Die Datenschutzkonferenz (DSK) hat „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ veröffentlicht. Dieser Beschluss stellt eine Ergänzung der im März 2020 ebenfalls von der DSK verabschiedeten “Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien” dar.
Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.
Welche Mindestanforderungen gibt es für den Einsatz von Google Analytics?
Bei den „Hinweisen“ der DSK handelt es sich um die datenschutzrechtlichen Mindestanforderungen für den datenschutzkonformen Einsatz von Google Analytics.
Dies bedeutet, dass einem Verantwortlichen, der die Anforderungen der DSK beim Einsatz von Google Analytics nicht erfüllt, im Fall einer behördlichen Prüfung sanktioniert zu werden dürfte. Zu beachten ist jedoch, dass die DSK den Beschluss unter den Vorbehalt einer abweichenden Auslegung durch den Europäischen Datenschutzausschuss und den EuGH stellt. Von der Rechtsprechung des BGH ist hingegen keine Rede.
Besteht eine gemeinsame Verantwortlichkeit mit Google?
Nach Ansicht der DSK liegt beim Einsatz von Google Analytics keine Auftragsverarbeitung, sondern eine gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO, vor. Dies begründet die DSK damit, dass der Betreiber einer Internetseite beim Einsatz von Google Analytics nicht allein über die Zwecke und Mittel der Datenverarbeitung entscheidet. Vielmehr hat zum Teil ausschließlich Google die Entscheidungsbefugnis hinsichtlich der stattfindenden Datenverarbeitung. Dies habe zur Folge, dass es sich nicht um eine Auftragsverarbeitungslage i. S. v. Art. 28 DSGVO handelt.
Daher ist der gegebenenfalls zwischen dem Verantwortlichen und Google abgeschlossene Auftragsverarbeitungsvertrag nach Ansicht der DSK beim Einsatz von Google Analytics nicht mehr anwendbar. Ob Google eine Vereinbarung zur gemeinsamen Verantwortlichkeit für den Einsatz von Google Analytics bereitstellt, bleibt abzuwarten.
Ist der Einsatz von Google Analytics nur mit vorheriger aktiver Einwilligung des Nutzers zulässig?
Weiter stellt die DSK fest, dass Google Analytics nur dann datenschutzrechtlich zulässig eingesetzt werden kann, wenn eine aktive Einwilligung des Nutzers (Webseitenbesuchenden) gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO vorliegt.
Der Einsatz von Google Analytics kann nach Auffassung der DSK in aller Regel nicht auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden, da der Einsatz von Google Analytics nicht zur Vertragserfüllung zwischen Website-Betreiber und Nutzer erforderlich ist.
Der Einsatz von Google Analytics ist nach der Auffassung der DSK in der Regel auch nicht nach Art. 6 Abs. 1 lit. f) DSGVO rechtmäßig, da die Betroffenen nicht damit rechnen, dass ihre personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden.
Sie sollten daher, spätestens jetzt, Google Analytics nur dann auf Ihrer Internetseite oder in Ihrem Onlineshop einsetzen, wenn Sie Google Analytics auf Basis einer aktiven Einwilligung des Besuchers auf der Internetseite oder im Onlineshop einsetzen.
Ansonsten drohen Ihnen Sanktionen der zuständigen Aufsichtsbehörde.
Welche Mindestanforderungen gibt es für den Einsatz von Google Analytics?
Für den rechtlich zulässigen Einsatz von Google Analytics sind nach Auffassung der DSK folgende Maßnahmen umzusetzen:
1. Einholung einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer in die konkrete Verarbeitungstätigkeit
Eine Einwilligung ist nur dann wirksam, wenn die Anforderungen gem. Art. 4 Nr. 11, Art. 7 DSGVO und ggf. Art. 8 DSGVO erfüllt sind.
2. Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung
Beim Einsatz von Google Analytics muss stets ein einfacher und immer zugänglicher Mechanismus (z.B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein.
3. Transparenz
Anwender müssen gemäß Art. 13 DSGVO die Nutzer in den Datenschutzbestimmungen umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics informieren.
4. Kürzung der IP-Adresse
Zusätzlich zu den o. g. Maßnahmen sollten Anwender von Google Analytics durch entsprechende Einstellungen die Kürzung der IP-Adressen veranlassen.
Fazit:
Zusammenfassend ist festzustellen, dass der Beschluss der DSK inhaltlich nicht viel Neues zu bieten hat. Durch den gemeinsamen Beschluss aller Datenschutzbehörden ist es jedoch wahrscheinlicher geworden, dass Sie Sanktionen der Aufsichtsbehörden zu befürchten haben, sofern Sie die Anforderung der DSK an den Einsatz von Google Analytics nicht erfüllen.
GoldbergUllrich Rechtsanwälte 2020
Rechtsanwalt Michael Ullrich, LL.M. (Informationsrecht)
Fachanwalt für Informationstechnologierecht
Update:
Nachdem der EuGH den Privacy Shield-Beschluss 2016/1250 für ungültig erklärt hat, dürfte der Einsatz von Google Analytics lösgelöst von den vorstehenden Gesichtspunkten aktuell rechtlich nicht zulässig sein.
