Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 12.05.2020 vor dem Hintergrund des neuen Rechtsrahmens mit Geltung der DSGVO den Einsatz von Google Analytics neu bewertet und einen Beschluss zum „Einsatz von Google Analytics im nicht-öffentlichen Bereich“ veröffentlicht. Ältere Auffassungen der Datenschutzaufsichtsbehörden gelten damit als überholt.
Klargestellt wird zunächst, dass es sich hierbei nicht um eine abschließende Beurteilung handelt und dass die Hinweise Ergänzungen zur „Orientierungshilfe für Anbieter von Telemedien“ vom März 2019 darstellen. Diese Ergänzungen stellen Mindestvoraussetzungen dar, die von Webseiten-Betreibern nach derzeitigem Stand zwingend eingehalten werden müssen. Die Hinweise zum Einsatz von Google Analytics können jedoch jederzeit durch den Europäischen Datenschutzausschuss und den EuGH anders ausgelegt werden. Ebenfalls wird darauf hingewiesen, dass die Ausführungen für den Fall gelten, dass Google Analytics mit den von Google derzeit (Stand: 11.03.2020) empfohlenen Standardeinstellungen genutzt wird. Sofern bei der Nutzung eine Abweichung erfolgt, wird auf die Ausführungen der „Orientierungshilfe für Anbieter von Telemedien“ verwiesen.
1. Verarbeitung personenbezogener Daten
Zunächst stellen die Datenaufsichtsbehörden fest, dass beim Einsatz von Google Analytics immer personenbezogene Daten der Nutzer i.S.d. DS-GVO verarbeitet werden. Die DSK widerspricht hier ausdrücklich der Auffassung von Google, wonach Nutzungsdaten keine „personenidentifizierbaren Informationen“ seien.
2. Google als gemeinsam Verantwortlicher
Interessant wird es in den Ausführungen zum Verhältnis zwischen Google und dem Website-Betreiber. Die DSK widerspricht auch hier Google, nach deren Auffassung Google für bestimmte Verarbeitungen als Auftragsverarbeiter, für andere als Verantwortlicher tätig wird (vgl. Google Controller-Controller Data Protection Terms).
Der Einsatz von Google Analytics sei nach Auffassung der deutschen Behörden nicht als Auftragsverarbeitung, sondern als gemeinsame Verantwortlichkeit von Google und dem jeweiligen Webseiten-Betreiber einzuordnen. Denn der Betreiber einer Website entscheide nicht alleine über die Zwecke und Mittel dieser Datenverarbeitung, Google verarbeite die durch Google Analytics erhobenen Daten vielmehr auch für eigene Zwecke, insbesondere zum Zweck der Bereitstellung seines eigenen Webanalyse- und Trackingdienstes.
Demzufolge sei also auch nicht – wie von Google derzeit standardmäßig angeboten – ein Vertrag zur Auftragsverarbeitung (Art. 28 DS-GVO) erforderlich, sondern ein Vertrag über die gemeinsame Verantwortung (Art. 26 DS-GVO).
3. Rechtsgrundlage: Einwilligung
Aus diesen Gründen könne der Einsatz von Google Analytics in aller Regel weder auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung) noch auf Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse; Opt-out) gestützt werden. Es wird vielmehr davon ausgegangen, dass Google Analytics in der Regel nur mit einer Einwilligung der jeweiligen Nutzer gem. Art. 6 Abs. 1 lit. a), Art. 7 DS-GVO rechtmäßig genutzt werden kann.
4. Empfohlene Maßnahmen
Im Weiteren listet der Beschluss der DSK diverse Maßnahmen auf, die beim Einsatz von Google Analytics beachtet werden müssen. Die empfohlenen Maßnahmen zeigen auf, dass Transparenz und Informiertheit von zentraler Bedeutung sind. Vor allem die Anforderungen an die Einholung einer Einwilligung der Websitebesucher in die Nutzung von Google Analytics und allen anderen vergleichbaren Trackingtechnologien erhalten zentrale Bedeutung.
a) Einholung einer wirksamen Einwilligung
Folgende Mindestvoraussetzungen, die wie eine Checkliste abgearbeitet werden können, definiert die DSK, damit Webseiten-Betreiber von einer wirksamen Einwilligung des Nutzers ausgehen können:
- In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken verknüpft.
- Nutzer müssen aktiv und freiwillig einwilligen (Anforderungen an wirksame Einwilligung: vgl. BGH-Urteil vom 28.05.2020 – „Cookie-Einwilligung II“)
b) Gestaltungshinweise für wirksame Einwilligung
Zusätzlich sind in Bezug auf eine wirksame Einwilligung folgende Gestaltungshinweise zu beachten:
- Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Vielmehr muss aus der Überschrift deutlich hervorgehen, in welche Datenverarbeitung konkret eingewilligt wird
- Links müssen eindeutig und unmissverständlich beschrieben sein
- Der Gegenstand der Einwilligung muss deutlich gemacht werden: für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers verknüpft werden
- Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden
c) Technische Anforderungen an die Umsetzung des Widerrufs
Der Beschluss betont auch die technischen Anforderungen an die Umsetzung des Widerrufs einer Einwilligung und legt folgende Maßnahmen fest:
- Es muss stets ein einfacher und immer zugänglicher Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein. Das von Google zur Verfügung gestellte Browser-Add-On zur Deaktivierung von Google Analytics ist nicht zulässig. Den Nutzer ausschließlich auf dieses Add-On zu verweisen reicht nicht aus, da dies keine hinreichende Widerrufsmöglichkeit darstellt.
- Gemäß Art. 13 DS-GVO müssen Nutzer in den Datenschutzbestimmungen umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics informieren. Zur Konkretisierung dieser Anforderungen wird auf die „Leitlinie zur Transparenz“ des Europäischen Datenschutzausschusses (WP 260 rev.01) sowie auf die „Orientierungshilfe für Anbieter von Telemedien“ der deutschen Datenschutzaufsichtsbehörden verwiesen.
d) IP-Anonymisierung
Zusätzlich sollten Betreiber von Websites durch entsprechende Einstellungen die durch Google Analytics erhobenen IP-Adressen der Nutzer kürzen. Diese Kürzung der IP-Adressen führe zwar nicht zur Anonymisierung der Datenverarbeitung, stelle aber eine zusätzliche Maßnahme im Sinne des § 25 Abs. 1 DS-GVO dar.
5. Bedeutung für die Praxis
Die Aufsichtsbehörden scheinen die Gangart in Bezug auf die Nutzung von Google Analytics zu verschärfen. Denn „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ vom März 2019 war in Ausführungen abstrakter und nicht so produktspezifisch.
In der Praxis lassen sich die Kriterien und Vorgaben der Aufsichtsbehörden wie eine Checkliste abarbeiten. Diese hohen Anforderungen an die Transparenz und die Information beim Einsatz von Google Analytics sind auch an alle anderen Tracking-Tools zu stellen, die Nutzerprofile erstellen.
Wir empfehlen Website-Betreibern, die Google Analytics einsetzen, sorgfältig zu prüfen, ob ihr Einsatz des Tools diesen Anforderungen gerecht wird. Vor allem der Abschluss eines – soweit ersichtlich von Google derzeit (noch) nicht standardmäßig angebotenen – Vertrages über die gemeinsame Verantwortung dürfte sich dabei in der Praxis als größere Herausforderung darstellen. Hierbei ist zu beachten, dass im Fall von Verstößen gegen Anforderungen der DS-GVO bekanntermaßen empfindliche Bußgelder drohen.