Vor gut sechs Wochen hatten die Aufsichtsbehörden von Berlin, Brandenburg, Hamburg, Hessen, Niedersachsen, NRW, Rheinland-Pfalz, Saarland, Sachsen, Schleswig-Holstein, Thüringen, Bayern und der Bundesbeauftragte für Datenschutz und Informationsfreiheit eine inhaltlich übereinstimmende Presseerklärung zum Einsatz von Tracking Tools, insbesondere zu Google Analytics herausgegeben (die einzelnen Pressemitteilungen finden Sie hinter den Links).
In den Presserklärungen, wie der Presserklärung aus Hamburg, heißt es sinngemäß
- Google Analytics dürfe nicht mehr ohne Einwilligung verwendet werden
- Google habe das Produkt derart weiterentwickelt, dass alte Hinweise wie „Hinweise des HmbBfDI zum Einsatz von Google Analytics“ inzwischen veraltet seien und sich darauf nicht mehr gestützt werden könne
- Google habe sich einräumen lassen, die Daten auch zu eigenen Zwecken zu verwenden, d.h. Daten zum Surfverhalten würden auch an Dritte weitergegeben werden, die sei ohne Einwilligung unzulässig
- in Folge der Übermittlung der Daten an Dritte zu eigenen Zwecken und damit außerhalb einer Auftragsverarbeitung, so das BayLDA, reiche auch die von Google angebotene IP-Maskierung nicht aus, um den Dienst rechtskonform zu betreiben.
An den Presserklärungen der vorgenannten Aufsichtsbehörden ist zweierlei bemerkenswert.
Zum einen scheint es so, dass sich unter den deutschen Aufsichtsbehörden offensichtlich kein Konsens zum Thema „Google Analytics nur mit Einwilligung“ finden ließ. Denn wäre dies der Fall gewesen, hätte es wohl eine gemeinsame Veröffentlichung zum Thema über die Datenschutzkonferenz gegeben.
Zum anderen negieren die mit den Presseerklärungen verbreiteten Auffassungen der Behörden, die Tatsachen, dass es unterschiedliche, datenschutzrelevante, Formen der Analyse und des Trackings gibt sowie dass insbesondere Google in seinem Produkt Universal Analytics (wie es seit knapp 2 Jahren eigentlich heißt) zahlreiche Einstellungsmöglichkeiten im Hinblick auf datenschutzrelevante Tracking- bzw. Analyseformen vorsieht. Ein Defizit, dass diese Presseerklärungen mit den bisherigen Positionsbestimmungen und sonstigen Papieren der Datenschutzkonferenz – leider – teilen (dazu so gleich noch mehr).
Diese mangelnde Differenzierung führt dazu, dass die mit dem Titel dieses Beitrags aufgeworfene Frage „Warnen die Aufsichtsbehörden zu Recht vor dem Einsatz von Google Analytics ohne Einwilligung?“ in aller Kürze nur mit der klassischen Juristenantwort: „Es kommt darauf an!“ beantwortet werden kann. Auch wenn diese Juristen-Antwort sehr verhasst ist, trifft sie im Hinblick auf die Frage, ob Google Analytics nur noch mit einer Einwilligung der Nutzer oder aber doch noch aufgrund von berechtigter Interessen im Sinne von Art. 6 I f) DSGVO verwendet werden kann, den Kern der Sache.
Um leichter verstehen zu können, warum die Antwort „Es kommt darauf an“ lautet und warum (fast) überall zu lesen ist, dass Google Analytics nur noch mit einer Einwilligung zu verwenden sei, begeben wir uns zunächst noch einmal in die jüngere Vergangenheit. Im Anschluss wenden wir uns dem aktuellen Diskussionsstand zu und lösen auf, worauf es denn nun bei der Implementierung von Google Analytics ankommt. Last but not least, sehen wir uns einmal die Entscheidung der belgischen Aufsichtsbehörde an, die ein Bußgeld in Höhe von 15.000 EUR wegen der Nutzung von Google Analytics verhängt hat.
Was bisher geschah…
Auf diesem Blog haben wir uns im Mai 2018 zuletzt intensiv mit Google Analytics befasst (Waaaas? So lange ist das her?!). Nun ist seit Mai 2018 einige Zeit vergangen, das Internet steht noch und die Welt ist nicht untergegangen. Die Meinungsverschiedenheiten, die den Einsatz von Universal Analytics betreffen, sind aber – natürlich – noch nicht höchstrichterlich entschieden. Eben in Folge dessen treiben Presserklärungen der Aufsichtsbehörden wie die Vorstehenden den Nutzern von Analyse-Tools den Schweiß auf die Stirn. Sehen wir uns aber nun einmal näher an, was bisher geschah:
April 2018: Die DSK veröffentlicht ein Positionspapier zum Tracking
Im April 2018 hatte die Datenschutzkonferenz, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz DSK, ein Positionspapier zum Tracking veröffentlich. Genau genommen die
In dem Positionspapier heißt es in Ziffer 7 „Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.“ Nach dieser Auffassung stellt sich die Frage, ob eine Analyse von Besucherströmen oder ein Tracking in jedem Fall unbedingt erforderlich ist. In Ziffer 9 heißt es jedoch weiter „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen…“ Was an dieser Stelle unter „Tracking-Mechanismen“ zu verstehen sein soll, bleibt leider das Geheimnis der Datenschutzkonferenz bzw. der Aufsichtsbehörden. Vor diesem Hintergrund sahen sich die Aufsichtsbehörden, ob dieser pauschalen Aussagen auch harscher Kritik ausgesetzt, wie auch hier und hier nachzulesen ist.
Im März 2019: DSK veröffentlicht die Orientierungshilfe für Anbieter von Telemedien
Ein knappes Jahr später hatte sich die Datenschutzkonferenz erneut mit dem Universal Analytics auseinandergesetzt und dem Positionspapier aus April 2018 eine differenzierte und ausführlichere Erwägung angefügt. Die Orientierungshilfe befasst sich zwar eigentlich mit der Frage ob die ePrivacy-Richtlinie durch § 15 Abs. 3 TMG umgesetzt sei, verneint dies und erklärt, es sei ausschließlich die DSGVO maßgeblich.*
*Dies ist nach meiner Auffassung so falsch. Richtig ist, dass die ePrivacy-Richtlinie nie durch § 15 Abs. 3 TMG umgesetzt wurde und dass auch keine richtlinienkonforme Auslegung möglich ist. Dieser Auffassung ist auch der Generalstaatsanwalt sowie offensichtlich der EuGH, da dieser in den beiden jüngeren Entscheidungen (C- 40/17 und C-673/16) kein weiteres Wort zu § 15 Abs. 3 TMG verliert. Demnach ist aber zur Bewertung der Frage, ob es für das Setzen von Cookies einer Einwilligung bedarf, ausschließlich die ePrivacy-Richtlinie einschlägig, die unmittelbar herangezogen werden muss.
All dies ist im Einzelnen hochstrittig und wird eventuell noch einmal einen eigenen Artikel bekommen, jedoch nicht heute.
Dem Papier lässt sich aber dennoch das Folgende entnehmen
„Verantwortliche sollten sich bewusst machen, dass die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f) DSGVO eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten verlangt und auf den konkreten Einzelfall bezogen sein muss. Unzureichende oder pauschale Feststellungen, dass eine Datenverarbeitung gem. Art. 6 Abs. 1 lit. f) DSGVO zulässig sei, erfüllen nicht die gesetzlichen Anforderungen. Sollte der Verantwortliche zum Ergebnis kommen, dass die Interessenabwägung zugunsten der betroffenen Person ausfällt und keine andere Rechtsgrundlage in Betracht kommt, ist die Datenverarbeitung –falls überhaupt –nur nach voriger informierter Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) rechtmäßig („jedenfalls dann…“).“ (Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 21, LINK)
Bei der nach Art. 6 I f) DSGVO erforderlichen Interessensabwägung seien die folgenden Punkte zu überprüfen (vgl. S. 16):
- Vernünftige Erwartungen der betroffenen Personen und Vorhersehbarkeit / Transparenz
- Interventionsmöglichkeiten der betroffenen Person
- Verkettung von Daten
- Beteiligte Akteure
- Dauer der Beobachtung
- Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)
- Datenkategorien
- Umfang der Datenverarbeitung
Zu jedem dieser Punkte führt die DSK in mehreren Absätzen aus. Nach diesen Ausführungen wäre also im Einzelfall der Einsatz von Analyse-Tools wie Google Analytics auf Grundlage von Art. 6 I f) DSGVO möglich.
Daran ändern auch das im Anhang 1 von der DSK geschilderte Beispiel eines Tracking-Pixels eines Drittanbieters nichts. Denn in diesem konkreten Beispiel wird nur dargestellt, unter welchen Voraussetzungen ein Tracking eben nicht mehr auf Grundlage eines berechtigten Interesse im Sinne von Art. 6 I f) DSGVO erfolgen kann, sondern einer Einwilligung des Nutzers bedarf:
- im Fall des geräteübergreifendem Trackings (sog. Cross-Device-Tracking), vgl. auch S. 19
- im Fall der Einbindung der Datenübermittlung an Dritte außerhalb einer Auftragsverarbeitung (vgl. S. 16)
Oktober 2019: EuGH-Urteil C-673/16 in Sachen „Planet49“
Im Oktober 2019 erging die EuGH-Entscheidung „Planet49“ (Urt. v. 01.10.2019, C-673/17). Der EuGH entschied hierbei – stark verkürzt dargestellt -, nicht über die Frage, ob vor dem Setzen von Cookies eine Einwilligung der Nutzer im Sinne von Art. 5 Abs. 3 ePrivacy-Richtlinie (Richtlinie 2009/136/EG) notwendig ist, sondern wie eine Einwilligung auszugestalten ist, wenn ein Fall von Art. 5 Abs. 3 S. 1 der ePrivacy-Richtlinie – also dann, wenn nicht „[das Setzen eines Cookies] unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann,“ vorliegt.
Für interessierte Leser: Das Urteil ist ausführlich im Blogartikel vom 01. Oktober 2019 Zum EuGH Urteil „Planet49“, Az. C-673/17 – Benötigen Cookies ab jetzt immer einer Einwilligung? (Spoiler: Nein) besprochen.
Obwohl es also weder um den Einsatz von Tracking- oder Analyse-Tools noch um die Frage, ob eine Einwilligung vorliegen muss, führt das bayLDA in seiner Pressemitteilung vom 15.11.2019 wörtlich aus:
Bereits im Frühjahr 2019 haben die Datenschutz-Aufsichtsbehörden des Bundes und der Länder eine „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht und dort dargestellt, unter welchen Bedingungen Tracking von Webseitenbesucherinnen und -besuchern zulässig ist. Die dort enthaltene Rechtsaufassung findet sich genauso im Urteil des Europäischen Gerichtshofes (EuGH) vom 1. Oktober 2019 wieder.
Ich würde diese Ausführung mit „Aha. Interessant.“ beschreiben und lasse das mal so stehen.
Fazit
Bis heute gibt es kein DSK-Papier oder eine sonstige Äußerung einer Datenschutzbehörde, die sich auch nur im Ansatz differenziert mit dem Thema „Tracking“ und/oder den verschiedenen Analysen-Tools und deren Konfigurationsmöglichkeiten beschäftigt. Es wird in den DSK-Papieren fortlaufend schlicht konstituiert, dass das „Tracking“ sowie mit den jüngsten oben genannten Presseerklärungen erklärt, dass der Einsatz von Google Analytics ohne Einwilligung unzulässig sei.
Cookies, Analysen und Tracking
Wenn die Datenschutzbehörden es schon nicht tun, sehen wir uns hier doch einmal – wenn auch nur sehr oberflächlich – an, ob es denn wirklich nur „das Tracking“ gibt. (Natürlich nicht!):
Im Falle des „Tracking“ und im Fall der Nutzung von Cookies (zum Tracking) ist stets genau zu betrachten, um welche Formen von Cookies und um welche Formen des Trackings es sich denn handelt. Die immer wieder in den Medien vorfindliche, pauschale Aussage, dass das Setzen von Cookies, jedenfalls aber das Setzen von Cookies zu Zwecken des Trackings, einer Einwilligung bedürfte, ist so nicht haltbar. Denn auf welcher Rechtsgrundlage Cookies gesetzt, bzw. mit ihnen personenbezogene Daten verarbeitet werden dürfen, hängt von der Art der Cookies und der damit verbundenen Datenverarbeitung ab.
Technisch notwendige/unbedingt erforderliche Cookies
Technisch notwendige Cookies sind solche, ohne deren Datenverarbeitung das vertragliche, vorvertragliche oder vertragsähnliche Verhältnis nicht durchgeführt werden kann. Klassisches Beispiel ist hier der Warenkorb-Cookie. Ohne diesen ist ein Einkauf im Online-Shop nicht bzw. nur unter größten Schwierigkeiten technisch möglich; der Dienst könnte dem Nutzer ohne diesen Cookie und die damit verbundene Datenverarbeitung nicht zur Verfügung gestellt werden. Die mit technisch notwendigen Cookies verbundene Datenverarbeitung findet ihre Rechtsgrundlage demnach regelmäßig in Art. 6 I b) DSGVO [vgl. BeckOK DatenschutzR- Albers/Veit, DSGVO Art. 6 Rn. 49; Paal/Pauly/Frenzel – DSGVO Art. 6 Rn. 28, Forgó/Helfrich/Schneider, Betrieblicher Datenschutz – Arning/Born, Teil IX, Kap. 2, Rn. 61.] bzw. in Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie (s.o. „unbedingt erforderliche Cookies“.)
Analyse-Cookies
Mit Analyse-Cookies sind solche gemeint, die als Zweck die Analyse der eigenen Webseite zum Gegenstand haben, d.h. die Auswertung, etwa welche Seiten betrachtet werden, wie hoch die jeweilige Verweildauer dort ist und/oder welche Nutzeraktionen stattfinden. Wenn diese Analysen datenminimiert stattfinden, dann können die Analysen zu diesem Zweck auf Rechtsgrundlage von Art. 6 I f) DSGVO, nämlich im Rahmen des sogenannten berechtigten Interesses erfolgen.
Im Rahmen von Art. 6 I f) DSGVO muss ein berechtigtes Interesse des Verantwortlichen vorliegen, dem gegenüber nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen dürfen (sog. Abwägungsklausel).
Das berechtigte Interesse des Verantwortlichen ist dabei zunächst einmal weit auszulegen, insbesondere können auch wirtschaftliche Interessen berechtigte Interesse darstellen [vgl. BeckOK DatenschutzR- Albers/Veit, DSGVO Art. 6 Rn. 49; Paal/Pauly/Frenzel – DSGVO Art. 6 Rn. 28, Forgó/Helfrich/Schneider, Betrieblicher Datenschutz – Arning/Born, Teil IX, Kap. 2, Rn. 619]. Ferner sind gemäß Erwägungsgrund 47 der DSGVO in die Interessenabwägung auch solche Umstände einzubeziehen, aufgrund derer die betroffene Person vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.
Die grundlegende Funktionsweise des Internetvertriebs bedingt, dass in technischer Hinsicht vom Webseitenbetreiber eine Analyse des Aufbaus, der Anwendbarkeit, der Besucherfreundlichkeit und der Funktionalität der eigenen Webseite möglich sein muss. Der Webseitenbetreiber muss die Möglichkeit erhalten, erkennen zu können, welche Ausstellungsplätze oder Produktgruppen besonders häufig besucht bzw. angesehen werden, um so seine Produktplatzierung optimieren zu können. Nichts anderes macht schließlich der analoge Ladenbesitzer, der durch Blickkontakt in den Laden jederzeit analysieren kann, welche Bereiche seines Ladens mit welcher Produktpräsentation gut laufen. Gleiches gilt analog für Messen, auf denen Dienstleister Ihre Dienstleistungen anbieten. Mangels der persönlichen Ansicht eines jeden Besuchers im Internet bedarf es einer Möglichkeit durch den Webseitenbetreiber, die Attraktivität seines Angebots für den Webseitenbesucher zu analysieren. Dabei geht es weder im Ladengeschäft oder auf der Messe noch auf der Webseite um eine Analyse des Besuchers, sondern ausschließlich um eine Analyse des Besucherstromes. Diese Analyse des Besucherstroms und damit die Optimierung der Ausstellflächen liegt im wirtschaftlichen und damit im berechtigten Interesse des Webseitenbetreiber.
Überwiegende Interessen der Nutzer stehen dem nicht gegenüber. Wenn nur der Besucherfluss insgesamt, nicht aber jeder Besucher analysiert wird, entspricht dies dem Beobachten der Menschenmassen im Ladengeschäft. Darüber hinaus rechnet der durchschnittlich informierte Nutzer, der Webseiten besucht, auch regelmäßig mit einer solchen allgemeinen Analyse, bei dem nicht sein einzelnes Verhalten, sondern das Verhalten der Besucher analysiert wird. Schließlich erwartet er auch, dass sich Webseiten und die Angebote darauf verbessern (können).
Datenarme Analysen wie hier beschriebenen, können also aufgrund des berechtigten Interesses des Webseitenbetreibers nach Art. 6 I f) DSGVO durchgeführt werden
Tracking-Cookies
Mit Tracking-Cookies sind solche Cookies gemeint, die eben ein „Tracking“, d.h. eine Verfolgung eines Users ermöglichen, also die Identifikation „eines Users“ sowie eine Analyse seines Verhaltens über einen längeren Zeitraum und damit die Bildung eines Benutzerprofils ermöglichen und damit auch die Option bieten dieses Profil gegebenenfalls in einem weiteren Schritt persönliche Merkmale oder Interessen zuzuordnen (Profiling). Die Verfolgung „eines Users“ meint hier bereits die pseudonyme Profilbildung, also eine Profilbildung unter einem Pseudonym, bspw. einer User-ID, ggf. auch geräteübergreifend.
Dies wäre bei Google Analytics dann der Fall, wenn die User-ID aktiviert würde.
Hier vertreten – nicht nur – die Aufsichtsbehörden die Auffassung, dass die schutzwürdigen Interessen des Nutzers die berechtigten Interessen des Webseitenbetreibers im Sinne des Art. 6 I f) DSGVO regelmäßig überwiegen und folglich Art. 6 I f) DSGVO als Rechtsgrundlage nicht greift. In diesen Fällen ist regelmäßig eine Einwilligung im Sinne des Art. 6 I a) DSGVO einzuholen.
Fazit
Unbedingt erforderliche Cookies sind zur Vertragsdurchführung notwendig und können nach Art. 6 I b) DSGVO eingesetzt werden. Einfache Analyse-Cookies bzw. damit verbundene Tools können im Rahmen eines berechtigten Interesses im Sinne von Art. 6 I f) DSGVO verwandt werden. Nur für das konkrete Erstellen von Nutzerprofilen und das geräteübergreifende Tracking ist eine Einwilligung des Nutzers notwendig.
Was bedeutet das nun alles für den Einsatz von Google Analytics?
To put a long story short: Die Warnung der Aufsichtsbehörden aus November 2019 zum Einsatz von Google Analytics sind dann unberechtigt, wenn
- Google Analytics datenminimiert implementiert wird
- ein berechtigtes Interesse auf Seiten des Verantwortlichen besteht und dem keine überwiegenden Interessen der Betroffenen entgegenstehen.
Datenminimierte Implementierung von Google Analytics
Sie müssen Google Analytics wie folgt implementieren, damit Sie Google Analytics weiter auf Basis von Art. 6 I f) nutzen können:
1. Abschluss eines Auftragsverarbeitungsvertrages mit Google Inc.. Wie Sie diesen konkret abschließen können, erläutert Google dezidiert hier. Dabei müssen die folgenden Angaben gemacht werden:
- Den Verantwortlichen (sprich die juristische Person, die für die Datenverarbeitung verantwortlich ist),
- einen primären Kontakt (d.h. eine Person/ein Kontakt, an denen Mitteilungen in Bezug auf die Datenverarbeitungsbedingungen gesendet werden können,
- Datenschutzbeauftragter, wenn und soweit ein solcher zu benennen ist,
- einen EWR-Beauftragten, der nicht in der EU befindliche Unternehmen im Hinblick auf ihre Verpflichtungen gemäß der DSGVO vertritt.
2. Implementierung der Funktion IP-Maskierung („anonymizeIP“), damit das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist;
3. Implementierung des Deaktivierungs-Add-On, mit dem dem Nutzer einer Webseite die Möglichkeit zum Widerspruch (Opt-out) gegen die Erfassung von Nutzungsdaten eingeräumt wird (für alle gängigen Browsern).
4. Implementierung des sg. Disabling Tracking; ein Opt-Out-Cookie, mit dem der User durch einen einfachen Klick das Analytics-Tracking unterbinden kann. Dies ist notwendig, weil das zuvor genannte Deaktivierungs-Add-On mobil nicht funktioniert. Google gibt dazu hier eine Hilfestellung.
5. Keine Aktivierung der User-ID!
6. Unterbinden der Produktverknüpfungen von/durch Google
Google ermöglicht es den Nutzern der Produkte, verschiedene Produkte und Dienstleistungen im Backend von Google miteinander zu verknüpfen, um so die Performance zu erhöhen. So können beispielsweise zentral Google AdSense und Google Analytics gesteuert werden. Wenn Sie Google Analytics auf Basis von Art. 6 I f) DSGVO nutzen möchten, dann sollten sie die Produktverknüpfungen unterbinden. Wie Sie dies machen, erläutert Google hier.
7. Datenfreigabe an Google ausschalten
Google kann Zugriff auf die via Analytics gewonnen Daten nehmen, diese analysieren und Online-Verhalten und Trends besser auswerten. „Diese Informationen werden dann zur Verbesserung von Google-Produkten und -Diensten verwendet. Beispielsweise kann Google so die Tools des Google Ads-Systems optimieren, die Sie zum Erstellen, Verwalten und Analysieren Ihrer Kampagnen nutzen.“ Natürlich lassen diese Möglichkeiten, ebenso wie die Produktverknüpfungen jedes Marketingherz höherschlagen. Doch wenn Sie Google Analytics auf Basis von Art. 6 I f) DSGVO nutzen möchten, dann müssen Sie dies ausschalten. Hier finden Sie dazu Informationen bei Google.
8. Implementierung von Informationen zur Datenverarbeitung (IDV) im Sinne von Art. 12, 13 DSGVO (besser bekannt unter dem Namen: Datenschutzerklärung) im Hinblick auf Google-Analytics.
Na? Ist es Ihnen aufgefallen? Exakt die von den Datenschutzbehörden in den jüngsten Presserklärungen kritisierten Punkte bezüglich der „Weiterentwicklung“ von Google Analytics, nämlich das geräteübergreifende Tracking, und die Übermittlung von Daten zu eigenen Zwecken von Google sowie die Zusammenführung von Daten anderer Dienste sind gar nicht unabdingbar bei der Nutzung von Google Analytics. All diese Datenverarbeitungen können nämlich unterbunden werden.
Wird Google Analytics derart implementiert werden keine Nutzerprofile erhoben und keine Daten außerhalb des Auftragsverhältnisses an Dritte weitergegeben. Es wird nur der Besucherstrom erfasst.
Vor diesem Hintergrund und insoweit ist also die pauschale Aussage der Datenschutzbehörden „Google Analytics kann nur mit Einwilligung genutzt werden“ falsch.
Das berechtigte Interesse des Verantwortlichen
Die datenminimierte Implementierung von Google Analytics reicht allein jedoch nicht aus, um Google Analytics ohne Einwilligung der Nutzer einzusetzen. Es bedarf auch eines berechtigten Interesse des Verantwortlichen, also desjenigen der Google Analytics einsetzt.
Wie oben bereits dargestellt, besteht bei einem Laden- wie einem Webseitenbetreiber ein berechtigtes Interesse an der Analyse des Besucherstrom, um Ausstellflächen optimieren zu können. Eine solche Optimierung liegt im wirtschaftlichen und damit im berechtigten Interesse des Webseitenbetreibers. Und wie ebenfalls bereits dargestellt, ist in einem solchen kein entgegenstehendes Interesse der Nutzer zu erkennen.
Doch Obacht! Die pauschale Behauptung „Wir analysieren den Besucherstrom, um das Angebot zu optimieren“ wird so nicht ausreichen. Sie müssen diese Analysedaten auch tatsächlich nutzen, um ein berechtigtes Interesse nachweisen zu können. Laufen die Daten immer nur im Hintergrund mit und nutzen sie diese (so gut wie) nie, zeigen Sie damit, dass tatsächlich gar kein wirtschaftliches und damit berechtigtes Interesse Ihrerseits vorliegt.
Fazit
Kumulativ muss Google Analytics datenminimiert implementiert bzw. konfiguriert sein und der Verantwortliche muss ein berechtigtes Interesse an der Datenverarbeitung nachweisen können, dann kann der Einsatz von Google Analytics nach derzeitigem Stand ohne Einwilligung auf Grundlage von Art. 6 I f) DSGVO genutzt werden.
Aber was ist mit der Entscheidung aus Belgien?
Richtig, die belgische Datenschutzaufsichtsbehörde hat ein Bußgeld gegenüber einem Webseitenbetreiber in Höhe von 15.000 EUR wegen der Nutzung von Google Analytics verhängt. Die Original-Entscheidung findet sich hier. Ein englisches Abstract hier. Der Fall steht jedoch der vorstehenden Analyse aus den folgenden Gründen nicht entgegen:
Zunächst einmal ist nicht bekannt, wie Google Analytics konfiguriert war. Darüber hinaus muss nach belgischem, nationalen Recht stets eine Einwilligung zum Setzen von Cookies eingeholt werden (so jedenfalls die Aussage von Dataprotect, ich habe mich nicht selbst in die Untiefen des belgischen Rechts begeben).
Die Entscheidung beruhte maßgeblich auf den nachfolgenden vier Erwägungen:
- die zugehörige Information zur Datenverarbeitung war lediglich in Englisch verfügbar, nicht jedoch auf Niederländisch und Französisch, die zwei Amtssprachen Belgiens
- die Nutzung von Cookies erfolgte zunächst ohne Opt-In-Verfahren, es erfolgte also eine Datenverarbeitung durch Tracking Tools ohne aktives Zutun der Nutzer
- zwar wurde dies in einer neueren Webseiten-Version korrigiert, jedoch ohne, dass der Nutzer eine differenzierte Einwilligung (z.B. Ja zu notwendigen, Nein zu optionalen Cookies) setzen konnte
- ein Widerruf der Einwilligung war nicht möglich
Das Gericht hat sich nicht mit der Frage auseinandergesetzt, ob Google Analytics auch unter Art. 6 I f) DSGVO betrieben werden kann. Das musste es aber auch nicht, wenn eben die bestehenden nationalen Regelungen bei jedem Cookie eine Einwilligung erfordern.
Schön und gut. Was bedeutet das jetzt für mich als Webseitenbetreiber?!
Wenn Sie bzw. Ihr Unternehmen eine Webseite betreiben/t und Sie derzeit keine Einwilligung zu einer Analyse bzw. zu einem Tracking von Google Analytics einholen, dann müssen Sie sich jetzt einmal konkret mit der Nutzung dieses Tools und der Konfiguration dieses Tools auseinandersetzen.
Nutzen Sie es wirklich? – Wenn nein, schalten Sie es ab!
Jetzt mal Butter bei die Fische wie man hier im Norden sagt: Nutzen Sie Google Analytics wirklich? Oder ist es irgendwie nur implementiert, weil es damals direkt von Ihrem Webdesigner eingebaut wurde? Wenn Sie es nicht oder nur alle Jubeljahre nutzen, um „mal zu sehen, ob Besucher da sind“, aber nicht, um die Daten tatsächlich zu analysieren, dann schalten Sie es einfach ab.
Nutzen Sie es wirklich? – Ja…,
Wenn Sie Google Analytics nutzen, ist die Frage, wie Sie es nutzen.
…. aber nur um die Besucherströme als solche analysieren zu können.
Benötigen Sie nur einen Überblick über die Besucherströme, um ihr Angebot wie oben beschrieben anpassen zu können? Dann konfigurieren Sie es wie hier beschrieben. In diesem Fall können Sie nach den hiesigen Ausführungen auf eine Einwilligung der Nutzer verzichten.
DISCLAIMER: Bei dieser, meiner Meinung, handelt es nur um eine Rechtsauffassung. Ebenso wie bei der Rechtsauffassung der Datenschutzbehörden. Meines Erachtens liegen die besseren Argumente in den hiesigen Ausführungen. Es kommt im Zweifel jedoch weder auf die Meinung der Datenschutzbehörden noch meine Meinung an, sondern einzig und allein auf die Überzeugung eines im Zweifel den (bzw. ihren) Fall entscheidenden Gerichts. Damit möchte ich sagen, dass selbstverständlich das Risiko besteht, dass eine der vorgenannten Aufsichtsbehörden, die ganz offensichtlich die Auffassung vertreten Google Analytics sei grundsätzlich nur mit Einwilligung zu verwenden, eine Verwarnung aussprechen, eine Untersagung anordnen oder einen Bußgeldbescheid wegen der Verwendung von Google Analytics aussprechen könnte. Es liegt in Ihrer Entscheidung, ob Sie frohen Mutes und Herzens dennoch Google Analytics in Kenntnis dieses Risikos einsetzen möchten und sich im Zweifel auf eine behördliche oder gar gerichtliche Auseinandersetzung einlassen möchten. (Ich würde das nach wie vor zu gerne tun, aber… ich verstehe, wenn Sie meine Freude über datenschutzrechtliche Auseinandersetzungen nach wie vor nicht so teilen…).
Wenn Sie „sicher“ gehen wollen, dann holen Sie die Einwilligung der Nutzer ein. Denken Sie in diesem Fall aber an das Folgende: Sie holen keine wirksame Einwilligung mit einem Cookie-Banner á la „Wenn Sie die Webseite weiter nutzen, stimmen sie zu…“ ein. Das funktioniert nicht. Es muss ein Banner sein, der einen Link zu den Informationen der Datenverarbeitung und die reale Möglichkeit enthält, sich für oder gegen das Setzen der Cookies für die Analyse zu entscheiden.
…. und zwar einschließlich aller Tracking-Möglichkeiten
In diesem Fall nützt es nichts. Sie müssen ohnehin eine Einwilligung der Nutzer einholen. Dabei gilt das eben im Hinblick auf die „Cookie-Banner“ Gesagte. Bei den Informationen zur Datenverarbeitung müssen Sie darauf achten, dass Sie umfassend über die mittels Google Analytics verarbeiteten Daten und auch über Zugriffsmöglichkeiten von Google auf die Daten aufklären.
Gibt es Alternativen?
Na klar. Immer. So wird zum Beispiel eine lokale matomo-Installation (früher Piwik) wegen der mangelnden Übertragung an Dritte prinzipiell als datenschutzkonforme Alternative angesehen.
Das war es auch schon.
Hurra, Sie haben es geschafft! Nach gut 3.700 Wörtern sind Sie am Ende des Artikels angekommen. Vielen Dank für das Durchhalten bis hier her. Ich hoffe, ich habe ein wenig Licht ins Dunkle bringen können.
In diesem Sinne,
weiterhin viel Freude an und mit Ihren Daten-Analysen.