google Analytics

Der Einsatz von Google Analytics stellt Webseitenbetreiber nach wie vor vor datenschutzrechtliche Fragen.

Hierzu hat nun die Datenschutzkonferenz (DSK) ein aktuelles Grundsatzpapier herausgebracht.

Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Zwar haben die Stellungnahmen der DSK keinen verbindlichen Charakter, doch kann ihnen entnommen werden, wie die datenschutzrechtlichen Grundsätze der Behörden gehandhabt werden. Die Überprüfung unterliegt allerdings auch nach wie vor den Gerichten.

Die DSK geht grundsätzlich davon aus, dass Google Analytics theoretisch datenschutzkonform einsetzbar ist.

Danach ist als Rechtsgrundlage für den Einsatz des Analysetools nur die Einwilligung des Nutzers einschlägig. Die Rechtfertigung über das sog. „berechtigte Interesse“ des Verwenders (Art. 6 Abs. 1 f) DSGVO) kommt indes nicht in Betracht.


Mit einfachen Worten ausgedrückt bedeutet das: in jedem Fall muss nach Ansicht der DSK die Einwilligung des Nutzers vor dem Einsatz von Google Analytics eingeholt werden.


Die DSK stellt auch Mindestvoraussetzungen an diese Einwilligung auf:

 

Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete

Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit

verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.

  • In der Einwilligung muss klar und deutlich beschrieben werden, dass die

Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym

sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen

Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um

Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und

Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit

verbundenen Verarbeitungen nicht transparent gemacht werden.

  • Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne

Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus,

vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine

Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der

Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine

Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das

bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

  • Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und

eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne

dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an

die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen

Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die

Einwilligung nicht freiwillig und damit unwirksam ist. „

 

Die DSK erteilt des Weiteren konkrete Gestaltungshinweise:

 

  • Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die 5 Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“. – Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.
  • Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.“

 

Nach Ansicht der DSK muss zudem auch jeder Webseite eine Opt-Out-Möglichkeit vorgehalten werden. Dabei sei der bloße Hinweis auf die Möglichkeit der Deaktivierung von Google Analytics über das Browser-Add-On nicht allein nicht ausreichend.

 

Generell ist zu sagen, dass der Einsatz von Google Analytics bereits deswegen nur scheinbar rechtskonform möglich ist, weil die Einwilligung des Nutzers „informiert“ erfolgen muss. Der Nutzer muss also vor der Einwilligung genau erfahren können, was mit seinen Daten geschieht. Da Google diese Angaben jedoch selbst nicht herausgibt, ist jede Einwilligung bereits per se schon nicht vollständig informiert.

Wir empfehlen jedoch, wenigstens die Vorgaben der DSK umzusetzen.

Gerne sind wir Ihnen bei der Umsetzung behilflich und beraten Sie zu dem Thema.

 

Das Problem ist bekannt: Google Analytics auf der eigenen Webseite einzusetzen ohne die Einwilligung des Nutzers eingeholt zu haben, ist unzulässig und kann geahndet werden.

Viele Landesdatenschutzbehörden haben sich dahingehend auch schon zu Wort gemeldet.

Nun hat sich auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI Rheinland-Pfalz) dazu positioniert. Er folgt der herrschenden Rechtsprechung des EuGH zum Thema Cookies, wonach die Verwendung von Google Analytics immer einer Einwilligung bedarf. Es sind seitens des LfDI Rheinland-Pfalz wohl auch schon erste Untersagungsanordnungen wegen des Einsatzes von Google Analytics ohne Einwilligung erlassen worden.

Grundsätzlich darf nach Art. 6 DSGVO eine Verarbeitung von personenbezogenen Daten nur stattfinden, wenn eine Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a DSGVO) oder eine gesetzliche Ermächtigung (Art. 6 Abs. 1 lit. b-f DSGVO) vorliegt.

Für Google Analytics kommt daher die Einwilligung des Webseitennutzers (Art. 6 Abs. 1 lit. a DSGVO) oder aber eine Rechtfertigung aufgrund der Wahrung der berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO) in Betracht.

Der Diskurs der Vergangenheit, wonach teilweise die wirksame Anonymisierung der IP-Adresse als ausreichend betrachtet wurde, um das berechtigte Interesse des Verantwortlichen überwiegen zu lassen ist mittlerweile überholt. Mittlerweile wird einhellig davon ausgegangen, dass Webanalyse- oder Trackingtools immer nur mit der Einwilligung des Betroffenen verwendet werden dürfen, auch wenn eine Anonymisierung durch „Google universal“ vorliegt.

Nach Aussage des LfDI Rheinland-Pfalz sind daher zwischenzeitlich schon Untersagungsanordnungen an Webseitenbetreiber erlassen worden. Webseitenbetreiber wurden angewiesen, Ihre Webseite datenschutzkonform anzupassen und den Einwilligungsvorbehalt einzuführen.

Wir können daher nur erneut dringend davon abraten, Webseitenanalyse oder Tracking ohne Einwilligung zu betreiben.

Gerne beraten wir Sie zu dem Thema! Unsere Rechtsnwälte sind auf den Bereich des Dantenschitz spezialsiiert. Herr Rechtsanwalt Dr. Stephan Schenk und Frau Rechtsanwältin Agnieszka Schenk sind zudem zertifizierte Datenschutzbeauftragte (DSB-TÜV).

Aktuell haben verschiedenen deutsche Datenschutzbehörden in Form einer Pressemitteilungen,  darauf hinweisen, dass Analyse-Dienste wie Google Analytics nur mit Einwilligung nutzbar sind.

So etwa die Behörde aus Hamburg:

https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-analytics

Wir raten Betreibern von Webseiten daher dringend Ihre Webseite diesbezüglich zu überprüfen und ggf. zu überarbeiten.

Es ist davon auszugehen, dass in Zukunft vermehrt Bußgelder diesbezüglich ausgesprochen werden.  

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat bereits gegen mehrere Webseiten-Betreiber Bußgeldverfahren eingeleitet.

Achtung! Voraktivierte Kästchen bei Einwilligungserklärungen sind nicht zulässig.

Sollten Sie Hilfe bei der Umsetzung zum Datenschutz haben sind wir Ihnen gerne behilflich.

 

Das Landgericht Dresden, Urteil vom 11.01.2019, Az.: 1a O 1582/18 hat entschieden, dass  die Nutzung von Google Analytics  ohne den Zusatz „anonymizeIP“   eine Datenschutzverletzung darstellt.

Geklagt hatte ein Verbraucher, der das gewerbliche Internetportal der Beklagten aufgesucht hatte. Auf der Webseite war Google Analytics  installiert. Dies aber ohne den Zusatz „anonymizeIP“, sodass die IP-Adresse des Klägers an Google  weitergeleitet wurde.

Der Kläger klagte auf Unterlassung und Auskunft. Die Beklagte meinte, das Vorgehen des Verbrauchers sei rechtsmissbräuchlich, da er ein von ihm entwickeltes IP-Tool einsetze, um massenhaft fehlende Hinweise auf eine Anonymisierung von IP-Adressen im Rahmen von Google Analytics  zu ermitteln.  Auch hätte der Kläger selbst Maßnahmen ergreifen können, damit seine IP-Adresse nicht übermittelt werde, zum Beispiel eine entsprechende Einstellung in seinem Browser vornehmen.

Dies überzeugte das Landgericht jedoch nicht. Es stellte fest, dass die Verwendung von Google Analytics  ohne die Erweiterung „anonymizeIP“  datenschutzwidrig sei und  den Kläger in seinem allgemeinen Persönlichkeitsrecht (Artikel 2 Grundgesetz) verletze.

 Der Geltendmachung der Ansprüche sei auch nicht rechtsmissbräuchlich.  So habe der Kläger die Beklagte außergerichtlich selbst angeschrieben und zur Unterlassung aufgefordert. Er habe somit gerade keinen Kostenersatz verlangt. Hätte die Beklagte die außergerichtlich verlangte strafbewehrte Unterlassungserklärung abgegeben, so hätte sie sämtliche Kosten vermeiden können.

Auch sei die Beklagte  und nicht der Kläger verpflichtet, dass nur solche Daten verarbeitet  und an Dritte weiterzuleitet werden, bei denen auch eine Rechtsgrundlage bestünde.

Der Streitwert wurde auf 6.000 € festgesetzt.

Webseitenbetreiber, die google Analytics einsetzen, sollten daher darauf achten, dass die IP Adressen anonymisiert werden. Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich.

Sie haben Fragen zum Datenschutz? Wir helfen Ihnen!

Neben seiner Tätigkeit als Rechtsanwalt ist Herr Dr. Schenk auch als externer Datenschutzbeauftragter tätig.

Nächste Seite »