Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Tag

Google Analytics

Die CNIL, die französische Aufsichtsbehörde, hat sich am 7.6.2022 noch einmal zu Google Analytics und der Datenübertragung in Drittstaaten geäußert. Ja, 7.6., es ist mir aber erst heute durch den ZD-Newsletter aufgefallen. (Danke dafür!)

In ihrem Beitrag legt die CNIL dar, dass sie mehrere Beschwerden zur Nutzung von Google Analytics auf Webseiten französischer Unternehmen auf dem Tisch hatte. Sie habe das geprüft und sei der Ansicht, dass die “Verwendung von Google Analytics in der derzeitigen Form zu unzureichend geregelten Übermittlungen in die USA führe”.  Dabei lässt die CNIL leider offen, was “die derzeitige Form” war, ob es also um Google Analytics 4 (aktuelle Version, die IP-Adresse wird nicht in Analytics erfasst) oder um die ältere Fassung, Universal Analytics ging, bei der man selbst entscheiden muss, ob die IP-Adresse anonymisiert wird. Ist aber auch nicht weiter wichtig, denn: Alles schlimm mit der Übertragung der IP-Adresse in einen Drittstaat.

Den ganzen Artikel lesen.

Vor gut sechs Wochen hatten die Aufsichtsbehörden von Berlin, Brandenburg, Hamburg, Hessen, Niedersachsen, NRW, Rheinland-Pfalz, Saarland, Sachsen, Schleswig-Holstein, Thüringen, Bayern und der Bundesbeauftragte für Datenschutz und Informationsfreiheit eine inhaltlich übereinstimmende Presseerklärung zum Einsatz von Tracking Tools, insbesondere zu Google Analytics herausgegeben (die einzelnen Pressemitteilungen finden Sie hinter den Links).

In den Presserklärungen, wie der Presserklärung aus Hamburg, heißt es sinngemäß

  • Google Analytics dürfe nicht mehr ohne Einwilligung verwendet werden
  • Google habe das Produkt derart weiterentwickelt, dass alte Hinweise wie „Hinweise des HmbBfDI zum Einsatz von Google Analytics“ inzwischen veraltet seien und sich darauf nicht mehr gestützt werden könne
  • Google habe sich einräumen lassen, die Daten auch zu eigenen Zwecken zu verwenden, d.h. Daten zum Surfverhalten würden auch an Dritte weitergegeben werden, die sei ohne Einwilligung unzulässig
  • in Folge der Übermittlung der Daten an Dritte zu eigenen Zwecken und damit außerhalb einer Auftragsverarbeitung, so das BayLDA, reiche auch die von Google angebotene IP-Maskierung nicht aus, um den Dienst rechtskonform zu betreiben.

An den Presserklärungen der vorgenannten Aufsichtsbehörden ist zweierlei bemerkenswert.

Zum einen scheint es so, dass sich unter den deutschen Aufsichtsbehörden offensichtlich kein Konsens zum Thema „Google Analytics nur mit Einwilligung“ finden ließ. Denn wäre dies der Fall gewesen, hätte es wohl eine gemeinsame Veröffentlichung zum Thema über die Datenschutzkonferenz gegeben.

Zum anderen negieren die mit den Presseerklärungen verbreiteten Auffassungen der Behörden, die Tatsachen, dass es unterschiedliche, datenschutzrelevante, Formen der Analyse und des Trackings gibt sowie dass insbesondere Google in seinem Produkt Universal Analytics (wie es seit knapp 2 Jahren eigentlich heißt) zahlreiche Einstellungsmöglichkeiten im Hinblick auf datenschutzrelevante Tracking- bzw. Analyseformen vorsieht. Ein Defizit, dass diese Presseerklärungen mit den bisherigen Positionsbestimmungen und sonstigen Papieren der Datenschutzkonferenz – leider – teilen (dazu so gleich noch mehr).

Diese mangelnde Differenzierung führt dazu, dass die mit dem Titel dieses Beitrags aufgeworfene Frage „Warnen die Aufsichtsbehörden zu Recht vor dem Einsatz von Google Analytics ohne Einwilligung?“ in aller Kürze nur mit der klassischen Juristenantwort: „Es kommt darauf an!“ beantwortet werden kann. Auch wenn diese Juristen-Antwort sehr verhasst ist, trifft sie im Hinblick auf die Frage, ob Google Analytics nur noch mit einer Einwilligung der Nutzer oder aber doch noch aufgrund von berechtigter Interessen im Sinne von Art. 6 I f) DSGVO verwendet werden kann, den Kern der Sache.

Um leichter verstehen zu können, warum die Antwort „Es kommt darauf an“ lautet und warum (fast) überall zu lesen ist, dass Google Analytics nur noch mit einer Einwilligung zu verwenden sei, begeben wir uns zunächst noch einmal in die jüngere Vergangenheit. Im Anschluss wenden wir uns dem aktuellen Diskussionsstand zu und lösen auf, worauf es denn nun bei der Implementierung von Google Analytics ankommt. Last but not least, sehen wir uns einmal die Entscheidung der belgischen Aufsichtsbehörde an, die ein Bußgeld in Höhe von 15.000 EUR wegen der Nutzung von Google Analytics verhängt hat.

Den ganzen Artikel lesen.

Die Geltung der DSGVO steht unmittelbar bevor. Und mit Hochdruck arbeiten mehr und mehr Unternehmen daran, im Hinblick auf die DSGVO compliant zu werden. Unternehmen, die erst vor kurzem anfingen, sich mit der Thematik zu beschäftigen, finden keine kompetenten Berater mehr. Denn die sind – wie auch wir in der Kanzlei – bereits über alle Kapazitäten hinaus ausgelastet. (Ein Grund dafür, dass der Blog in schönster Regelmäßigkeit schweigt – so gern ich bloggen würde und so viele Themen auch im Kopf sind).

Besser wird es auch nicht dadurch, dass in Sachen DSGVO immer wieder Säue durchs Dorf und Panik wegen diesem oder jenem ausgerufen wird. (Darauf kann ich jetzt im Einzelnen nicht eingehen, nur soviel: Nein, wir werden nicht alle sterben.)

In der letzten Woche trieb dann aber ein Thema ganz besonders der Digital-Branche den Schweiß auf die Stirn und die Wut ins Gesicht: Das neue (in Teilen herzlich unausgereifte) Positionspapier der DSK (Datenschutzkonferenz) zum Tracking. Genau genommen die

„Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 – Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“

Dazu möchte ich schlicht auf zwei Kommentare von zwei geschätzten Kollegen verweisen:

Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten – von Stephan Hansen-Oest

Tracking nur noch mit Einwilligung! Was ist dran am Beschluss der Datenschutzkonferenz? – von Dr. Martin Schirmbacher

tl;dr Beide arbeiten sehr schön die Schwächen des DSK-Papiers im Hinblick auf das Tracking (was soll das überhaupt sein!?) und das dünne dogmatische Eis, auf dem hier pauschal die Einwilligung gefordert wird, heraus. Beide stellen – zu recht – heraus, dass die DSGVO entgegen dem Postionspapier die Möglichkeit des „Tracking“ bzw. das Erstellen von Nutzerprofilen auf Basis von Art. 6 I f) DSGVO erfolgen kann, wenn berechtigte Interessen des Unternehmens vorliegen und keine überwiegenden Interessen des Betroffenen entgegenstehen – es kommt wie so oft auf den Einzelfall an und darauf, was erfasst wird. Die pauschale Aussage der DSK, es seien Einwilligungen zu fordern, ist jedenfalls… schwierig, um es mal ganz freundlich zu sagen.

Übrigens, der Kollege Hansen-Oest hält daneben mit einer Kritik gegenüber den Aufsichtsbehörden nicht hinter dem Berg, die ich – leider! – in sehr großen Teilen auch aus meiner Praxis heraus für berechtigt halte. Hansen-Oest kritisiert einerseits, dass in den Aufsichtsbehörden oftmals überhaupt keine praktischen Kenntnisse in Bezug auf die Funktionen von Datenverarbeitungen bestehen, teilweise noch nicht einmal bewusst ist, dass dieses oder jenes „ein Praxisproblem“ ist oder werden kann. Auch ich finde, dass dies einem Behördenmitarbeiter, der nur die dogmatische Theorie aus Universitätslehre und Doktorarbeit kennt, bis er seinen Dienst antrat, kaum anzulasten ist. Wohl aber, die mangelnde Bereitschaft, sich auf die Praxis und die dortigen Probleme einzulassen (was aber auch nicht zwingend Fehler des einzelnen Mitarbeiter ist…). Anderseits trifft man auch bei Behördenmitarbeitern immer wieder auf, nun ja, juristische Antworten, bei denen man nicht weiß, ob man lachen oder weinen soll, weil so deutlich wird, dass der- oder diejenige besser einfach gesagt hätte „Wir wissen es doch auch (noch) nicht“ – anstatt etwas zu schreiben, was so löchrig wie eine alte Socke ist. Nein, das ist kein Behördenmitarbeiter-Bashing. Es sind einfach nur Beobachtungen aus der Praxis, die bei mir als Rechtsberaterin in Sachen DSGVO die Frage aufwerfen, wie das denn so werden soll, mit dem Beratungsauftrag der Behörden… Last but not least, um das klar und richtig zu stellen: Auch in den Aufsichtsbehörden sitzen hoch engagierte Kollegen, mit denen jeder Austausch ein Gewinn ist.

Uff, so viel wollte ich dazu doch gar nicht schreiben, aber es musste wohl mal raus. Nun aber zum eigentlichen Thema:

Der rechtskonforme Einsatz von Universal Analytics (Google Analytics) unter der DSGVO

Den ganzen Artikel lesen.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.