Datenschutz im Marketing

Google Analytics – Gemeinsame Verantwortlichkeit

Als eines der meist eingesetzten Tools für Website-Betreiber lassen sich mit Google Analytics umfangreiche statistische Auswertungen der Website-Nutzung durchführen.

Aus diesem Grund sahen sich die deutschen Datenschutzaufsichtsbehörden in der Datenschutzkonferenz am 12. Mai 2020 veranlasst, neue Hinweise zum Einsatz von Google Analytics zu beschließen und zu veröffentlichen.

Die fortlaufende Anpassung von Google Analytics durch Google erweiterte das Tool zur statistischen Analyse (Reichweitenmessung) mit einer Vielzahl weiterer Funktionen, mit denen Website-Betreiber verschiedene Zwecke verfolgen können.

Diesen Umstand geschuldet wird die Verarbeitung im Zusammenhang mit Google Analytics nicht mehr als Auftragsverarbeitung gemäß Art. 28 DS-GVO eingestuft. Viele Zwecke und Mittel der Datenverarbeitung werden beim Einsatz von Google Analytics mittlerweile ausschließlich von Google eigenverantwortlich vorgegeben und vom Seitenbetreiber vertraglich akzeptiert. Der Grundsatz der Auftragsverarbeitung ist somit nicht mehr gegeben, da gemäß Art.4 Nr.  7 i. V. m. Art. 28 Abs. 10 DS-GVO der Verantwortliche Zwecke und Mittel der Verarbeitung selbst zu bestimmen hat.

 

Google bietet zwar weiterhin einen Vertrag zur Auftragsverarbeitung an, weist aber des Weiteren in den „Google Measurement Controller-Controller Data Protection Terms“ für bestimmte Verarbeitungsprozesse auf die getrennte Verantwortung hin. Zudem stellt Google in den Nutzungsbedingungen klar, dass Google die Daten für eigene Zwecke, insbesondere auch zum Zweck der Bereitstellung seines Webanalyse- und Trackingdienstes, verarbeite. Gemäß Artikel 28 Abs. 10 DS-GVO handelt es sich bei Google damit nicht mehr um einen Auftragsverarbeiter.

 

Der Einsatz von Google Analytics in seiner Ganzheit lässt sich somit nicht mehr in die Rollen als Auftragsverarbeiter und / oder Verantwortlicher auftrennen.

Nach Einschätzung der Datenschutzkonferenz und unter Berücksichtigung der aktuellen Rechtsprechung des EuGH sind Google und der Google-Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich, sodass die Anforderungen des Art. 26 DS-GVO zu beachten sind.

 

Basierte der Einsatz von Google Analytics bislang auf der Rechtsgrundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DS-GVO, ist aufgrund der Weiterentwicklung dieses Tools diese Rechtsgrundlage nicht mehr haltbar. Der Nutzer muss vernünftigerweise nicht damit rechnen, dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden. Diese Verarbeitung weicht erheblich von der Funktion einer reinen Statistikauswertung auf der eigenen Website ab. Angesichts der konkreten Datenverarbeitungsschritte beim Einsatz von Google Analytics überwiegen die Interessen, Grundrechte und Grundfreiheiten der Nutzer regelmäßig den Interessen der Website-Betreiber.

 

Im Ergebnis ist nach dem Beschluss der Datenschutzkonferenz ein weiterer Einsatz von Google Analytics in der Regel rechtmäßig nur aufgrund einer wirksamen Einwilligung der Website-Besucher gem. Art. 6 Abs. 1 lit. a), Art. 7 DS-GVO möglich.

 

Eine Einwilligung ist nur wirksam, wenn die Anforderungen gem. Art. 4 Nr. 11, Art. 7 DS-GVO und ggf. Art. 8 DS-GVO erfüllt sind. Das bedeutet insbesondere:
  • Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.
  • In der Einwilligung muss klar, deutlich und leicht verständlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller Google-Accounts verknüpft. Ein trivialer Hinweis, wie z.B. „diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und Werbemaßnahmen“, ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.
  • Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.
  • Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die Einwilligung nicht freiwillig und damit unwirksam ist.

 

Achten Sie auf folgende Gestaltungshinweise, um die Anforderungen einer wirksamen Einwilligung umzusetzen:
  • Nehmen Sie Überschriften, welche klar die Tragweite der Entscheidung darstellen, wie z. B. „Datenverarbeitung Ihrer Nutzerdaten durch Google“.
  • Beschreiben Sie Links eindeutig und unmissverständlich. Dabei darf der Zugriff auf das Impressum und Datenschutzerklärung nicht verhindert oder eingeschränkt werden.
  • Machen Sie den Gegenstand der Einwilligung deutlich. Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden
  • Ermöglichen Sie einen einfachen und immer zugänglichen Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung. Google stellt zwar ein Browser-Add-On zu Deaktivierung von Google Analytics zur Verfügung, was allerdings keine ausreichende Widerrufmöglichkeit darstellt.
  • Informieren Sie gemäß Ihrer Informationspflicht nach Art. 13 DS-GVO die Nutzer Ihrer Website umfassend über die Verarbeitung personenbezogener Daten durch den Einsatz von Google Analytics.
  • Veranlassen Sie weiterhin die Kürzung von IP – Adressen. Dazu ist auf jeder Internetseite mit einer Google Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp“ zu ergänzen.

 

Wir unterstützen Sie gerne bei den notwendigen Änderungen. Gerne überprüfen wir auch Ihre gesamte Website oder Ihren Onlineshop auf DSGVO-Konformität prüfen. Kontaktieren Sie uns einfach über unser Kontaktformular  oder rufen Sie uns an unter 08505 – 91927-0.