Neues zum Datenschutz

DSK veröffentlicht Hinweise zur rechtssicheren Nutzung von Google Analytics

Google Analytics und Datenschutz – Geht das?

Eine Antwort folgte nun seitens der Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz DSK), die  am 12.05.2020 neue Hinweise zum Einsatz von Google Analytics veröffentlichten. In ihren Hinweisen beschreiben sie die datenschutzrechtlichen Mindestanforderungen, die von Seitenbetreibern nach derzeitigem Stand zwingend eingehalten werden müssen“.

„Wie stelle ich das Tool richtig ein?“
„Brauche ich eine Einwilligung meiner Besucher?“
„Handelt es sich um eine Auftragsverarbeitung?“

Fragen, die uns Webseiten-Betreiber beim Einsatz des Webanalyse-Tools „Google Analytics“ (GA) immer wieder stellen. 

Wir zeigen Ihnen Schritt für Schritt, wie Sie Google Analytics möglichst ohne Risiko nutzen können.

 

 

Was ist Google Analytics überhaupt?

Google Analytics (GA) ist das mit Abstand beliebteste Tool zur Nutzeranalyse auf Webseiten. Statistiken zufolge verwenden es  50 – 80 % aller Website-Betreiber. Der Dienst untersucht dabei u. a. die Herkunft der Website-Besucher, deren Verweildauer sowie die Nutzung von Suchmaschinen. Auch bestimmte Aktionen, wie die Anmeldung zu einem Newsletter, der Download eines E-Boos oder der Kauf von Produkten können über das Tracking analysiert werden. Viele dieser Funktionen stellt Google dabei kostenfrei zur Verfügung. Mit den gewonnenen Nutzerdaten erlaubt es schließlich eine bessere Erfolgskontrolle von Werbekampagnen.

Website-Betreiber jubeln – Datenschutzbeauftragte kritisieren.

 

Welche Probleme birgt das Tracking über GA?

Beim Einsatz von Google Analytics werden stetig personenbezogene Daten der Nutzer verarbeitet. Die Datenschützer bemängelten zum einen, dass Google in seinen Datenschutzbestimmungen nur ungenügend darüber aufklärt, welche Daten beim Einsatz des Dienstes konkret gespeichert und übertragen werden. Zum anderen geschehe dies in den meisten Fällen ohne eine vorherige Einwilligung der Nutzer.

Das ist deshalb relevant, weil auch nach Auffassung der Datenschutzbehörden  der Einsatz von Google Analytics „in der Regel (…) nicht nach Art. 6 Abs. 1 lit. f DSGVO rechtmäßig“ ist, sprich, ohne Einwilligung geht es nicht! Schade ist, das offen gelassen wird, was die Datenschutzbehörden mit der Formulierung „in der Regel“ abgrenzen möchten.

Es kommt hinzu, dass beim Einsatz von Google Analytics keine Auftragsverarbeitung gegeben sein soll. Google legt teilweise selbst die Mittel und Zwecke der Datenverarbeitung  fest. Der Webseitenbetreiber als Verantwortlicher kann die Art und Weise der Verarbeitung personenbezogener Daten weder vollumfänglich bestimmen noch beeinflussen und hat gegenüber Google faktisch keine Weisungsbefugnis.

Aufgrund dessen müssen die Voraussetzungen nach Art. 26 DSGVO erfüllt werden, weshalb hier der Abschluss eines sog. Joint-Controllership-Vertrages erforderlich wird. Google stellt dafür derzeit jedoch keinen passenden Vertrag zur Verfügung, wodurch GA zurzeit faktisch nicht rechtssicher genutzt werden kann.

 

Wie kann ich Google Analytics dennoch datenschutzkonform einsetzen?

Die korrekte Antwort wäre hier: Gar nicht! Ohne den Abschluss eines Joint-Controllership-Vertrages mit Google, den es nicht gibt, kann der Einsatz von Google Analytics nicht datenschutzkonform gestaltet werden.

In den am 12. Mai 2020 beschlossenen Hinweisen legen die Aufsichtsbehörden nicht nur fest, dass der Einsatz von Google Analytics in den Standardeinstellungen nur auf Grundlage einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer zulässig ist.

Die Behörden formulierten auch spezifische Gestaltungshinweise für die Umsetzung der Anforderungen an eine solche Einwilligung und deren Widerruf. Des Weiteren ist es nach Festlegung der Behörden zwingend notwendig, dass dem Nutzer deutlich gemacht wird, dass dessen Daten in den USA gespeichert werden und sowohl Google, als auch staatliche Behörden auf diese Daten Zugriff haben. 

Außerdem verlangen die Behörden den Einsatz zusätzlicher Anonymisierungsmaßnahmen wie die die Kürzung der IP-Adresse.

 

Sind die Aussagen der DSK verbindlich? 

Die Hinweise der DSK sind zwar nicht rechtsverbindlich, denn verbindliche Aussagen zur Auslegung von Rechtsvorschriften können nur durch die Gerichte erfolgen, als Zusammenschluss der nationalen Datenschutzaufsichtsbehörden legt die DSK jedoch ihren Standpunkt dar, der wiederum im ersten Schritt bei Bußgeld- oder anderen Sanktionsverfahren ausschlaggebend ist. Um nicht Ziel einer Datenschutzprüfung durch die zuständige Aufsichtsbehörde zu werden, wird  Website-Betreinbern  dringend empfohlen, sich bei der Nutzung des Webanalyse-Tools weitesgehend an die Anforderungen der DSK zu halten.

Unsere Checkliste für den korrekten Einsatz von Google Analytics
1. Vertrag zur Auftragsverarbeitung mit Google

Weil es vorerst noch keinen Vertrag über die gemeinsame Verantwortung entsprechend Art. 26 DSGVO gibt: Schließen Sie mit Google den Vertrag über die Auftragsverarbeitung , welcher online in Ihrem Analytics Konto bereitgestellt wird.

2. IP Anonymisierung aktivieren & Code einbauen

Die DSK stellt klar, dass Analytics nur eingesetzt werden darf, wenn die IP-Adresse des Nutzers gekürzt wird, bevor sie zu Google übertragen wird. Hierfür hat Google den Code „anonymizeIP“ eingeführt. Diesen Code müssen Sie in Ihren Google-Analytics Code einbinden.

3. Datenschutzerklärung für den Einsatz von Google Analytics anpassen

Informieren Sie vollständig und korrekt in Ihrer Datenschutzbelehrung darüber, ob und wie Sie das Tool einsetzen. Informieten Sie über die Speicherung und Verarbeitung der Nutzerdaten im Rahmen von Google Analytics. Weisen Sie hier auch auf den Vertrag zur Auftragsdatenverarbeitung (ADV), der IP Anonymisierung und den Widerspruchsmöglichkeiten (Browser PlugIn und Opt out Cookie) hin.

4. Einholen einer wirksamen Einwilligung

Ein Webanalyse-Tool darf nur genutzt werden, sofern der Nutzer vorab aktiv und freiwillig in die Nutzung des Dienstes eingewilligt hat. Die Einwilligung muss die konkrete Verarbeitungstätigkeit und damit verbundene Übermittlungen des Nutzungsverhaltens erfassen. Sie darf insbesondere nicht durch irreführende und vorangekreuzte Cookie-Banner eingeholt werden.

 

Unser Fazit

Die Frage nach dem Einsatz von GA endet letztendlich in einer Risiko-Nutzen-Analyse. Momentan gibt es keine 100-Prozent datenschutzkonforme Lösung. Diese scheitert bereits an der Tatsache, dass Google bisher weder einen Joint Controllership-Vertrag zur Verfügung stellt, noch bereit ist eine Kundenvorlage zu unterzeichnen. Das Restrisiko eines Verstoßes gegen die DSGVO bleibt also erhalten.

Wir empfehlen Website-Betreibern deshalb aufmerksam zu prüfen, ob der Einsatz des Tools für den Erfolg des eigenen Marketings zwingend erforderlich ist. Zugegeben, viele Unternehmen können auf den Einsatz des Marktführers nur schwer verzichten.

Falls Sie Fragen zum Einsatz von Google Analytics oder zum Einsatz von anderen Tracking-Maßnahmen haben, können Sie sich jederzeit an uns wenden.

Wir sind Ihre Datenschutzbeauftragten!

 

Weiterführende Links:

 

Luisa Köhler
Datenschutzbeauftragte (TÜV)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.