Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Einsatz von Google-Analytics braucht aktive vorherige Einwilligung

Es ist ein alter Hut, der weiterhin für Streit sorgt: Der Einsatz von Webanalyse-Tools wie Google-Analytics auf einer Webseite.Bis zur Geltung der DSGVO gab es hier ein funktionierendes System, das aber inzwischen überholt ist – und im November 2019 haben verschiedene bedeutende behördliche Datenschutzbeauftragte in einer regelrechten Kaskade klargestellt, dass man den Einsatz von Google Analytics kritisch sieht und prüfen wird. Dabei wurde ausdrücklich klargestellt: Ohne Einwilligung und nur auf Basis einer Auftragsverarbeitung ist es aus Sicht der Behörden nicht rechtmässig, Google Analytics einzusetzen.

Im Folgenden der aktuelle Überblick (Stand November 2019).

Tracking ist mit der DSGVO kritisch

Als Erstes und bitte nicht zu vernachlässigen: Alles, was bisher zu dem Thema geschrieben wurde, sollte man bitte extrem kritisch lesen. Insbesondere wenn in einem Beitrag noch die Auftragsverarbeitung als Basis für den Einsatz von Google Analytics erwähnt wird – dies ist nicht mehr der aktuelle Stand!

Die Datenschutzbehörden machen deutlich, dass sie weiterhin klar unterscheiden:

  • Reichweitenmessung (rein interne Erfassung von Besucherzahlen und einfachem Nutzungsverhalten wie schlichte Seitenaufruf oder erkennen des Gerätetyps): Kann durchaus nach transparenter Information der Webseitenbesucher und einer Widerspruchsmöglichkeit (Opt-Out) auch ohne deren Einwilligung durchgeführt werden, ggfs. nach Interessenabwägung. In diesem Rahmen kann auch auf einen Auftragsverarbeiter zurückgegriffen werden.
  • Tracking (Verarbeitung nicht nur für eigene Zwecke sondern Übertragung an Dritte und/oder detaillierte Analyse, wie etwa selbst die Erfassung von Bedienungsbewegungen auf der Webseite): Zwingend ist die Einwilligung des Nutzers einzuholen in jedem Fall der Übertragung an Dritte. Wenn die übertragenen Daten von dem Dritten sogar zu eigenen Zwecken verwendet werden, gilt dies (natürlich) erst Recht. Da Google sich das vorbehält, greift auch an dieser Stelle das Erfordernis einer Einwilligung.

Einwilligung erforderlich

Es muss also beim Tracking eine Einwilligung eingeholt werden aus Sicht der Behörden, die klar machen, dass nun Druck in die ganze Angelegenheit kommt. Der Bundesbeauftragte für den Datenschutz teilt in einer Pressemitteilung vom 14. November ausdrücklich mit:

Personenbezogenes Webtracking nur mit Einwilligung (…) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, fordert daher Website-Betreiber auf, ihre Websites umgehend auf entsprechende Dritt-Inhalte und Tracking-Mechanismen zu überprüfen: Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.

OM des BfDI, Ausgabe 26/2019 / Datum 14.11.2019

Zeitgleich erschienen Pressemitteilungen bedeutender weiterer Landesbehörden, auf Anhieb habe ich inhaltsgleiche Meldungen aus Bayern, Hamburg, Berlin und NRW gefunden.

Dieses Vorgehen dürfte zielgerichtet erfolgt sein, auch dass es gegen Jahresende erfolgt – es zeichnet sich ab, dass die Behörden im nächsten Jahr das Thema proaktiv angehen. Webseitenbetreiber sollten den unverhohlenen Aufruf hier erkennen und sofort reagieren. Insbesondere Unternehmen sollten sofort reagieren, die notwendigen Umstellungszeiten bis nächstes Jahr dürfte man berücksichtigt haben, wenn man Mitte November die Pressemitteilung raus gegeben hat.

Nur die “echte” Einwilligung zählt

Ich kenne die Frage aus meinen Beratungen und Vorträgen:

“Aber wenn wir darauf hinweisen, dann muss es doch gehen, es kann doch nicht sein, dass das jetzt quasi unmöglich gemacht wird …”

Das ist zu kurz und einfach gedacht; keineswegs geht es auch darum eine ernsthafte Reichweitenmessung zu unterbinden. Aber das Webseitenübergreifende transportieren von letztlich identifizierbaren Nutzerdaten ist weder im Sinne der DSGVO noch der Nutzer.

Rechtlich ist es relativ simpel: Die hier vorliegende Datenverarbeitung bei Nutzung von Google Analytics, also in Form des Trackings, kann sich auf keine andere Grundlage berufen als eine Einwilligung. Diese Einwilligung muss aber aktiv erfolgen, insbesondere nicht ausreichend sind:

  • ein schlichter Hinweis;
  • die Anzeige eines Banners, das automatisch verschwindet wenn man die Seite schlicht weiternutzt;
  • die Anzeige eines Banners mit einem “OK”-Button, bei dem die Einwilligung bereits vorausgewählt ist;

Was tun wenn man Google Analytics derzeit nutzt?

Auch das ist im Kern Simpel: Entweder, man holt vor der Nutzung die Einwilligung des Nutzers ein – oder man verzichtet darauf. Zu Recht werden Webseiten-Betreiber darauf hinweisen, dass man das Problem hat, das viele Nutzer nicht Einwilligung und die Messung dann nicht aussagekräftig ist – das aber liegt nur daran, dass hier eben die Nutzer von ihren Rechten Gebrauch machen.

Es gibt zudem Alternativen: Weiterhin favorisiere ich einen lokalen Einsatz eines DSGVO-konform konfigurierten MATOMO, wobei man dies sogar so konfigurieren kann, dass gar keine Cookies gesetzt werden. In jedem Fall ist der Einsatz einer statistischen Analyse auf einer Webseite mit Arbeit verbunden. Man sollte die Orientierungshilfe der DSK zu Rate ziehen und – jedenfalls in Unternehmen – in jedem Fall eine dokumentierte Interessenabwägung vornehmen.

Wer diesen Hinweis nun ignoriert, wird sich nicht Beschweren dürfen, wenn er aus meiner Sicht recht voraussehbar im Frühjahr 2020 von einer Welle aus den Datenschutzbehörden überrascht wird. Aus meiner Sicht ist eine breit angelegte Aktion nunmehr ebenso vorhersehbar wie auch angebracht. Daher: Handeln Sie jetzt.

Fachanwalt für IT-Recht Jens Ferner

Von Fachanwalt für IT-Recht Jens Ferner

Ich habe mich als Strafverteidiger & Fachanwalt für IT-Recht spezialisiert auf Rechtsfragen rund um Strafrecht, Technik & Arbeit: IT-Recht, IT-Vertragsrecht & Softwarerecht künstliche Intelligenz, Datenschutzrecht, Medienrecht ebenso wie IT-Arbeitsrecht, IT-Strafrecht, digitales Werberecht & Urheberrecht.

Meine juristische Expertise ergänze ich mit umfangreicher technischer Erfahrung als Programmierer & Linux-Systemadministrator inkl. Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.