Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich
Aus aktuellem Anlass informieren wir Sie heute ausführlich über den aktuellen Einsatz von Google Analytics.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit dem Beschluss vom 12. Mai 2020 neue Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich veröffentlicht (siehe https://www.datenschutzkonferenz-online.de/media/dskb/20200526_beschluss_hinweise_zum_einsatz_von_google_analytics.pdf).
Der Beschluss ist zwar als „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ tituliert, beschreibt aber tatsächlich die Mindestanforderungen für den datenschutzgerechten Einsatz von Google Analytics, die nach Ansicht der DSK von Betreibern von Webseiten zwingend eingehalten werden müssen. Der Beschluss ist als Ergänzung zu den Ausführungen der Orientierungshilfe für Anbieter von Telemedien gedacht. Diese Orientierungshilfe muss also mitbeachtet werden. Der Beschluss der DSK bezieht sich nur auf die Nutzung von Google Analytics in den derzeit von Google empfohlenen Standardeinstellungen (Stand 11. März 2020). Die Ausführungen in dem Beschluss stehen lt. DSK unter dem ausdrücklichen Vorbehalt einer möglichen anderen Auslegung durch den Europäischen Datenschutzausschuss und der Rechtsprechung des EuGH. Ältere Auffassungen der Datenschutzaufsichtsbehörden, die unter Berücksichtigung der Rechtslage vor dem 25. Mai 2018 kommuniziert wurden, gelten damit als überholt.
Die DSK stellt entgegen der von Google in den Google-Analytics-Hilfen vertretenen Auffassung zunächst fest, dass es sich bei den mit Google Analytics verarbeiteten Daten um personenbezogene Daten handelt, die einem bestimmten Nutzer zugeordnet werden können.
Nach der in diesem Beschluss vertretenen Auffassung der Datenschutzaufsichtsbehörden ist die Verarbeitung im Zusammenhang mit Google Analytics entgegen der bis zum Inkrafttreten der DSGVO vertretenen Auffassung keine Auftragsverarbeitung gemäß Art. 28 DSGVO mehr. Bei einer Auftragsverarbeitung bestimmt der Verantwortliche alleine die Zwecke und Mittel der Verarbeitung. Daraus folgt die Pflicht des Auftragsverarbeiters, die Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten. Beim Einsatz von Google Analytics bestimmt jedoch der Website-Betreiber nicht allein über die Zwecke und Mittel der Datenverarbeitung. Diese werden vielmehr zum Teil ausschließlich von Google vorgegeben, sodass Google insoweit selbst verantwortlich ist. Unter Berücksichtigung der aktuellen Rechtsprechung des EuGHs sind deshalb Google und der Google-Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich, sodass die Anforderungen des Art. 26 DSGVO zu beachten sind, weil Zwecke und Mittel der Verarbeitung z. T. ausschließlich von Google vorgegeben und vom Seitenbetreiber vertraglich akzeptiert werden. Wurde ein ADV-Vertrag abgeschlossen, ist dies künftig der falsche Vertrag. Es muss ein Vertrag über eine gemeinsame Verarbeitung nach Art. 26 DSGVO abgeschlossen werden.
Für den Einsatz von Google Analytics verlangt die DSK eine wirksame Einwilligung.
Dabei ist zu beachten:
- Die Einwilligung muss die konkrete Verarbeitungstätigkeit durch Google umfassen. Eine allgemeine und pauschale Einwilligung in die Nutzung von Cookies und von Analysewerkzeugen genügt nicht.
- Es muss klar und deutlich beschrieben werden, dass die Verarbeitung durch Google erfolgt.
- Es muss klargestellt werden, dass die Daten nicht anonym sind.
- Es muss beschrieben werden, welche Daten konkret durch Google verarbeitet werden.
- Es muss darüber informiert werden, dass Google die Daten zu beliebigen eigenen Zwecken, wie zur Profilbildung, nutzt und die Daten mit anderen Daten, wie evtl. Google-Accounts, verknüpfen kann.
Folgende weitere Anforderungen sind zu beachten:
- Die Nutzer müssen aktiv einwilligen, z. B. durch Anklicken einer Schaltfläche, ein vorausgefülltes Häkchenfeld ist nicht ausreichend (siehe auch BGH-Urteil vom 28. Mai 2020, Az.: I ZR 7/16). Auch eine Widerspruchslösung mit dem Inhalt, dass sich der Nutzer der Webseite durch die weitere Nutzung der Webseite mit dem Einsatz von Google Analytics einverstanden erklärt, ist nicht ausreichend.
- Vor der Einwilligung (Setzen eines Häkchens durch den Webseitenbesucher und absenden des Formulars) dürfen keine Daten übertragen oder nachgeladen werden.
- Der Nutzer muss eine freie Wahlmöglichkeit haben und die Einwilligung auch verweigern können, ohne Nachteile zu erleiden.
- Die allgemeinen Anforderungen an Einwilligungen, z. B. hinsichtlich Transparenz müssen beachtet werden.
- Der Widerruf der Einwilligung muss genauso einfach sein wie die Einwilligung selbst, z. B. durch eine jederzeit verfügbare Schaltfläche. Das Google Add-on zur Deaktivierung allein reicht nicht aus.
- Die Nutzer müssen in einer Datenschutzinformation (diese muss leicht zugänglich sein) ausführlich über den Einsatz von Google Analytics auf der Webseite informiert werden. Es ist in der Information eine klare, nicht irreführende und nicht verschleiernde Überschrift zu wählen z. B. „Verarbeitung Ihrer Nutzerdaten durch Google“. Links müssen eindeutig und unmissverständlich beschrieben sein und der Zugriff auf das Impressum und auf die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.
- Die Datenschutzinformation muss auch darüber informieren, dass die Daten an Google übermittelt und in den USA gespeichert werden und dem Zugriff durch Google und staatlichen Behörden in den USA unterliegen und dass die Daten von Google für eigene Zwecke, z. B. zur Bildung von Profilen, verarbeitet und mit Daten aus anderen Quellen verknüpft werden können.
- Die IP-Adresse muss gekürzt werden. (Google stellt eine Seite bereit, die Informationen über die Datenschutzeinstellungen beim Einsatz von Google Analytics enthält. Hier sind auch die verschiedenen Methoden zur Anonymisierung von IP-Adressen beschrieben: https://support.google.com/analytics/answer/9019185?hl=de&ref_topic=2919631)
Das DSK-Papier bezieht sich auf die von Google mit Stand vom 11. März 2020 empfohlenen Standardeinstellungen. Zur Frage, was bei abweichenden Einstellungen, z. B. bei Deaktivierung der Variante „Products & Services“ bzw. „Google-Produkte und -Dienste“ und abweichenden Vereinbarungen gelten soll, geben die Hinweise keine Auskunft, sondern verweisen auf die von den deutschen Datenschutzaufsichtsbehörden veröffentlichten Ausführungen der Orientierungshilfe für Anbieter von Telemedien.
Was ist zu tun?
Will man sich nicht dem Risiko eines Bußgeldverfahrens aussetzen, muss der Einsatz von Google Analytics sogfältig und kritisch überprüft werden. Wenn nicht spezielle Funktionen von Google Analytics erforderlich sind und alternative Werkzeuge von anderen Anbietern zur Zweckerreichung zur Verfügung stehen, die die Daten nur im Auftrag und für Zwecke des Seitenbetreibers und nicht auch für eigene Zwecke verarbeiten und die Daten nicht in Drittländern speichern, könnte das Problem durch einen Umstieg auf eines dieser Tools gelöst werden. Hervorzuheben ist hier der Einsatz von Matomo. Die kostenfreie Analysesoftware wird auf dem eigenen Webserver installiert und übermittelt somit keine Daten an Dritte. Ein weiterer Vorteil von Matomo ist, dass dieses Tool ohne Einwilligung mittels eines Consent-Banners betrieben werden kann, was zur Folge hat, dass die Analyseergebnisse weniger verfälscht sind. Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) betreibt Matomo ohne Einwilligung durch die Webseitenbesucher (Stand Juli 2020).
Soll Google Analytics weiter eingesetzt werden, ist zu prüfen, mit welchen Einstellungen Google Analytics betrieben wird; mit den von Google empfohlenen Standardeinstellungen (Stand 11. März 2020) oder ob dem Einsatz von Google Analytics andere Einstellungen zugrunde liegen, z. B. ergänzende Funktionen verwendet werden, wie Google Analytics 360, oder ob Funktionen deaktiviert sind. Bei den Standardeinstellungen greift der Beschluss der DSK. Bei bestimmten von den Standardeinstellungen abweichenden Einstellungen ist die Möglichkeit eines Einsatzes von Google Analytics in Form einer Auftragsverarbeitung zu prüfen. Sind abweichende Einstellungen gewählt worden, müssen diese belegt werden können und es muss nachgewiesen werden können, dass Google die Daten der Nutzer nicht für eigene Zwecke verarbeitet.
Wird Google Analytics in den von Google empfohlenen Standardeinstellungen eingesetzt, oder kann der o. g. Nachweis, dass Google die Daten nicht für eigene Zwecke verarbeitet, nicht geführt werden, ist für den Einsatz von Google Analytics eine Einwilligung erforderlich und es muss im Webauftritt eine Einwilligungsfunktion nach den o. g. Anforderungen eingebaut werden. Es muss dabei gewährleistet sein, dass vor der Einwilligung weder Daten erhoben noch Daten von Google nachgeladen werden. Mit Google muss dann ein Vertrag über eine gemeinsame Nutzung i. S. v. Art. 26 DSGVO abgeschlossen werden.
Vor dem Hintergrund des am 16. Juli 2020 vom EuGH verabschiedeten Urteils in der Sache C-311/2018, auch besser bekannt unter „Schrems II“, stellt sich die Frage, ob Google Analytics überhaupt noch rechtskonform betrieben werden kann. Solange hier keine spezifischeren Aussagen seitens der europäischen Aufsichtsbehörden veröffentlicht werden, die eine Möglichkeit aufweisen, Google Analytics rechtssicher zu betreiben, besteht ein nicht unwesentliches Risiko einer Bußgeldforderung oder zumindest einer Untersagung des Betriebs.
Freundliche Grüße
Redaktion Praxisratgeber Datenschutz und Datensicherheit
Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:
- Datenschutz-Fokusthemen
- Veröffentlichungen der Behörden
- Relevante Gerichtsentscheidungen
Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.