2B Advice Updates

Entspricht Google Analytics dem Datenschutz nach DSGVO?

Hält sich Google an die DSGVO?

Um es vorwegzunehmen, die Antwort auf die Eingangsfrage lautet: Ja, Google Analytics und Datenschutz DSGVO ist vereinbar, wenn eine informierte Einwilligung der Nutzer:innen eingeholt wird. Wie das im Einzelnen aussieht, erläutert dieser Beitrag.

Ein wenig Historie

Die Zeiten, in denen Google Analytics stillschweigend im Hintergrund einer Website seinen Dienst verrichten konnte sind definitiv vorbei. Damals reichte ein Hinweis in der Datenschutzerklärung und als Rechtsgrundlage das berechtigte Interesse des Website-Betreibers an Statistik zum Betrieb von Google Analytics und Datenschutz.

Mit der Entwicklung von Google Analytics zu einem Marketinginstrument, mit der Aufhebung des Privacy Shield als Grundlage zum Datentransfer mit US-Unternehmen durch den EuGH und mit dem gewachsenen Bewusstsein vieler Internet-Nutzer:innen für Privatsphäre hat sich die Situation grundlegend geändert.

Das mag auch daran liegen, dass es die Werbetreibenden übertrieben haben. Eben noch mit der Bekannten im Urlaub in Holland gemailt, um kurz darauf beim Surfen Werbeanzeigen für niederländische Ferienhäuser angezeigt zu bekommen, lässt einen nachenklich werden. Die Organe der Rechtspflege und die Datenschutzaufsichtsbehörden haben dem Rechnung getragen und die DS-GVO und auch die in Teilen in Deutschland unbeachtete EU-Richtlinie RL 2002/58/EG in der Umsetzung durch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Stellung gebracht.

Mit dem Ergebnis, dass die Nutzung von Google Analytics und Datenschutz in vollem Umfang nur mit einer freiwilligen und informierten Einwilligung möglich ist. In was willigen die Nutzer:innen ein und wie hat die Einwilligung auszusehen?

 

Die Facetten der Einwilligung

1. Die Einwilligung in das Setzen von Cookies
Bei der Einwilligung für Cookies geht es nicht zuerst um den Datenschutz, sondern um die Integrität der Endgeräte. § 25 des TTDSG führt aus, dass nur mit einer Einwilligung der Nutzer:innen Daten in den Speicher von PC, Laptop, Tablett oder Smartphone geschrieben oder Daten von diesen Geräten ausgelesen werden dürfen. Wir verwehren uns ja auch dagegen, dass eine Person ohne Zustimmung unsere Wohnung betritt und dort auf unsere Pinnwand schreibt oder die Zettel am Kühlschrank liest.

2. Die Einwilligung in das Usertracking
Beim Usertracking werden die Bewegungen auf der Website mitgeschrieben, Produkte im Warenkorb, Käufe und auch die Seiten ausgewertet auf denen man vorher unterwegs war. Auch über mehrere Webseiten hinweg wird das Surfverhalten der Nutzer:innen verfolgt und zu einem Profil verdichtet. Aufsichtsbehörden wie auch Gerichte fordern dafür eine Einwilligung.

3. Die Einwilligung in einen Datentransfer in die USA
Dieses Thema ist vielschichtig und auch noch nicht ausdiskutiert. Klar ist, dass die Daten, die über Analytics erhoben werden, auf den US-Servern von Google gespeichert und dort auch für eigene Zwecke von Google verarbeitet werden. Damit ist Google Verantwortlicher im Sinne der DS-GVO und nicht länger nur Auftragsverarbeiter, der Analysen und Statistiken liefert. Es muss folglich eine Vereinbarung über gemeinsam Verantwortliche nach Art. 26 DS-GVO abgeschlossen und veröffentlicht werden.

Der US-Datentransfer hat noch eine zweite Facette, die betrachtet werden muss. Über Google haben auch US-amerikanische Sicherheitsbehörden Zugriff auf die Daten und Profile der Nutzer:innen, die keine Rechtsbehelfe haben, wenn sie nicht US-Bürger:innen sind. Sie erfahren nicht einmal von diesen Zugriffen auf ihre Daten. Auch diese Tatsache muss für eine wirksame Einwilligung deutlich werden.

Verschweigen dürfen wir nicht, dass die deutschen Aufsichtsbehörden im Unterschied zu denen in anderen EU-Ländern ein Problem mit der Einwilligung in den US-Transfer haben. Es bleibt also für hiesige Unternehmen ein Restrisiko und bei einem Bescheid der Behörde nur der Gang vors Gericht. Gewichtige Stimmen aber stützen die Einwilligungslösung bei US-Transfer. Thomas von Danwitz, Richter am EuGH und am Schrems-II-Urteil beteiligt, brachte in einem Interview zum Ausdruck, dass die Ausnahmeregelungen in Art. 49 DSGVO, und dazu zählt die Einwilligung, noch nicht ‚ausgelotet‘ worden seien. Die Ansicht, das Gesetz beschränke diese Ausnahmeregelungen auf gelegentliche Transfers ist umstritten. Der klaren Aussage in Artikel 49 Abs. 1 DSGVO ist hier Vorrang vor der unklaren Aussage in Erwägungsgrund 111 einzuräumen. Und die Aufsichtsbehörden in Österreich und Frankreich lassen in ihren Stellungnahmen zu Analytics die Möglichkeit der Einwilligung offen.

Es spricht also einiges dafür, diesen Weg zu nehmen oder ganz auf Google Analytics zu verzichten. Eine gleichwertige Alternative zur Einwilligung gibt es nicht. Es ist schwer vorstellbar, dass mit dem Unterzeichnen der EU-Standardvertragsklauseln und ergänzenden Maßnahmen nach einen Transfer Impact Assessment (TIA) ein positives Ergebnis verzeichnet werden kann. Dafür stehen zu der Verarbeitung der Daten durch Google zu wenig Informationen zur Verfügung. Eine belastbare Risikobewertung ist schlichtweg nicht möglich.

 

Gestaltung der Einwilligung
Wirksam kann die Einwilligung nur sein, wenn den Nutzer:innen alle drei Sachverhalte, das Setzen von Cookies, das Tracking mit Profilbildung und personalisiertem Marketing und der US-Transfer mit der Zugriffsmöglichkeit der Sicherheitsbehörden deutlich erklärt werden. Dass das beim Betreten der Seite zu geschehen hat, ist klar und deshalb haben wir die Cookie-Banner, auch umfassender Consent-Management-Plattformen genannt, weil es längst nicht mehr nur um Cookies geht. Wo welche Informationen zu stehen haben, wird noch diskutiert. Nach Ansicht der Datenschützer alles in dem ersten Fenster, in dem zugestimmt wird und nicht erst auf einer zweiten Ebene nach einem Klick. Was hier praktikabel ist, wird sich zeigen.

 

Doch noch eine Alternative
Eine Alternative gibt es doch: Wenn der Website-Betreiber bereit ist, auf einige Informationen und die Nutzung fürs personalisierte Marketing zu verzichten, gibt es den Weg, Google Analytics selber zu hosten. Damit wäre der US-Transfer an Google vermieden. Auch auf das Setzen von Cookies und damit auf die Wiedererkennung der Nutzer:innen beim nächsten Besuch oder auf anderen Websites könnte verzichtet werden. Wenn man sich dann noch auf das Tracking von Daten nur der eigenen Website beschränkt und nur mit pseudonymisierten Daten arbeitet, ist eine Einwilligung verzichtbar. Wiewohl es auch hier deutsche Aufsichtsbehörden gibt, die dieses eingeschränkte Tracking mit verkürzter IP-Adresse ohne Einwilligung nicht gelten lassen wollen.

 

Fazit:
Google Analytics und Datenschutz kann konform betrieben werden in zwei Szenarien:

  • Ohne Einwilligung mit reduziertem Leistungsumfang, selbstgehostet ohne Google, ohne Cookies und nur für die eigene Website-Analyse.
  • Oder mit einer Einwilligung in die Nutzung von Cookies, in Profilbildung und personalisiertes Marketing und in die Übertragung der Daten an Google mit dem möglichen Zugriff von US-Sicherheitsbehörden.

Absolut rechtssicher sind beide Szenarien nicht, weil deutsche Aufsichtsbehörden sowohl die Einwilligung zum US-Transfer, als auch eine pseudonyme Analyse der Website-Besuche ohne Einwilligung in Zweifel ziehen.

 

Ähnliche Blog-Beiträge

Hält sich Alexa an den Datenschutz? Hält sich Alexa an den Datenschutz?

Einer der Vorwürfe betrifft die andauernde Verarbeitung von Daten und die Befürchtung der Nutzer, durch Alexa abgehört zu werden.

Welche Informationen werden für die Whistleblower-Richtlinie benötigt? Welche Informationen werden für die Whistleblower-Richtlinie benötigt?

Müssen (mittelständische) Unternehmen jetzt noch ein Whistleblower-Schutzsystem in ihrem Unternehmen implementieren?

Datenschutz bei M&A-Transaktionen Datenschutz bei M&A-Transaktionen

Bei Verstößen gegen die Anforderungen der DSGVO drohen bei M&A-Transaktionen Geldbußen bis zu 20 Millionen Euro oder bis zu 4% des Umsatzes.

ALLE BLOG-BEITRÄGE IN DIESER KATEGORIE ANSCHAUEN

Blog-Kategorien

Haben Sie Fragen an uns?