DSK: Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich
Die Datenschutzkonferenz (DSK) hat schon am 12.05.2020 „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ (PDF) veröffentlicht.
Diese dienen sozusagen als Ergänzung zur „Orientierungshilfe für Anbieter von Telemedien“ (PDF) und enthält Hinweise zu den Anforderungen des Einsatzes von Google Analytics in Unternehmen.
Die Ausführungen in dem Dokument sind zumindest streitwürdig. So meinen die Aufsichtsbehörden, dass beim Einsatz von Google Analytics keine Auftragsverarbeitung, sondern vielmehr eine gemeinsame Verantwortlichkeit vorliege. Das ist zumindest dann schwer nachvollziehbar, wenn der Nutzer von Google Analytics die Variante „Products & Services“ bzw. „Google-Produkte und -Dienste“ deaktiviert hat.
Unter Bezugnahme auf die Nutzungsbedingungen von Google, in denen Google sich die Verarbeitung der Daten auch für eigene Zwecke vorbehalten, meinen die Aufsichtsbehörden dann aber, dass „unter Berücksichtigung der aktuellen Rechtsprechung des EuGH“ eine gemeinsame Verantwortlichkeit vorliege.
Nur haben die Aufsichtsbehörden m.E. hier den Auftragsverarbeitungsvertrag nicht hinreichend berücksichtigt, der zwischen dem Nutzer von Google Analytics und Google geschlossen wird bzw. geschlossen werden kann. Dieser sieht in Ziff. 14 eine Vorrangregelung vor:
14. Geltung dieser Datenverarbeitungsbedingungen
Im Fall eines Widerspruchs oder einer Abweichung zwischen den Zusatzbedingungen für außereuropäische Datenschutzvorschriften, den übrigen Datenverarbeitungsbedingungen und/oder der übrigen Vereinbarung, gilt die nachfolgende Rangfolge: (a) die Zusatzbedingungen für außereuropäische Datenschutzvorschriften; (b) die übrigen Datenverarbeitungsbedingungen und (c) die übrige Vereinbarung. Mit Ausnahme der Änderungen durch diese Datenverarbeitungsbedingungen bleibt die Vereinbarung ansonsten weiterhin in vollem Umfang wirksam und in Kraft.
Da die Bestimmungen dieser Vorrangregelung die Nutzung der Daten von Google für eigene Zwecke ausschließen, kommen die entsprechenden Regelungen der Google Nutzungsbedingungen gar nicht zur Anwendung.
Damit fällt jedoch das gedankliche Kartenhaus einer gemeinsamen Verantwortlichkeit der DSK sprichwörtlich zusammen.
Das Papier der DSK hat also einen grundlegenden Konstruktionsfehler, der nicht geheilt werden kann.
Wer gleichwohl z.B. aus Gründen des Cookie-Einsatzes, Google Analytics sowieso auf Basis einer Einwilligung einsetzt, findet dann in dem Papier der DSK zum Einsatz von Google Analytics eine Blaupause, an der man sich entlanghangeln kann, wenn man keinen Ärger mit einer Aufsichtsbehörde haben möchte.
So gibt die DSK Hinweise in folgenden Bereichen:
- Wie kann eine Einwilligung eingeholt werden?
- Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung
- Transparenz
- Kürzung der IP-Adresse
Alle diese Hinweise sind hilfreich und sinnvoll. Nur die grundlegenden Ausführungen zu Auftragsverarbeitung und gemeinsamer Verantwortlichkeit…da müsste die DSK noch einmal in sich gehen. Und wenn sie das täte, würde auch die Einwilligung nicht unbedingt die einzige mögliche Rechtsgrundlage sein. Zumindest nicht bei den Anbietern, die ein performantes Webanalysesystem zum Messen der Wirksamkeit von erheblichen Werbeausgaben zwingend benötigen, weil nur so die Internetseiten erbracht werden können. In diesen Fällen ist eine „unbedingte Erforderlichkeit“ von Cookies annehmbar und damit entfiele das Erfordernis einer Einwilligung. Und dann kann Art. 6 Abs. 1 lit. f) DSGVO sehr wohl als Rechtsgrundlage für den Einsatz in Betracht kommen. Es hängt immer sehr vom Einzelfall ab…