Die Datenschutzkonferenz (DSK) hat sich in einem aktuellen Grundsatzpapier zum Einsatz von Google Analytics auf Webseiten geäußert. Das Dokument kann hier heruntergeladen werden.
Die DSK ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Die Stellungnahmen haben keinen verbindlichen Rechtscharakter, offenbaren aber, in welche Richtung die Behörden die DSGVO auslegen werden. Ob die Interpretation dann richtig oder falsch ist, werden die Gerichte entscheiden.
Zuerst die gute Nachricht: Nach Meinung der DSK ist Google Analytics rechtskonform einsetzbar.
Wie immer gibt es aber neben einer guten auch eine schlechte Nachricht. Und die lautet hier: Die Aussage ist theoretisch, rein theoretisch.
Die DSK ist nämlich der Ansicht, dass als Rechtsgrund nur die Einwilligung in Betracht kommt. Insbesondere könne der Betrieb nicht auf die berechtigten Interessen nach Art. 6 Abs. 1 f) DSGVO gestützt werden:
"Der Einsatz von Google Analytics ist in der Regel auch nicht nach Art. 6 Abs. 1 lit. f) DSGVO rechtmäßig.
Angesichts der konkreten Datenverarbeitungsschritte beim Einsatz von Google Analytics überwiegen die Interessen, Grundrechte und Grundfreiheiten der Nutzer regelmäßig die Interessen der Website-Betreiber. Insbesondere rechnet der Nutzer vernünftigerweise nicht damit, dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden.
Dies geht weit über das hinaus, was im Rahmen des Art. 6 Abs. 1 lit. f) DS-GVO zulässig ist. Die Situation weicht insoweit erheblich von dem Fall einer Statistik-Funktion auf der eigenen Website oder mittels Auftragsverarbeitung ab."
Als Rechtfertigung bleibt somit nur die Einwilligung übrig. Hierzu stellt die DSK gewisse Mindestvoraussetzungen auf:
"- Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.
- In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.
- Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.
- Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die Einwilligung nicht freiwillig und damit unwirksam ist."
Hinsichtlich der konkreten Umsetzung gibt die DSK dann auch konkrete Gestaltungshinweise:
"- Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die 5 Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“.
- Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
- Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.
- Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden."
Darüber hinaus führt die DSK aus, dass auf jeder Seite eine technische Opt-Out-Möglichkeit bereitgestellt werden müsse. Der Verweis auf ein Browser-Add-On zur Deaktivierung von Google Analytics sei nicht ausreichend.
Anmerkung von RA Dr. Bahr:
Rein theoretisch ist nach Meinung der DSK somit Google Analytics auf Webseiten einsetzbar.
In der Praxis scheitert dies aber an einer ausreichend transparenten Einwilligungserklärung. Denn wie will der Seitenbetreiber über die Datenverarbeitungsvorgänge bei Google aufklären, wenn er selbst keine tiefergehenden Informationen dazu hat?
Wer weiterhin Google Analytics in der Praxis einsetzen will, dem sei dringend angeraten, seine Ausgestaltung zumindest an die aktuellen Anforderungen der DSK anzupassen. Ein Schwerpunkt der Neugestaltung wird dabei auf der notwendigen Transparenz der Einwilligung liegen. Insbesondere diese Passage muss eingehalten werden:
"Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden."
Unklar ist auch, ob aus Sicht der DSK die Einwilligung mittels eines Consent Management-Tools eingeholt werden kann, d.h. parallel zusammen mit anderen Einwilligungen.
Ein Blick auf die jahrzehntelange Rechtsprechung zur Bestimmtheit von Einwilligungen im Telefon- und E-Mail-Marketing spricht ganz klar gegen diese Möglichkeit.