Der rechtskonforme Einsatz von Google Analytics bzw. Universal Analytics unter der DSGVO – Teil 12 zur EU-DSGVO, Cookies und Tracking

Die Geltung der DSGVO steht unmittelbar bevor. Und mit Hochdruck arbeiten mehr und mehr Unternehmen daran, im Hinblick auf die DSGVO compliant zu werden. Unternehmen, die erst vor kurzem anfingen, sich mit der Thematik zu beschäftigen, finden keine kompetenten Berater mehr. Denn die sind – wie auch wir in der Kanzlei – bereits über alle Kapazitäten hinaus ausgelastet. (Ein Grund dafür, dass der Blog in schönster Regelmäßigkeit schweigt – so gern ich bloggen würde und so viele Themen auch im Kopf sind).

Besser wird es auch nicht dadurch, dass in Sachen DSGVO immer wieder Säue durchs Dorf und Panik wegen diesem oder jenem ausgerufen wird. (Darauf kann ich jetzt im Einzelnen nicht eingehen, nur soviel: Nein, wir werden nicht alle sterben.)

In der letzten Woche trieb dann aber ein Thema ganz besonders der Digital-Branche den Schweiß auf die Stirn und die Wut ins Gesicht: Das neue (in Teilen herzlich unausgereifte) Positionspapier der DSK (Datenschutzkonferenz) zum Tracking. Genau genommen die

„Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 – Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“

Dazu möchte ich schlicht auf zwei Kommentare von zwei geschätzten Kollegen verweisen:

Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten – von Stephan Hansen-Oest

Tracking nur noch mit Einwilligung! Was ist dran am Beschluss der Datenschutzkonferenz? – von Dr. Martin Schirmbacher

tl;dr Beide arbeiten sehr schön die Schwächen des DSK-Papiers im Hinblick auf das Tracking (was soll das überhaupt sein!?) und das dünne dogmatische Eis, auf dem hier pauschal die Einwilligung gefordert wird, heraus. Beide stellen – zu recht – heraus, dass die DSGVO entgegen dem Postionspapier die Möglichkeit des „Tracking“ bzw. das Erstellen von Nutzerprofilen auf Basis von Art. 6 I f) DSGVO erfolgen kann, wenn berechtigte Interessen des Unternehmens vorliegen und keine überwiegenden Interessen des Betroffenen entgegenstehen – es kommt wie so oft auf den Einzelfall an und darauf, was erfasst wird. Die pauschale Aussage der DSK, es seien Einwilligungen zu fordern, ist jedenfalls… schwierig, um es mal ganz freundlich zu sagen.

Übrigens, der Kollege Hansen-Oest hält daneben mit einer Kritik gegenüber den Aufsichtsbehörden nicht hinter dem Berg, die ich – leider! – in sehr großen Teilen auch aus meiner Praxis heraus für berechtigt halte. Hansen-Oest kritisiert einerseits, dass in den Aufsichtsbehörden oftmals überhaupt keine praktischen Kenntnisse in Bezug auf die Funktionen von Datenverarbeitungen bestehen, teilweise noch nicht einmal bewusst ist, dass dieses oder jenes „ein Praxisproblem“ ist oder werden kann. Auch ich finde, dass dies einem Behördenmitarbeiter, der nur die dogmatische Theorie aus Universitätslehre und Doktorarbeit kennt, bis er seinen Dienst antrat, kaum anzulasten ist. Wohl aber, die mangelnde Bereitschaft, sich auf die Praxis und die dortigen Probleme einzulassen (was aber auch nicht zwingend Fehler des einzelnen Mitarbeiter ist…). Anderseits trifft man auch bei Behördenmitarbeitern immer wieder auf, nun ja, juristische Antworten, bei denen man nicht weiß, ob man lachen oder weinen soll, weil so deutlich wird, dass der- oder diejenige besser einfach gesagt hätte „Wir wissen es doch auch (noch) nicht“ – anstatt etwas zu schreiben, was so löchrig wie eine alte Socke ist. Nein, das ist kein Behördenmitarbeiter-Bashing. Es sind einfach nur Beobachtungen aus der Praxis, die bei mir als Rechtsberaterin in Sachen DSGVO die Frage aufwerfen, wie das denn so werden soll, mit dem Beratungsauftrag der Behörden… Last but not least, um das klar und richtig zu stellen: Auch in den Aufsichtsbehörden sitzen hoch engagierte Kollegen, mit denen jeder Austausch ein Gewinn ist.

Uff, so viel wollte ich dazu doch gar nicht schreiben, aber es musste wohl mal raus. Nun aber zum eigentlichen Thema:

Der rechtskonforme Einsatz von Universal Analytics (Google Analytics) unter der DSGVO

Dieses DSK-Papier hat sicher nicht nur den Online-Marketers, sondern vor allem auch den unzähligen Webseiten-Betreibern, die Universal Analytics (Google Analytics) auf der eigenen Seite implementiert haben, den Schweiß auf die Stirn getrieben. Geht das jetzt noch!? Müssen wir es rausnehmen? Dürfen wir überhaupt noch was?

Da diese Frage natürlich auch meine Mandantschaft umtreibt und ich sie ohnehin gefühlt 1.000 Mal beantworten muss, hier einmal kurz meine Ausführungen dazu:

Good News! Google is working for you! 

Google bereitet sich natürlich mächtig auf die DSGVO vor und so erreichte viele Nutzer von Google Analytics um den 28. April auch eine Nachricht im Hinblick auf GDPR & Google Analytics.

Ach so, kurzer Einschub, warum rede ich hier immer von Universal Analytics und Google Analytics? Nun, Universal Analytics ist der neueste Betriebsstandard von Google Analytics. Universal Analytics ermöglich über eine User-ID z.B. das Cross-Device Tracking und erlaubt benutzerdefinierte Messwerte/-standards. Kurz: Aus Sicht des Trackenden mehr Funktionen, mehr Informationen.

Hö!? Das geht doch nun aber unter der DSGVO gerade nicht mehr!?

Auf den Google-Analytics-Hilfeseiten heißt es hierzu:

Gemäß den Analytics-Nutzungsbedingungen, die für alle Nutzer von Analytics gelten, dürfen keine personenbezogenen Daten an Analytics gesendet werden. Dazu gehören Namen, Sozialversicherungsnummern, E-Mail-Adressen und ähnliche Daten oder Informationen, mit denen ein bestimmtes Gerät dauerhaft identifiziert werden kann, etwa eindeutige Gerätekennungen von Smartphones, wenn sich diese nicht zurücksetzen lassen. Sollten Sie solche Daten verwenden, wird Ihr Analytics-Konto unter Unständen gekündigt und Ihre Daten werden vernichtet.

Dies soll dadurch umgesetzt werden, dass mit Universal Analytics nur noch eine User-ID gesetzt wird (welche eben das Cross-Device-Tracking ermöglicht). Hiermit soll die Identifizierung des einzelnen Users ausgeschlossen sein. Nun, wenn eine Identifizierung ausgeschlossen wäre, dann wäre es keine Pseudonymisierung, sondern eine Anonymisierung und wir wären noch nicht einmal im Anwendungsbereich der DSGVO. Das klingt zu schön, um wahr zu sein? Ja, das klingt zu schön, um wahr zu sein. Denn der Anwendungsbereich der DSGVO ist eröffnet, wenn es sich um personenbezogene Daten im Sinne von Art. 4 Abs. 1 DSGVO handelt und danach sind

„personenbezogene Daten“ alle Informationen, die sich auf […] identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie […] einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der[…] wirtschaftlichen, […] Identität dieser natürlichen Person sind“.

Und wenn man das so liest und ein Cross-Device-Tracking bis hin zu einem Purchase verfolgen kann, dann wird ziemlich schnell klar, dass es sich bestenfalls um eine Pseudonymisierung handelt.

Mit hin handelt es sich bei der User-ID von Universal Analytics um eine Online-Kennung im Sinne von Art. 4 Abs. 1 DSGVO und damit um ein personenbezogenes Datum. 

Diese Form des Trackings könnte man versuchen auf Art. 6 I f) DSGVO stützen, aber ehrlicherweise sprechen hier wohl überwiegende berechtigte Interessen der Nutzer gegen ein umfassendes Cross-Device-Tracking. Von daher müsste hier die Einwilligung der Nutzer eingeholt werden. Das ist äußerst unpraktikabel.

Und wie implementiere ich Google/Universal Analytics nun rechtskonform?

Damit das Erstellen von Nutzerprofilen auch weiterhin nach Maßgabe von Art. 6 I f) mittels GA bzw. UA durchgeführt werden kann, muss man gar nicht so viel anders machen als bisher:

1. Einen Auftrags(daten)verarbeitungsvertrag mit Google LLC abschließen. Dieser Vertrag findet sich hier.
2. Den Zusatz zur Datenverarbeitung von Analytics mit Google abschließen, damit das Ganz den Anforderungen der DSGVO angepasst wird. Dabei müssen die folgenden Informationen angegeben werden:
   1. Den Verantwortlichen (sprich die juristische Person, die für die Datenverarbeitung verantwortlich ist),
   2. einen primären Kontakt (d.h. eine Person/ein Kontakt, an denen Mitteilungen in Bezug auf die Datenverarbeitungsbedingungen gesendet werden können,
   3. Datenschutzbeauftragter, wenn und soweit ein solcher zu benennen ist,
   4. ggf. einen EWR-Beauftragten, der nicht in der EU befindliche Unternehmen im Hinblick auf ihre Verpflichtungen gemäß der DSGVO vertritt.
3. Implementierung der Funktion IP-Maskierung („anonymizeIP“), damit das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist;
4. Implementierung des Deaktivierungs-Add-On, mit dem dem Nutzer einer Webseite die Möglichkeit zum Widerspruch (Opt-out) gegen die Erfassung von Nutzungsdaten eingeräumt wird (für alle gängigen Browsern).
5. Implementierung des sg. „Disabling Tracking„; ein Opt-Out-Cookie, mit dem der User durch einen einfachen Klick das Analytics-Tracking unterbinden kann. Dies ist notwendig, weil das zuvor genannte Deaktivierungs-Add-On mobil nicht funktioniert. Google gibt dazu hier eine Hilfestellung.
6. Implementierung von Informationen zur Datenverarbeitung (IDV) im Sinne von Art. 12, 13 DSGVO (besser bekannt unter dem Namen: Datenschutzerklärung) im Hinblick auf Google-Analytics.
7. Keine Aktivierung der User-ID!

Also, so schlimm ist es gar nicht, bzw. nicht viel anders als bisher auch.

Was Sie sonst noch tun können (und müssen), um zu verhindern, dass Google über Google bzw. Universal Analytics personenbezogene Daten von Ihnen erhält, das können Sie unter „Best Practises: Keine personenbezogenen Daten senden“ nachlesen.

Wenn Sie diese Schritte befolgen sollte meiner Ansicht nach nichts gegen den rechtmäßigen Einsatz von Google Analytics bzw. Universal Analytics unter Art. 6 I f) DSGVO sprechen.

DISCLAIMER:

Natürlich setzt Google weiterhin einen Cookie. Mit diesem werden die Informationen

• Browser-Typ
• verwendetes Betriebssystem
• Referrer-URL
• IP-Adresse (gekürzt)
• Uhrzeit der Serveranfrage

verarbeitet. (Sonst könnte ja gar kein Nutzerprofil errichtet werden).

Wenn Sie selbst die Anforderungen des DSK-Papier vorauseilend erfüllen möchten, weil Sie nicht das Risiko eingehen möchten, auf Basis dieses Positionspapiers der Untersuchung einer Aufsichtsbehörde oder aber einer wettbewerbsrechtlichen Abmahnung wegen einer (vermeintlichen) Datenschutzverletzung ausgesetzt zu sein, dann müssten Sie von jedem User vor Setzen des Cookies eine Einwilligung einholen.

Wem das technisch für ein einfaches GA-Tracking-Cookie zu umständlich ist (fürwahr, fürwahr) und wer das Risiko nicht gehen möchte, dem bleibt nur das Abschalten.

Ich muss das hier so schreiben, sonst heißt es noch, ich hätte erklärt, GA sei absolut risikofrei zu nutzen. Dabei kann ich weder in die Aufsichtsbehörden, die meinen, das DSK-Papier wäre diesbezüglich stichhaltig, noch in Anwälte von Ihren Wettbewerbern reinschauen, die meinen, es wäre total toll wegen eines – vermeintlichen – Datenschutzverstoßes bei der Implementierung von GA mit einer Abmahnung vorzugehen. Ich halte die Erfolgschancen für hoch, dass diese hier beschriebene Vorgehensweise am Ende des Tages als zulässige Datenverarbeitung nach Art. 6 I f) DSGVO erklärt wird, aber ich kann nicht garantieren, dass es an dieser Stelle niemals zu einer behördlichen/anwaltlichen Auseinandersetzung kommen wird.

Wie Google sonst noch unterstützend bei der Umsetzung der DSGVO im Hinblick auf Analytics wirkt

Daneben hat Google bzw. wird Google zum 25. Mai ein Management der Datenaufbewahrung ermöglichen. Sprich, Google wird seinen Kunden ermöglichen, den Löschverpflichtungen nachkommen zu können. Mehr dazu finden Sie hier.

Und nun?

Nun machen wir einfach mal alle weiter mit der Umsetzung der DSGVO und atmen dabei auch alle gleichmäßig weiter.

In diesem Sinne,

ich hoffe, Sie haben einen schönen Tag der Arbeit!