Die DSK zum Einsatz von Google Analytics im nicht-öffentlichen Bereich

Von Verena Grentzenberg und Yannick Zirnstein

Die Datenschutzkonferenz („DSK“), das Koordinationsgremium der deutschen Datenschutzbehörden, hat einen neuen Beschluss mit Hinweisen zum Einsatz von Google Analytics im nicht-öffentlichen Bereich veröffentlicht. In diesem wird die neue Position der Datenschutzbehörden hinsichtlich der datenschutzrechtlichen Mindestanforderungen beim Einsatz des von der Google LLC („Google“) bereitgestellten und sehr beliebten Analysetools Google Analytics beschrieben. Der Beschluss ist eine Ergänzung zur bereits veröffentlichten Orientierungshilfe für Anbieter von Telemedien. Aufgrund einer Neubewertung Googles als (gemeinsam) Verantwortlichem ergeben sich weitreichende neue Anforderungen; unter anderem soll nach Ansicht der DSK eine Einwilligung der Nutzer in die Datenverarbeitung erforderlich sein.

The Data Protection Conference (“DSK”), the coordination body of the German data protection authorities, has published a new guideline with information on the use of Google Analytics in the non-public sector. This resolution describes the new position of the German data protection authorities with regard to the minimum data protection requirements for the use of the very popular analytics tool Google Analytics provided by Google LLC (“Google”). The resolution is supplementary to the already published guidance for telemedia providers. A re-evaluation of Google as (joint) controller results in far-reaching new requirements; among other things, the DSK takes the view that user consent to data processing is mandatory.

Anwendungsbereich des Beschlusses

Das DSK-Papier bezieht sich ausdrücklich nur auf die „von Google derzeit [Stand 11.3.2020] empfohlenen Standardeinstellungen“. Denkbar ist daher, dass die Neubewertung nicht gilt, wenn abweichende Einstellungen verwendet werden. Entscheidend dürfte sein, ob unter den konkret gewählten Einstellungen Google Daten auch zu eigenen Zwecken nutzt oder ob dies technisch oder vertraglich ausgeschlossen ist. Denn tatsächlich behält sich Google in den aktuellen Nutzungsbedingungen (in Kraft seit Juni 2019) vor, die über das Analysetool erhobenen Daten auch für eigene Zwecke zu verwenden und mit Daten aus Drittquellen zu verknüpfen.

Verhältnis zwischen Webseitenbetreiber und Google

In der Vergangenheit hatten die deutschen Aufsichtsbehörden eine Nutzung von Google Analytics bei Einbindung Googles als Auftragsverarbeiter für datenschutzkonform gehalten, sofern bei der Implementierung bestimmte Aspekte beachtet wurden und ein entsprechender Vertrag vorlag. Die DSK geht allerdings nunmehr davon aus, dass Webseitenbetreiber, die Google Analytics mit den empfohlenen Standardeinstellungen einsetzen, und Google sogenannte gemeinsame Verantwortliche im Sinne des Art. 26 DSGVO sind. Gegen eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO spreche, dass Google in diesem Falle nur strikt weisungsgebunden personenbezogene Daten verarbeiten dürfe. Dies sei jedoch beim Einsatz von Google Analytics nicht (mehr) der Fall. Vielmehr finde ein Großteil der Datenverarbeitung bei Google selbst statt, wofür Google selbst die Mittel und Zwecke festlege.

Daraus folgt, dass Webseitenbetreiber auch die Vorgaben von Art. 26 DSGVO beachten müssen – jedenfalls wenn sie Google Analytics mit den Standardeinstellungen nutzen. Insoweit ist dann eine entsprechende Vereinbarung erforderlich, mittels derer unter anderem die Zuständigkeiten hinsichtlich datenschutzrechtlicher Pflichten geklärt werden. Ob und ggf. wann Google eine solche bereitstellt, ist noch nicht geklärt. Darüber hinaus müssen Nutzer über die wesentlichen Inhalte dieser Vereinbarung informiert werden.

Diskussion um Rechtsgrundlagen

Die DSK ist der Ansicht, dass für die Verarbeitung personenbezogener Daten mittels Google Analytics unter den Standardeinstellungen eine Einwilligung der betroffenen Person notwendig ist (Art. 6 Abs. 1 lit. a) DSGVO). Bezüglich der Rechtsgrundlagen des Art. 6 Abs. 1 lit. b) (Erfüllung eines Vertrags) und lit. f) DSGVO (Legitimes Interesse) führt die DSK aus, dass diese den Einsatz von Google Analytics „in aller Regel“, beziehungsweise „in der Regel“ nicht rechtfertigen können. Die gewählten Formulierungen implizieren zwar, dass Ausnahmen möglich sein können, allerdings äußert sich die DSK hierzu nicht näher.

Unseres Erachtens ist allerdings davon auszugehen, dass die Datenschutzbehörden eine andere Rechtsgrundlage als die Einwilligung nur akzeptieren werden, wenn Google gegenüber dem Webseitenbetreiber auf jegliche Verwendung der Daten aus dem Tool zu eigenen Zwecken verzichtet – also tatsächlich als Auftragsverarbeiter agiert – und das Tool nur zur Analyse einer einzigen Website eingesetzt wird, ohne Verknüpfungen von Daten aus anderen Quellen.

Mindestanforderungen für den Einsatz von Google Analytics

Nach Ansicht der DSK setzt der datenschutzkonforme Einsatz von Google Analytics unter den Standardeinstellungen voraus, dass eine ganze Reihe von Anforderungen eingehalten wird:

  • Die DSK erwartet, dass die Verarbeitung auf eine Einwilligung in die Datenverarbeitung gestützt wird. Dabei legt die DSK besonderen Wert darauf, dass Nutzer vor Erteilung der Einwilligung transparent darüber informiert werden, dass (1) personenbezogene Daten zum Nutzungsverhalten an Google übermittelt werden, (2) um was für Daten es sich dabei genau handelt, (3) dass die Verarbeitung im Wesentlichen durch Google erfolgt, und zwar zu eigenen Zwecken wie Profilbildung (und ohne Einflussmöglichkeiten des Websitebetreibers) und (4) die Daten mit Informationen aus anderen Quellen verknüpft werden können. Die DSK erwartet weiterhin die Angabe, dass Daten in den USA gespeichert werden und sogar den Hinweis, dass neben Google auch staatliche Behörden Zugriff auf diese Daten haben. Außerdem fordert die DSK eine „eindeutige Überschrift“ (z. B. „Datenverarbeitung Ihrer Nutzerdaten durch Google“).
  • Der Beschluss stellt in diesem Zusammenhang auch klar, dass eine bloße Einwilligung in den Einsatz von Cookies zu Analysezwecken die Voraussetzungen einer Einwilligung in Datenverarbeitung nicht erfüllt.
  • Die DSK weist weiterhin darauf hin, dass Einwilligungen aktiv erteilt werden müssen, also z. B. durch Anklicken eines Buttons, und nur dann hinreichend freiwillig (und damit wirksam) sind, wenn die Einwilligung verweigert werden könne, ohne dass dadurch Nachteile entstehen. Es soll daher unzulässig sein, die Gewährung vertraglicher Dienstleistungen von der Einwilligung abhängig zu machen. Unklar bleibt, was genau die DSK hierunter versteht – also ob z. B. Websitebetreiber Nutzern, die keine Einwilligung erteilen, dennoch verpflichtet sein sollen, werbefinanzierte Inhalte – z.B. im Rahmen eines Informationsportals – kostenfrei zur Verfügung zu stellen.
  • Außerdem müsse eine nutzerfreundliche technische Lösung für den Widerruf der Einwilligung implementiert werden. Die DSK stellt klar, dass ein Verweis auf das Google-Addon zur Deaktivierung von Google Analytics keine hinreichende Widerrufsmöglichkeit darstellt.
  • Die DSK fordert weiterhin ausführliche Informationen zur Datenverarbeitung im Zusammenhang mit Google Analytics in den Datenschutzhinweisen der Website.
  • Wie schon in der Vergangenheit, erwartet die DSK auch weiterhin, dass die IP-Adressen gekürzt Bei einer entsprechenden Einwilligung kommt es hierauf eigentlich nicht an, ein Streit hierüber dürfte sich allerdings nicht lohnen.

Was sollten Websitebetreiber jetzt tun?

Webseitenbetreiber, die sich nicht dem Risiko einer aufsichtsbehördlichen Untersuchung sowie ggf. eines Bußgeldverfahrens aussetzen möchten, müssen ihren Einsatz von Google Analytics kritisch überprüfen – wem es nicht speziell auf die Funktionen dieses Tools ankommt, kann ggf. auf alternative Tools ausweichen, bei denen der Anbieter Daten nur für sie als Auftragsverarbeiter speichert, ohne Verfolgung eigener Interessen an den erhobenen Nutzungsdaten.

Gegebenenfalls ist es sogar möglich, auch Google Analytics mit abweichenden Einstellungen weiterhin so einzusetzen wie bisher – also mit Google als reinem Auftragsverarbeiter. In diesem Fall sollten Websitebetreiber aber unbedingt in der Lage sein, gegenüber der Behörde erforderlichenfalls nachweisen zu können, dass Google tatsächlich keine Daten ihrer Nutzer für eigene Zwecke verarbeitet.

Websitebetreiber, die diesen Nachweis nicht führen können, sollten Google Analytics nur mit einem datenschutzkonformen Einwilligungs-Management verwenden. Damit die Einwilligung wirksam ist, muss der Nutzer, wie von der DSK gefordert, aktiv zustimmen und die Einwilligung jederzeit genauso einfach widerrufen können, wie sie erteilt wurde. Die dem Nutzer zur Verfügung gestellten Informationen sollten grundsätzlich auch so detailliert sein, wie von der DSK beschrieben. Ob man dabei allerdings tatsächlich so weit gehen möchte, auf die Zugriffsmöglichkeit durch amerikanische Behörden hinzuweisen, ist eine Frage der eigenen Risikobereitschaft.

Für den datenschutzkonformen Einsatz ist außerdem eine Vereinbarung mit Google zur gemeinsamen Verantwortlichkeit nötig – ob und wann diese vorliegt, ist allerdings noch nicht klar.

Die Frage, ob der Zugriff auf kostenfreie Inhalte von einer Einwilligung in Google Analytics (oder andere Trackingtools) abhängig gemacht werden kann, oder ob die Einwilligung dann nicht mehr hinreichend freiwillig und somit wirksam ist, wurde gerichtlich noch nicht geklärt. Wir meinen, es muss Nutzern freistehen, Leistungen mit ihren „Daten“ zu erkaufen. Am Markt sieht man allerdings auch immer mehr Hybrid-Lösungen, bei denen Nutzern die Wahl eröffnet wird, in Tracking einzuwilligen oder für die Inhalte zu bezahlen.