DSK: Mindestvoraussetzungen zum Einsatz von Google Analytics

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlicht Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich (Beschluss der DSK vom 12.05.2020).

Die DSK hat die datenschutzrechtlichen Mindestanforderungen beim Einsatz von Google Analytics definiert, die von Betreibern von Websites – zumindest nach Ansicht der DSK – zwingend eingehalten werden müssen. Dieser Beschluss ergänzt die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien der DSK vom März 2019.

Klargestellt wird zunächst, dass beim Einsatz von Google Analytics immer personenbezogene Daten im Sinne der DSGVO verarbeitet werden. Weiter wird ausgeführt, dass Google Analytics nicht nur ein Tool zur statistischen Analyse ist, sondern dem Verwender weitere Funktionsmöglichkeiten bietet.

Auch sei die Datenverarbeitung im Zusammenhang mit dem Einsatz von Google Analytics keine Auftragsverarbeitung im Sinne des Art. 28 DSGVO, da der Betreiber einer Website nicht alleine über die Zwecke und Mittel dieser Datenverarbeitung entscheidet. Google verarbeitet die durch Google Analytics erhobenen Daten vielmehr auch für eigene Zwecke, insbesondere zum Zweck der Bereitstellung seines eigenen Webanalyse- und Trackingdienstes. Es besteht also eine gemeinsame Verantwortlichkeit des Betreibers einer Website, die Google Analytics nutzt und Google gemäß Art. 26 DSGVO.

Aus diesen Gründen könne der Einsatz von Google Analytics in aller Regel weder auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) noch auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse; Opt-out) gestützt werden. Vielmehr hängt ein rechtskonformer Einsatz von Google Analytics von der vorherigen wirksamen Einwilligung des jeweiligen Nutzers der Website ab (Art. 6 Abs. 1 lit. a, 7 DSGVO; Opt-in).

Folgende Mindestvoraussetzungen definiert die DSK, die Betreiber von Websites beachten müssen, damit diese von einer wirksamen Einwilligung des Nutzers ausgehen können:

  • „Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.
  • In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller Google- Accounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.
  • Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.
  • Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die Einwilligung nicht freiwillig und damit unwirksam ist.“

Zusätzlich sind in Bezug auf eine wirksame Einwilligung weiter folgende Gestaltungshinweise zu beachten:

  • „Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“.
  • Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden. 
  • Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.“

Folgende Maßnahmen sind hinsichtlich der technischen Umsetzung des Widerrufs der Einwilligung zu beachten:

„Beim Einsatz von Google Analytics muss stets ein einfach und immer zugänglicher Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein. Gleiches gilt für Apps, die zum Beginn der Nutzung eine Einwilligung erfragen. Auch hier muss in den Einstellungen eine einfach zugängliche Möglichkeit zum wirksamen Widerruf der Einwilligung vorhanden sein.

Hatte ein Nutzer einmal seine Einwilligung erteilt und widerruft er sie zu einem späteren Zeitpunkt, so ist sicherzustellen, dass nach dem Widerruf das Google-Analytics-Skript nicht nachgeladen oder ausgeführt wird.

Google stellt ein Browser-Add-On zur Deaktivierung von Google Analytics zur Verfügung. Es ist nicht zulässig, den Nutzer ausschließlich auf dieses Add-On zu verweisen, da dies keine hinreichende Widerrufsmöglichkeit darstellt. Gemäß Art. 7 Abs. 3 S. 4 DS-GVO ist der Widerruf so einfach wie die Erteilung der Einwilligung zu gestalten. Das von Google zur Verfügung gestellte Add-On erfüllt diese Anforderungen nicht, da der Nutzer zum Herunterladen von weiteren Programmen gezwungen wird. Im Übrigen entspricht das Add- On aufgrund der Vielzahl an Browsern und Betriebssystemen weder dem Stand der Technik noch ist es geeignet, um die Datenverarbeitung in Apps zu unterbinden.“

Zudem müssen die Nutzer einer Website im Rahmen der Datenschutzerklärung transparent über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics informiert werden; diesbezüglich verweist die DSK auf die die Leitlinie zur Transparenz des Europäischen Datenschutzausschusses vom sowie auf die Orientierungshilfe für Anbieter von Telemedien.

Zusätzlich sollten Betreiber von Websites durch entsprechende Einstellungen die durch Google Analytics erhobenen IP-Adressen der Nutzer kürzen; diese Kürzung der IP-Adressen führe zwar nicht zur Anonymisierung der Datenverarbeitung, stelle aber eine zusätzliche Maßnahme im Sinne des § 25 Abs. 1 DSGVO dar (weitere Informationen dazu finden Sie hier).