Einsatz von Google Analytics: Ein gemeinsamer Beschluss der Datenschutzkonferenz (DSK) – als Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – verdeutlicht den rechtmäßigen Einsatz von Google Analytics.
In dem Beschluss vom 12. Mai 2020 „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ haben sich die unabhängigen Datenschutzbehörden des Bundes und der Länder zum rechtskonformen Einsatz von Google Analytics geäußert. Der gemeinsam gefasste Beschluss ist eine Fortsetzung der bereits im November 2019 veröffentlichten Einzel-Mitteilungen verschiedener Landesbehörden.
Beschluss als Mindestanforderung – Einwilligung der Nutzer für Datenerhebung durch Google Analytics notwendig
Wie bereits die Einzel-Mitteilungen angedeutet haben, sieht nun auch der gemeinsame Beschluss der Datenschutzbehörden vor, dass nur eine Einwilligung der jeweiligen Nutzer (betroffenen Personen) die datenschutzkonforme Erlaubnis für den Einsatz von Google Analytics bilden kann.
Begründet wird dies vor allem damit, dass die anderen möglichen Erlaubnistatbestände der Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSVO) sowie der berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSVO) nicht einschlägig seien. Hinsichtlich der Vertragserfüllung sei der Einsatz von Google Analytics für den Vertrag zwischen Webseiten-Betreiber und Nutzer nicht erforderlich. Berechtigte Interessen können hingegen nur dann als Erlaubnis dienen, wenn eine Abwägungsentscheidung ergibt, dass die Interessen der betroffenen Personen nicht überwiegen. Im Fall von Google Analytics, würden jedoch die Interessen der betroffenen Nutzer überwiegen, da die Zusammenführung von verschiedenen Nutzungsdaten und die umfassende Auswertung dieser Daten weit über ein berechtigtes Werbeinteresse hinausgingen.
Die Behörden stellen außerdem nochmals klar, dass die Nutzungsdaten und auch sonstigen spezifischen Gerätedaten personenbezogene Daten darstellen. Dies gelte unabhängig davon, ob Google selbst die Daten als personenbezogen einstuft. Ebenso wenig führe die Möglichkeit der Einstellung „anonymize IP“ dazu, dass Google nur anonymisierte und somit keine personenbezogenen Daten verarbeitet. Dies folge bereits daraus, dass neben der IP-Adresse von Google im Rahmen von Analytics zahlreiche weitere Nutzungsdaten erhoben würden, die durch einen Abgleich mit einem Google-Konto Rückschlüsse auf den Nutzer zuließen.
Informiert, freiwillig, aktiv und vorher – wie gestaltet man die Einwilligung zum Einsatz von Google Analytics?
Der Beschluss der DSK äußerte sich ebenso zu den Anforderungen an die Einholung der Einwilligung. Zunächst wiederholt er die von der DSGVO vorgegebenen Grundsätze, dass die Einwilligung informiert, freiwillig, aktiv und vor dem Einsatz von Google Analytics eingeholt werden muss.
Konkreter wird der Beschluss für die Informiertheit der Einwilligung. Denn die bisher vielfach anzutreffenden Cookie-Banner, welche lediglich aussagen „Wir verwenden Cookies für Webanalysen und Werbemaßnahmen“ oder „Die von uns eingesetzten Cookies verbessern Ihr Surferlebnis“ würden den Anforderungen der DSGVO nicht gerecht werden.
Ebenso weisen die Behörden darauf hin, dass eine Einwilligung in die Datenverarbeitung nur dann freiwillig ist, wenn der Nutzer eine Wahlmöglichkeit hat und diese Wahl frei getroffen werden kann. Der Nutzer – so die Behörden –
muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden.
Wird die Einwilligung an eine vertragliche Dienstleistung gekoppelt, für welche die Datenverarbeitung nicht erforderlich sei, so sei die Einwilligung als unwirksam gemäß Art. 7 Abs. 4 DSGVO anzusehen. Inwieweit der Nutzer allerdings Nachteile erleidet, wenn er eine bestimmte Webseite nicht nutzen kann, sollte hinterfragt werden.
Im Ergebnis dürfte eine übersichtliche, den Anforderungen der Behörde genügende Einwilligung, in praktischer Hinsicht schwer zu gestalten sein, insbesondere wenn der Seitenbetreiber (wie so häufig) nicht nur Google Analytics, sondern noch weitere Analysetools und Cookies einsetzt.
Verhältnis zwischen Webseitenbetreiber und Google – Art. 26 DSGVO?
Interessanter als die bereits abzusehende Entscheidung über die Notwendigkeit einer Einwilligung dürfte die von den Behörden kurz ausgeführte Beziehung zwischen Google und dem Webseitenbetreiber sein. Die Behörden bekräftigen nämlich, dass die umfassende Datenverarbeitung von Google keine Datenverarbeitung im Auftrag im Sinne von Art. 28 DSGVO darstelle. Vielmehr seien Google und der Webseitenbetreiber beide als Verantwortliche anzusehen.
Auch Google geht zumindest teilweise von einer eigenen Verantwortlichkeit aus; so erklärt Google in den „Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google“, dass Google für einen Teil der Datenverarbeitung getrennt vom Webseitenbetreiber verantwortlich ist und die jeweiligen Daten zu eigenen Zwecken verarbeitet.
Daran schließt sich die Frage an, ob Google und der Webseitenbetreiber getrennt voneinander oder gemeinsam verantwortlich für die Datenverarbeitung im Sinne des Art. 26 DSGVO sind. Die Behörden gehen ohne nähere Begründung davon aus, dass Google und der Webseitenbetreiber gemeinsam für die Datenverarbeitung verantwortlich sind.
Dies hat zur Folge, dass der Webseitenbetreiber mit Google eine Vereinbarung nach Art. 26 DSGVO schließen muss. Eine solche Vereinbarung soll unter anderem regeln, welcher Verantwortliche die Betroffenenrechte erfüllt und über die Datenverarbeitung informiert. Über die wesentlichen Inhalte dieser Vereinbarung sind die Nutzer zu informieren.
Bisher bietet Google jedoch standardmäßig lediglich eine Vereinbarung über die Verarbeitung von Daten im Auftrag nach Art. 28 DSGVO an. Diese verfolgt einen anderen Zweck und ist nicht ausreichend, um den Anforderungen der gemeinsamen Verantwortlichkeit gerecht zu werden.
Eine offizielle Positionierung wie zu den Facebook-Fanpages, welche derzeit laut DSK nicht datenschutzkonform betrieben werden können, gibt es noch nicht und lässt sich dem Beschluss vom Mai 2020 auch nicht ausdrücklich entnehmen. Grundsätzlich stellt jedoch die gemeinsame Verarbeitung ohne ausreichende Vereinbarung nach Art. 26 DSGVO einen Verstoß gegen die DSGVO dar, der bußgeldbewährt ist.
Keine abschließende Beurteilung für Cookies & Co.
Die Datenschutzbehörde verweist ausdrücklich darauf, dass die Stellungnahme nur den Einsatz von Google Analytics betrifft und für anderweitige Tools, auch andere Angebote von Google (z. B. Google Analytics 360), keine Anwendung findet. Für die Einbindung und Handhabung weiterer Tools verweist die Behörde auf die Orientierungshilfe für Anbieter von Telemedien.
Stellungnahme der DSK zum Einsatz von Google Analytics ersetzt bisherige Äußerungen einzelner Behörden
Die nun veröffentliche Entscheidung ersetze ausdrücklich die bisherigen Äußerungen der Behörden zu Google Analytics, insbesondere solche des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit („Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen“). Gleichzeitig stehe die Entscheidung der deutschen Behörden jedoch unter dem Vorbehalt, dass diese (deutsche) Auffassung noch durch mögliche abweichende Auslegungen des Europäischen Datenschutzausschusses oder der Rechtsprechung des Europäischen Gerichtshofs (EuGH) geändert werden könne.
Als Verwender von Google Analytics sollte man dies als Hinweis darauf verstehen, die Aussagen der Behörden sowie die Rechtsprechung des EuGHs zu diesem Thema weiter zu verfolgen. Eine abschließende Klärung liegt also mit dem Beschluss nicht vor. Derzeit ist er jedoch die aktuellste Äußerung der deutschen Behörden zum Einsatz von Google Analytics.
Fazit: Beim Einsatz von Trackingtechnologien ist eine Einwilligung der Nutzer notwendig
Festzuhalten bleibt, dass ein Einsatz von Google Analytics nur mit einer Einwilligung der Nutzer datenschutzkonform möglich ist. Diese Einwilligung sollte so nah wie möglich gemäß den Vorgaben der Behörden gestaltet sein.
Ebenfalls ist der Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO mit Google laut den Behörden notwendig. Da Google eine solche derzeit (noch) nicht anbietet, ist das weitere Vorgehen und die Einschätzung der Behörden zu beobachten.
Bereits Mitte August 2020 haben die Behörden eine länderübergreifende Prüfung von Trackingmechanismen auf den Webseiten verschiedener Medienunternehmen gestartet. Mit dieser groß angelegten Überprüfung soll festgestellt werden, ob die jeweiligen Unternehmen die Standards für eine wirksame Einwilligung erfüllen, Grund für die Überprüfung von Medienunternehmen ist laut der Datenschutzbehörde aus Baden-Württemberg deren häufiger und umfangreicher Einsatz von Trackingmechanismen. Unternehmen sollten daher – auch sofern diese nicht im Medienbereich tätig sind – darauf achten, spätestens jetzt ihre Webseiten anzupassen.