Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Der rechtskonforme Einsatz von Google Analytics bzw. Universal Analytics unter der DSGVO – Teil 12 zur EU-DSGVO, Cookies und Tracking

Die Geltung der DSGVO steht unmittelbar bevor. Und mit Hochdruck arbeiten mehr und mehr Unternehmen daran, im Hinblick auf die DSGVO compliant zu werden. Unternehmen, die erst vor kurzem anfingen, sich mit der Thematik zu beschäftigen, finden keine kompetenten Berater mehr. Denn die sind – wie auch wir in der Kanzlei – bereits über alle Kapazitäten hinaus ausgelastet. (Ein Grund dafür, dass der Blog in schönster Regelmäßigkeit schweigt – so gern ich bloggen würde und so viele Themen auch im Kopf sind).

Besser wird es auch nicht dadurch, dass in Sachen DSGVO immer wieder Säue durchs Dorf und Panik wegen diesem oder jenem ausgerufen wird. (Darauf kann ich jetzt im Einzelnen nicht eingehen, nur soviel: Nein, wir werden nicht alle sterben.)

In der letzten Woche trieb dann aber ein Thema ganz besonders der Digital-Branche den Schweiß auf die Stirn und die Wut ins Gesicht: Das neue (in Teilen herzlich unausgereifte) Positionspapier der DSK (Datenschutzkonferenz) zum Tracking. Genau genommen die

„Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 – Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“

Dazu möchte ich schlicht auf zwei Kommentare von zwei geschätzten Kollegen verweisen:

Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten – von Stephan Hansen-Oest

Tracking nur noch mit Einwilligung! Was ist dran am Beschluss der Datenschutzkonferenz? – von Dr. Martin Schirmbacher

tl;dr Beide arbeiten sehr schön die Schwächen des DSK-Papiers im Hinblick auf das Tracking (was soll das überhaupt sein!?) und das dünne dogmatische Eis, auf dem hier pauschal die Einwilligung gefordert wird, heraus. Beide stellen – zu recht – heraus, dass die DSGVO entgegen dem Postionspapier die Möglichkeit des „Tracking“ bzw. das Erstellen von Nutzerprofilen auf Basis von Art. 6 I f) DSGVO erfolgen kann, wenn berechtigte Interessen des Unternehmens vorliegen und keine überwiegenden Interessen des Betroffenen entgegenstehen – es kommt wie so oft auf den Einzelfall an und darauf, was erfasst wird. Die pauschale Aussage der DSK, es seien Einwilligungen zu fordern, ist jedenfalls… schwierig, um es mal ganz freundlich zu sagen.

Übrigens, der Kollege Hansen-Oest hält daneben mit einer Kritik gegenüber den Aufsichtsbehörden nicht hinter dem Berg, die ich – leider! – in sehr großen Teilen auch aus meiner Praxis heraus für berechtigt halte. Hansen-Oest kritisiert einerseits, dass in den Aufsichtsbehörden oftmals überhaupt keine praktischen Kenntnisse in Bezug auf die Funktionen von Datenverarbeitungen bestehen, teilweise noch nicht einmal bewusst ist, dass dieses oder jenes „ein Praxisproblem“ ist oder werden kann. Auch ich finde, dass dies einem Behördenmitarbeiter, der nur die dogmatische Theorie aus Universitätslehre und Doktorarbeit kennt, bis er seinen Dienst antrat, kaum anzulasten ist. Wohl aber, die mangelnde Bereitschaft, sich auf die Praxis und die dortigen Probleme einzulassen (was aber auch nicht zwingend Fehler des einzelnen Mitarbeiter ist…). Anderseits trifft man auch bei Behördenmitarbeitern immer wieder auf, nun ja, juristische Antworten, bei denen man nicht weiß, ob man lachen oder weinen soll, weil so deutlich wird, dass der- oder diejenige besser einfach gesagt hätte „Wir wissen es doch auch (noch) nicht“ – anstatt etwas zu schreiben, was so löchrig wie eine alte Socke ist. Nein, das ist kein Behördenmitarbeiter-Bashing. Es sind einfach nur Beobachtungen aus der Praxis, die bei mir als Rechtsberaterin in Sachen DSGVO die Frage aufwerfen, wie das denn so werden soll, mit dem Beratungsauftrag der Behörden… Last but not least, um das klar und richtig zu stellen: Auch in den Aufsichtsbehörden sitzen hoch engagierte Kollegen, mit denen jeder Austausch ein Gewinn ist.

Uff, so viel wollte ich dazu doch gar nicht schreiben, aber es musste wohl mal raus. Nun aber zum eigentlichen Thema:

Der rechtskonforme Einsatz von Universal Analytics (Google Analytics) unter der DSGVO

Dieses DSK-Papier hat sicher nicht nur den Online-Marketers, sondern vor allem auch den unzähligen Webseiten-Betreibern, die Universal Analytics (Google Analytics) auf der eigenen Seite implementiert haben, den Schweiß auf die Stirn getrieben. Geht das jetzt noch!? Müssen wir es rausnehmen? Dürfen wir überhaupt noch was?

Da diese Frage natürlich auch meine Mandantschaft umtreibt und ich sie ohnehin gefühlt 1.000 Mal beantworten muss, hier einmal kurz meine Ausführungen dazu:

Good News! Google is working for you! 

Google bereitet sich natürlich mächtig auf die DSGVO vor und so erreichte viele Nutzer von Google Analytics um den 28. April auch eine Nachricht im Hinblick auf GDPR & Google Analytics.

Ach so, kurzer Einschub, warum rede ich hier immer von Universal Analytics und Google Analytics? Nun, Universal Analytics ist der neueste Betriebsstandard von Google Analytics. Universal Analytics ermöglich über eine User-ID z.B. das Cross-Device Tracking und erlaubt benutzerdefinierte Messwerte/-standards. Kurz: Aus Sicht des Trackenden mehr Funktionen, mehr Informationen.

Hö!? Das geht doch nun aber unter der DSGVO gerade nicht mehr!?

Auf den Google-Analytics-Hilfeseiten heißt es hierzu:

Gemäß den Analytics-Nutzungsbedingungen, die für alle Nutzer von Analytics gelten, dürfen keine personenbezogenen Daten an Analytics gesendet werden. Dazu gehören Namen, Sozialversicherungsnummern, E-Mail-Adressen und ähnliche Daten oder Informationen, mit denen ein bestimmtes Gerät dauerhaft identifiziert werden kann, etwa eindeutige Gerätekennungen von Smartphones, wenn sich diese nicht zurücksetzen lassen. Sollten Sie solche Daten verwenden, wird Ihr Analytics-Konto unter Unständen gekündigt und Ihre Daten werden vernichtet.

Dies soll dadurch umgesetzt werden, dass mit Universal Analytics nur noch eine User-ID gesetzt wird (welche eben das Cross-Device-Tracking ermöglicht). Hiermit soll die Identifizierung des einzelnen Users ausgeschlossen sein. Nun, wenn eine Identifizierung ausgeschlossen wäre, dann wäre es keine Pseudonymisierung, sondern eine Anonymisierung und wir wären noch nicht einmal im Anwendungsbereich der DSGVO. Das klingt zu schön, um wahr zu sein? Ja, das klingt zu schön, um wahr zu sein. Denn der Anwendungsbereich der DSGVO ist eröffnet, wenn es sich um personenbezogene Daten im Sinne von Art. 4 Abs. 1 DSGVO handelt und danach sind

personenbezogene Daten“ alle Informationen, die sich auf […] identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie […] einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der[…] wirtschaftlichen, […] Identität dieser natürlichen Person sind“.

Und wenn man das so liest und ein Cross-Device-Tracking bis hin zu einem Purchase verfolgen kann, dann wird ziemlich schnell klar, dass es sich bestenfalls um eine Pseudonymisierung handelt.

Mit hin handelt es sich bei der User-ID von Universal Analytics um eine Online-Kennung im Sinne von Art. 4 Abs. 1 DSGVO und damit um ein personenbezogenes Datum. 

Diese Form des Trackings könnte man versuchen auf Art. 6 I f) DSGVO stützen, aber ehrlicherweise sprechen hier wohl überwiegende berechtigte Interessen der Nutzer gegen ein umfassendes Cross-Device-Tracking. Von daher müsste hier die Einwilligung der Nutzer eingeholt werden. Das ist äußerst unpraktikabel.

Und wie implementiere ich Google/Universal Analytics nun rechtskonform?

Damit das Erstellen von Nutzerprofilen auch weiterhin nach Maßgabe von Art. 6 I f) mittels GA bzw. UA durchgeführt werden kann, muss man gar nicht so viel anders machen als bisher:

  1. Einen Auftrags(daten)verarbeitungsvertrag mit Google LLC abschließen. Dieser Vertrag findet sich hier.
  2. Den Zusatz zur Datenverarbeitung von Analytics mit Google abschließen, damit das Ganz den Anforderungen der DSGVO angepasst wird. Dabei müssen die folgenden Informationen angegeben werden:
    1. Den Verantwortlichen (sprich die juristische Person, die für die Datenverarbeitung verantwortlich ist),
    2. einen primären Kontakt (d.h. eine Person/ein Kontakt, an denen Mitteilungen in Bezug auf die Datenverarbeitungsbedingungen gesendet werden können,
    3. Datenschutzbeauftragter, wenn und soweit ein solcher zu benennen ist,
    4. ggf. einen EWR-Beauftragten, der nicht in der EU befindliche Unternehmen im Hinblick auf ihre Verpflichtungen gemäß der DSGVO vertritt.
  3. Implementierung der Funktion IP-Maskierung („anonymizeIP“), damit das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist;
  4. Implementierung des Deaktivierungs-Add-On, mit dem dem Nutzer einer Webseite die Möglichkeit zum Widerspruch (Opt-out) gegen die Erfassung von Nutzungsdaten eingeräumt wird (für alle gängigen Browsern).
  5. Implementierung des sg. „Disabling Tracking„; ein Opt-Out-Cookie, mit dem der User durch einen einfachen Klick das Analytics-Tracking unterbinden kann. Dies ist notwendig, weil das zuvor genannte Deaktivierungs-Add-On mobil nicht funktioniert. Google gibt dazu hier eine Hilfestellung.
  6. Implementierung von Informationen zur Datenverarbeitung (IDV) im Sinne von Art. 12, 13 DSGVO (besser bekannt unter dem Namen: Datenschutzerklärung) im Hinblick auf Google-Analytics.
  7. Keine Aktivierung der User-ID!

Also, so schlimm ist es gar nicht, bzw. nicht viel anders als bisher auch.

Was Sie sonst noch tun können (und müssen), um zu verhindern, dass Google über Google bzw. Universal Analytics personenbezogene Daten von Ihnen erhält, das können Sie unter „Best Practises: Keine personenbezogenen Daten senden“ nachlesen.

Wenn Sie diese Schritte befolgen sollte meiner Ansicht nach nichts gegen den rechtmäßigen Einsatz von Google Analytics bzw. Universal Analytics unter Art. 6 I f) DSGVO sprechen.

DISCLAIMER:

Natürlich setzt Google weiterhin einen Cookie. Mit diesem werden die Informationen

  • Browser-Typ
  • verwendetes Betriebssystem
  • Referrer-URL
  • IP-Adresse (gekürzt)
  • Uhrzeit der Serveranfrage

verarbeitet. (Sonst könnte ja gar kein Nutzerprofil errichtet werden).

Wenn Sie selbst die Anforderungen des DSK-Papier vorauseilend erfüllen möchten, weil Sie nicht das Risiko eingehen möchten, auf Basis dieses Positionspapiers der Untersuchung einer Aufsichtsbehörde oder aber einer wettbewerbsrechtlichen Abmahnung wegen einer (vermeintlichen) Datenschutzverletzung ausgesetzt zu sein, dann müssten Sie von jedem User vor Setzen des Cookies eine Einwilligung einholen.

Wem das technisch für ein einfaches GA-Tracking-Cookie zu umständlich ist (fürwahr, fürwahr) und wer das Risiko nicht gehen möchte, dem bleibt nur das Abschalten.

Ich muss das hier so schreiben, sonst heißt es noch, ich hätte erklärt, GA sei absolut risikofrei zu nutzen. Dabei kann ich weder in die Aufsichtsbehörden, die meinen, das DSK-Papier wäre diesbezüglich stichhaltig, noch in Anwälte von Ihren Wettbewerbern reinschauen, die meinen, es wäre total toll wegen eines – vermeintlichen – Datenschutzverstoßes bei der Implementierung von GA mit einer Abmahnung vorzugehen. Ich halte die Erfolgschancen für hoch, dass diese hier beschriebene Vorgehensweise am Ende des Tages als zulässige Datenverarbeitung nach Art. 6 I f) DSGVO erklärt wird, aber ich kann nicht garantieren, dass es an dieser Stelle niemals zu einer behördlichen/anwaltlichen Auseinandersetzung kommen wird.

Wie Google sonst noch unterstützend bei der Umsetzung der DSGVO im Hinblick auf Analytics wirkt

Daneben hat Google bzw. wird Google zum 25. Mai ein Management der Datenaufbewahrung ermöglichen. Sprich, Google wird seinen Kunden ermöglichen, den Löschverpflichtungen nachkommen zu können. Mehr dazu finden Sie hier.

Und nun?

Nun machen wir einfach mal alle weiter mit der Umsetzung der DSGVO und atmen dabei auch alle gleichmäßig weiter.

In diesem Sinne,

ich hoffe, Sie haben einen schönen Tag der Arbeit!

15 Responses
  1. Tracking ist nicht gleich Tracking. Wenn man überlegt, ob ein Tracking ohne Einwilligung mit der DSGVO zulässig sein soll, sollte man nicht alles Tracking in einen Topf werfen. Weder das Festmachen an Cookies noch an dem Begriff des Profils bringt einen da wirklich weiter. Ein Vergleich von z.B. Google Analytics und einer lokalen Matomo-Installation macht aber deutlich, dass hier weder die DSK noch die vielen Leute, die jetzt dagegen halten hier ausreichend differenzieren:

    Bei Google Analytics erfolgt
    – eine Datenübermittlung in die USA
    – werden die Daten mit den Daten des Trackings auf anderen Website, sowie mit den Daten aus allen Google-Applikationen zusammengeführt – also auch die Daten z.B. aus den Inhalten der eigenen Mails im gmail-Account
    – eine Zusammenführung Device-übergreifend
    – eine Zusammenführung mit den von Google ebenfalls erfassten Standortdaten
    Daher halte ich die Argumentation mit berechtigten Interessen des Websitebetreibers für nicht mehr vertretbar. Vielmehr sehe ich durch dieses umfangreiche Zusammenführen besonders hohe Anforderungen an Einwilligung und Aufklärung. Das Kürzen der IP-Adresse sowie die Aufforderungen Namen etc. nicht an Google über das Tracking zu senden, halte ich für Nebelkerzen. Diese Informationen hat Google bereits. Es ist so, als ob man das Nummernschild eines Autos schwärzt und behauptet damit datenschutzkonform zu werden, obwohl Besitzer des Fahrzeugs und Identität der Insassen bekannt ist.

    Wird dagegen eine lokale Installation von z.B. Matomo verwendet, erfolgt all dieses nicht. Dort werden die Daten nur zur Nutzungsanalyse der einzelnen Website verwendet. Ein Datenabgleich mit anderen Nutzungen erfolgt nicht. Eine Datenübermittlung in die USA erfolgt auch nicht. Es erfolgt auch keine Verbindung mit (genauen) Standortdaten.

    Daher halte ich die Argumentation der DSK bzgl. Matomo für überzogen und wenig vertretbar. Sehr problematisch halte ich dagegen Google Analytics ohne explizite Einwilligung zu verwenden. Google Analytics macht deutlich mehr als man über „berechtigte Interessen“ des Website-Betreibers rechtfertigen kann. Wer Google Analytics einsetzt, bekommt eine „kostenlose“ Nutzungsanalyse seiner Website und „bezahlt“ dabei mit den Daten seiner Nutzer. Genau aber dies ist mit dem „berechtigen Interesse“ des Website-Betreibers sicherlich nicht gedeckt.

    1. Nina Diercks

      Lieber Herr Erbguth,

      eben darauf, dass Tracking nicht gleich Tracking ist, weist der Artikel gerade hin.

      Daneben – wie ich Ihnen auf Twitter schon mitteilte – ist gerade bei Google Analytics zu unterscheiden, welche Form eingesetzt wird. Die „Vollversion“ (problematisch) oder wie hier aufgezeigt, die datenschutztechnisch erheblich reduzierte Form, die insbesondere von Google im Zuge der GDPR noche einmal angepasst wurde.

      Im Übrigen ist eine Datenübertragung in die USA nicht per se unzulässig, wie Sie hier suggerieren.

      Darüber hinaus sind zweierlei Dinge zu unterscheiden: Zum einen die Frage, ob und wenn ja, welche Form des GA-Trackings ein Webseitenbetreiber einsetzt. Und zum anderen in wie weit Google sich daraus ergebende Daten überhaupt mit einem Nutzer verknüpfen kann. Ihr Beispiel im Hinblick darauf, dass Daten von Webseitenbewegungen eines Nutzers mit seinem Google-Konto und insbesondere seinem Gmail-Account verknüpft werden, hat nun nicht dasjenige Unternehmen/derjenige Webseitenbetreiber in der Hand, der GA einsetzt. GA selbst verknüpft eben die Daten nicht mit anderen Nutzerdaten (so Google). Ob der Nutzer nun umfassende Einwilligungen abgegebenen hat, dass seine Bewegungen im Web (Browser, Mobiltelefon, Google-ID, GPS, Google-Anfragen, G-Mail etc. pp. miteinander verknüpft werden, das liegt hingegen in der Hand des jeweiligen Nutzers.

      Beste Grüße,
      ND

      1. Heinz Duschanek

        Wundervoll, danke für die Klarstellung. Das sehe ich schon seit langem auch so.

        Und berechtigtes Interesse (Art 6, Abs 1 lit f) gibt es beim Einsatz von Werbemitteln wie AdWords mehr als genug, wo die Analytics Zielvorhaben als Conversions gezeigt werden.

        Nur eine kleine Korrektur zum Beitrag: „Implementierung des Deaktivierungs-Add-On“.

        Das ist Sache der Nutzer/innen in ihrem Browser, das kann nicht auf/in der Website installiert werden. Man kann nur das Tool verlinken.

        Was dagegen m.E. noch fehlt, ist das Deaktivieren von „Remarketing“ (seufz) und der „Funktionen für Werbeberichte“. Dazu soll man auch laut Google (https://www.google.com/about/company/user-consent-policy.html) von den EU-Nutzern erst die EInwilligung einholen. Das wird nie passieren, daher kann man’s gleich deaktivieren.

        1. Nina Diercks

          Lieber Herr Durschanek,

          Sie haben recht, „Implementierung“ ist an der Stelle missverständlich. Gemeint ist aber genau das, was Sie sagen, der Link zum Tool muss innerhalb der Information zur Datenverarbeitung integriert werden.

          Danke auch für die weiteren Anmerkungen!

          Herzlich,
          ND

      1. Werthschitzky

        Ja…im Intranet….speziell meine ich dann ob ich als Firma einen Vertrag brauche oder ob die Kollegen das Ganze mit Ihrem privaten user account mit der „free“-Version nutzen können und das ganze immer noch von 6f gedeckt wird ?

        1. Nina Diercks

          Wenn das Unternehmen US/GA zum Tracking des Intranets nutzt, dann muss der Verantwortliche (also die Firma) selbstverständlich das Ganze ordnungsgemäß implementieren. Schließlich werden in dem Fall die Mitarbeiter-Daten verarbeitet.

          Und ehrlich gesagt, verstehe ich die Anmerkungen, ob die Kollegen das als „free“ Version mit „privaten User-Accounts“ nutzen können überhaupt nicht. Reden Sie hier von Analytics oder von G-Mail/G Suite?

          Herzlich,
          ND

        1. Nina Diercks

          Nein, nicht weg. Die Kommentare werden von mir freigeschaltet. Daneben gilt: Der Blog wird von mir „nebenbei“ betrieben. Gerne stelle ich hier Informationen kostenfrei zur Verfügung. Aber ein Anspruch auf die Beantwortung konkreter Rechtsfragen besteht nicht und schon gar nicht innerhalb bestimmter Zeitfenster. Ich bitte hier um hier Verständnis.

  2. sehr nett geschrieben.
    aufgeräumter informativer Text,
    gewürzt mit einer gewissen Prise
    zwischen den Zeilen.

    Derart verpackt, habe ich bisher
    nichts über dieses Thema gelesen.
    Gefällt mir. Kompliment.

    Der Sinn der DSGVO ist sicher berechtigt,
    gerade für den Seitenbesucher, der nach wie vor,
    auf alles klickt, was man ihm vor die Nase hält.
    Nein, sterben wird keiner, es schafft Arbeit.
    Vorher verdienen Berater, nachher die Abmahner.

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Rechtsanwältin Nina Diercks

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) führt die Anwaltskanzlei Diercks in Hamburg und war bis Mai 2018 beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannte Sachverständige für IT-Produkte (rechtlich). Ihre Tätigkeitsschwerpunkte liegen im IT-Recht | Medienrecht | Datenschutzrecht und Arbeitsrecht. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Anmeldung zum Seminar-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.