google Server. Über die Parametrierung bei Google können die erhobenen Daten aufbereitet werden und lassen für den Seitenbetreiber beispielsweise demografische Rückschlüsse zu.
Gespeicherte Alt-Daten löschen?
Fraglich ist in diesem Zusammenhang, ob die bisher aufgezeichneten Daten zu löschen sind, wenn deren Erhebung gerade nicht den nun veröffentlichten Anforderungen entsprach.
In einer Erklärung von 2017 hatte der Hamburgische Beauftragte für den Datenschutz noch darauf verwiesen, dass Daten, die ohne Beachtung der damals aufgestellten Kriterien erhoben wurden, von den Seitenbetreibern zu löschen seien. Ein solcher Hinweis ist in den jetzigen Stellungnahmen nicht enthalten. Sollte man jedoch (bußgeld-)sichergehen wollen, ist über die Löschung der bisher ohne Einwilligung erhobenen Google Analytics-Daten durchaus nachzudenken.
Bei einem Verstoß gegen die Vorschriften von Art. 6 DSGVO droht gemäß Art. 83 Abs. 5 DSGVO ein Bußgeld von bis zu EUR 20 Mio. oder 4 % des weltweit erzielten Jahresumsatzes. Alle Behörden verweisen in ihren Stellungnahmen auf die hohe Zahl an Beschwerden, die sie von Nutzern über den Einsatz des Tools erhalten haben. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, wird in der Berliner Erklärung wörtlich zitiert mit:
Webseiten-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androht.
Eine Auflistung „ähnlicher Dienste“ haben die Behörden nicht bereitgestellt. Der Einsatz von Google Analytics sollte jedenfalls, soweit dies bisher noch nicht erfolgt, datenschutzrechtlich auf die Einwilligung der Nutzer gestützt werden.
