Google Analytics

DSK: Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich

Die Datenschutzkonferenz (DSK) hat schon am 12.05.2020 „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ (PDF) veröffentlicht.

Diese dienen sozusagen als Ergänzung zur „Orientierungshilfe für Anbieter von Telemedien“ (PDF) und enthält Hinweise zu den Anforderungen des Einsatzes von Google Analytics in Unternehmen.

Die Ausführungen in dem Dokument sind zumindest streitwürdig. So meinen die Aufsichtsbehörden, dass beim Einsatz von Google Analytics keine Auftragsverarbeitung, sondern vielmehr eine gemeinsame Verantwortlichkeit vorliege. Das ist zumindest dann schwer nachvollziehbar, wenn der Nutzer von Google Analytics die Variante „Products & Services“ bzw. „Google-Produkte und -Dienste“ deaktiviert hat.

Unter Bezugnahme auf die Nutzungsbedingungen von Google, in denen Google sich die Verarbeitung der Daten auch für eigene Zwecke vorbehalten, meinen die Aufsichtsbehörden dann aber, dass „unter Berücksichtigung der aktuellen Rechtsprechung des EuGH“ eine gemeinsame Verantwortlichkeit vorliege.

Nur haben die Aufsichtsbehörden m.E. hier den Auftragsverarbeitungsvertrag nicht hinreichend berücksichtigt, der zwischen dem Nutzer von Google Analytics und Google geschlossen wird bzw. geschlossen werden kann. Dieser sieht in Ziff. 14 eine Vorrangregelung vor:

14. Geltung dieser Datenverarbeitungsbedingungen
Im Fall eines Widerspruchs oder einer Abweichung zwischen den Zusatzbedingungen für außereuropäische Datenschutzvorschriften, den übrigen Datenverarbeitungsbedingungen und/oder der übrigen Vereinbarung, gilt die nachfolgende Rangfolge: (a) die Zusatzbedingungen für außereuropäische Datenschutzvorschriften; (b) die übrigen Datenverarbeitungsbedingungen und (c) die übrige Vereinbarung. Mit Ausnahme der Änderungen durch diese Datenverarbeitungsbedingungen bleibt die Vereinbarung ansonsten weiterhin in vollem Umfang wirksam und in Kraft.

Da die Bestimmungen dieser Vorrangregelung die Nutzung der Daten von Google für eigene Zwecke ausschließen, kommen die entsprechenden Regelungen der Google Nutzungsbedingungen gar nicht zur Anwendung.

Damit fällt jedoch das gedankliche Kartenhaus einer gemeinsamen Verantwortlichkeit der DSK sprichwörtlich zusammen.

Das Papier der DSK hat also einen grundlegenden Konstruktionsfehler, der nicht geheilt werden kann.

Wer gleichwohl z.B. aus Gründen des Cookie-Einsatzes, Google Analytics sowieso auf Basis einer Einwilligung einsetzt, findet dann in dem Papier der DSK zum Einsatz von Google Analytics eine Blaupause, an der man sich entlanghangeln kann, wenn man keinen Ärger mit einer Aufsichtsbehörde haben möchte.

So gibt die DSK Hinweise in folgenden Bereichen:

  1. Wie kann eine Einwilligung eingeholt werden?
  2. Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung
  3. Transparenz
  4. Kürzung der IP-Adresse

Alle diese Hinweise sind hilfreich und sinnvoll. Nur die grundlegenden Ausführungen zu Auftragsverarbeitung und gemeinsamer Verantwortlichkeit…da müsste die DSK noch einmal in sich gehen. Und wenn sie das täte, würde auch die Einwilligung nicht unbedingt die einzige mögliche Rechtsgrundlage sein. Zumindest nicht bei den Anbietern, die ein performantes Webanalysesystem zum Messen der Wirksamkeit von erheblichen Werbeausgaben zwingend benötigen, weil nur so die Internetseiten erbracht werden können. In diesen Fällen ist eine „unbedingte Erforderlichkeit“ von Cookies annehmbar und damit entfiele das Erfordernis einer Einwilligung. Und dann kann Art. 6 Abs. 1 lit. f) DSGVO sehr wohl als Rechtsgrundlage für den Einsatz in Betracht kommen. Es hängt immer sehr vom Einzelfall ab…

Aufsichtsbehörden: Einwilligung für Google Analytics erforderlich?

Meine zwei Cents zu einem „explosiven“ Thema:

Und es hat „Boom“ gemacht…

BOOM…das dachte ich letzte Woche, als am 14.11.2019 eine Welle von Pressemitteilungen der deutschen Datenschutz-Aufsichtsbehörden aufschlugen.

Eine kleine Explosion in Sachen Google Analytics & Datenschutz gab es letzte Woche.

13 Pressemitteilungen von Aufsichtsbehörden aus diesen Bundesländern sowie des Bundesdatenschutzbeauftragten habe ich gezählt:

Worum geht es?

Die Aufsichtsbehörden haben in einer Art von „konzertierter Aktion“ Unternehmen und auch öffentliche Stellen aufgefordert, „Google Analytics“ und andere „Tracking“-Angebote nicht ohne eine Einwilligung einzusetzen.

Die Texte der Pressemitteilungen unterscheiden sich in Nuancen. Zum Teil wird direkt gegen den Einsatz von „Google Analytics“ argumentiert; teilweise wird aber auch allgemein von „Tracking“-Angeboten gesprochen.

Ein nicht unwesentlicher Teil der Ausführungen ist in seiner Pauschalität rechtlich falsch. Das sagen die Aufsichtsbehörden aber leider nicht. Stattdessen wird hier einfach mal vollkommen undifferenziert „gepoltert“, mit der Folge, dass viele Anbieter von Internetseiten wieder einmal wie aufgeschreckte Hühner umherlaufen und nicht wissen, was sie tun sollen.

In den Pressemitteilungen ist keine Rede davon, dass Google Analytics eine Vielzahl von Konfigurationsmöglichkeiten hat und in einer Grundeinstellung m.E. sehr wohl ohne eine Einwilligung eingesetzt werden kann.

Ferner ist es rechtlich äußerst umstritten, ob bei Nutzung der demografischen Features von Google Analytics eine Einwilligung zwingend ist. Und für Unternehmen, die z.B. erweiterte Dienste von Google im Kontext mit Google Analytics nutzen, um die Wirksamkeit ihrer Werbung zu messen, kann einiges dafür sprechen, dass auch dies – insbesondere bei Unternehmen, die zwingend auf Werbung angewiesen sind – ohne eine Einwilligung zulässig sein kann.

Was ist gut und was ist schlecht an der „Aktion“ der Aufsichtsbehörden?

Die „Aktion“ der Aufsichtsbehörden hat Licht und Schatten.

Ich bin wahrlich kein Freund von Google Analytics und bevorzuge schon seit jeher Webanalyse-Tools, die ich auf meinem eigenen Server betreiben kann. Gleichwohl ist anzuerkennen, dass z.B. für viele Mandantinnen kein Weg an Google Analytics vorbeiführt. Denn dann könnten z.B. Werbeausgaben im Hinblick auf ihre Sinnhaftigkeit und vor allem aber zur Vermeidung von sinnlosen Werbeausgaben nicht mehr analysiert werden. Hier bietet ein Tool wie z.B. Matomo derzeit keine brauchbare Konkurrenz. Und bei genauer Betrachtung glaube ich nicht, dass es rechtlich nur auf Basis einer Einwilligung möglich ist, diese Tools zu betreiben, wenn ich als Unternehmen wirklich darauf angewiesen bin.

Und genauso ist es aber richtig, dass die große Mehrheit von Anbietern von Internetseiten eben gar kein Google Analytics benötigt, sondern sehr wohl und sehr gut mit weniger invasiven Tools leben könnte. Vielen Unternehmen reicht ein Blick auf die Zahl der wöchentlichen oder monatlichen „eindeutigen Besucher“ oder eine Statistik der am meisten aufgerufenen Seiten des eigenen Angebots. Und auch der Blick darauf, wo die Seite z.B. Fehler aufzeigt, weil Links in die Leere führen o.ä., lässt sich mit anderen Tools ebenso gut realisieren wie mit Google Analytics.

Es gibt sogar Tools, die ohne Cookies auskommen und gleichwohl ausreichende Statistiken zustande bringen. So kann ich z.B. Matomo auch ohne Cookies einsetzen, auch wenn in der aktuellen Version 3.12.0 ein nerviger Fehler enthalten ist, der zum Setzen eines Test-Cookies führt, wenn ich Matomo ohne Cookies einsetze. Aber das wird mit der nächsten Version angeblich behoben.

Wer sich nicht selbst um den Betrieb eines Analyse-Tools auf dem eigenen Server kümmern mag, der ist ggf. mit dem neuen kanadischen Tool Fathom1 gut aufgehoben, das ebenfalls ohne Cookies und mit netten Datenschutz-Features aufwartet.

Gut an der „Aktion“ der Aufsichtsbehörden ist also, dass sie aufrüttelt und die Unternehmen vielleicht dazu bringt, sich nach Alternativen umzusehen.

Schlecht finde ich nur, dass es nicht professionell ist, so pauschale Aussagen zu treffen, die rechtlich einfach nicht zutreffend sind. Hier würde ich mir wünschen, dass Aufsichtsbehörden einfach einmal „förmlich“ handeln, so wie es eigentlich vorgesehen ist. Nämlich indem sie z.B. ein Bußgeld wegen eines vermeintlich rechtswidrigen Einsatzes von Google Analytics verhängen und/oder anordnen, den Einsatz von Google Analytics bei einem Unternehmen oder eine Behörde zu untersagen. Die Wahrscheinlichkeit ist hoch, dass wir dann eine gerichtliche Klärung der Streitfragen bekommen und damit mit eben endlich mehr Rechtssicherheit.

Damit wäre allen geholfen. Mehr als durch „aufregende“ Pressemitteilungen. Vielleicht können wir das aber auch einfach so sehen, dass die Aufsichtsbehörde hier den Unternehmen noch einmal Gelegenheit zum Nachdenken geben wollten, bevor es dann sie selbst ggf. mit einem Bußgeld trifft? Das könnte sein…

Wir werden es erleben. Denn die Wahrscheinlichkeit, dass es spätestens im nächsten Jahr Bußgeldbescheide wegen des Einsatzes von Google Analytics geben wird, ist m.E. sehr hoch.

  1. Hier gibt es ggf. noch ein Detailproblem, weil es aufgrund der reinen Erhebung der IP-Adressen (ohne Speicherung) theoretisch ein Erfordernis für einen Auftragsverarbeitungsvertrag oder einen Vertrag zur gemeinsamen Verantwortlichkeit geben kann. ↩︎