Datenschutz und Google Analytics

Viele Verantwortliche messen trotz Datenschutzbedenken weiterhin den Vorteilen von Google Analytics eine hohe Wichtigkeit zu. Worin bestehen aber noch immer die Datenschutzbedenken und wie vereinbar sind der Datenschutz und Google Analytics? Mehr dazu im Folgenden.

Übrigens: Im Juli 2023 hat Google von Google Analytics auf Google Analytics 4 umgestellt, was u. a. auch technische Änderungen nach sich zieht. Wenn wir im Folgenden also von Google Analytics sprechen, beziehen wir uns auf die aktuellste Version.

Funktionen von Google Analytics

Zusammengefasst ermöglicht Google Analytics es Webseiten-Betreibern, das Verhalten der Webseiten-Besucher zu analysieren, während sie sich auf dessen Seite befinden und sich sonst im Internet bewegen (Tracking). Folglich können Verantwortliche ihre Marketing-Maßnahmen, u. a. mithilfe weiterer Google-Produkte, anpassen.

Datenschutzrechtliche Bedenken

Beim Einsatz von Google Analytics gibt es u. a. ein Problem, welches am häufigsten Erwähnung findet:

Die Drittlandübermittlung

Bei diesem Dienst handelt es sich um ein Angebot von Google LLC. Google hat zwar eine EU-Niederlassung in Irland. Das bedeutet allerdings nicht, dass es nicht zu einer Übermittlung personenbezogener Daten in die USA kommen kann. Google selbst schreibt in seinem Datenschutzhinweis auf der Webseite: „Wir betreiben Server auf der ganzen Welt. Deshalb können Ihre Daten auf Servern verarbeitet werden, die außerhalb des Landes liegen, in dem Sie leben.“ (Link, „Datenübermittlung“). Dabei schreibt der Konzern nicht an sofort lesbarer Stelle, dass personenbezogenen Daten von EU-Bürgern nicht außerhalb der EU verarbeitet werden. Folglich ist davon auszugehen, dass es auch zu einer Übermittlung personenbezogener Daten in die USA, einem unsicheren Drittland, kommen kann.

Hierbei erinnern wir erneut an das Urteil des EuGH vom 16. 07. 2020, in dem der EuGH das EU-US-Privacy Shield für ungültig erklärte. Mehr zu diesem Thema können Sie in diesem Beitrag und hier lesen.

Vorausschauend schafft möglicherweise das Trans-Atlantic Data Privacy Framework Abhilfe. Hierbei handelt es sich um einen Rahmenvertrag aufgrund einer Verordnung des US-Präsidenten Joe Biden. Demnach sollen wohl die Geheimdienstaktivitäten eingeschränkt und EU-Bürgern neue Rechte eingeräumt werden. Bislang fehlt noch die Erklärung der EU-Kommission zur Wirksamkeit des Trans-Atlantic Data Privacy Framework.

Einsatz nur mit Einwilligung

Beim Einsatz von Google Analytics handelt es sich um einen Dienst, der nicht essentiell für den Betrieb einer Webseite ist. Folglich empfehlen wir Verantwortlichen, Google Analytics ausschließlich einzusetzen, sofern sie eine gemäß Art. 7 DSGVO gültige Einwilligung der betroffenen Person eingeholt haben. – Falls Sie mehr zur Gültigkeit einer Einwilligung gemäß der DSGVO erfahren möchten, erfahren Sie mehr in diesem Beitrag. –

Auf so mancher Webseite entdecken wir trotz fehlendem oder unvollständigem Einwilligungsfenster (auch: Cookie-Banner) den Google Analytics-Einsatz. Zu erwähnen ist dabei, dass dies u. a. Abmahnungen, Bußgelder oder auch Schadensersatzansprüche nach sich ziehen kann. Unsere Empfehlung ist, im Einwilligungsfenster den gewünschten Einsatz von Google Analytics anzugeben und dann sicherzustellen, dass es auch technisch entsprechend eingestellt ist, dass Google Analytics dann auch nur bei Nutzereinwilligung aktiviert wird. Des Weiteren ist sicherzustellen, dass Google Analytics nicht auch schon in der Sekunde, in der ein Nutzer die Webseite aufruft, aktiv ist.

Keine Cookies mehr

Nun soll es aus technischer Sicht die Neuerung geben, dass Google Analytics ohne Cookies Tracking-Verfahren ermöglicht.  Leider bedeutet dies nicht, dass es zur Datenminimierung kommt. Fingerprinting kommt zum Einsatz. Das bedeutet, dass der Verantwortliche und in diesem Fall auch Google anhand der Daten, die sie durch Auslesen der Geräte- und Software-Informationen erhalten, Nutzerprofile erstellen können, indem sie u. U. das gesamte Verhalten im Internet erfassen und automatisch analysieren. Es bedeutet also nicht, dass der Einsatz von Cookies zwangsläufig positiv ist, wenn sogleich eine andere Tracking-Technologie, also das Fingerprinting, folgt.

Datenschutzkonformer Einsatz

Inwiefern es technisch tatsächlich umsetzbar ist, Google Analytics datenschutzkonform zu nutzen, hängt wahrscheinlich einerseits von den technischen Gegebenheiten beim Verantwortlichen ab, andererseits aber sicherlich auch davon, inwiefern die Daten nach der datenschutzkonformen Einrichtung von Google Analytics noch in dem gewünschten und möglichen Ausmaß entsprechende Informationen liefert. Die CNIL, die französische Datenschutzaufsichtsbehörde, gab beispielsweise u. a. folgende Maßnahmen für einen datenschutzkonformen Google Analytics-Einsatz vor (Link):

1) Der Verantwortliche muss sicherstellen, dass er keine IP-Adressen an die Google-Server übermittelt. Erreichen kann ein Verantwortlicher dies, indem er einen Server zwischenschaltet.

2) Als weitere Maßnahme dann ersetzt der Verantwortlicher die Nutzeridentifikationsnummer. Das heißt also, er muss eine Pseudonymisierung der personenbezogenen Daten vornehmen, bevor er sie an Google übermittelt.

3) Des Weiteren sind die Informationen zu den Referrer-URL zu entfernen.

4) Weiterführend muss der Verantwortliche jegliche weiteren Parameter entfernen (z. B. UTM, weitere URL-Parameter).

5) Es sind jegliche weiteren Informationen, die eine Re-Identifikation ermöglichen, zu löschen (z. B. User-Agents).

6) Es dürfen keine Informationen mehr vorhanden sein, mithilfe derer ein Fingerprint erstellt werden kann.

7) Ein Verantwortlicher muss jegliche sonstigen gesammelten seitenübergreifenden Identifikationsnummern (z. B. CRM ID, individuelle ID) entfernen.

8) Sind dann noch Informationen übrig, die eine Re-Identifikation ermöglichen, sind diese ebenfalls zu löschen.

Übrigens: Der Server, den der Verantwortliche nutzt, um all diese Informationen zu entfernen, bevor er sie an Google übermittelt, ist natürlich ebenfalls nach für den Datenschutz relevanten Kriterien auszuwählen. Ein Anbieter solcher Server ist beispielsweise unser Mutterunternehmen PBIT Systeme GmbH & Co. KG mit ihrem Rechenzentrum in Deutschland und damit in der EU.

Orientierungshilfen

Der generelle Tenor bei den deutschen Datenschutzaufsichtsbehörden spiegelt die Ansicht wider, dass ein Verantwortlicher Google Analytics ausschließlich mit der Einwilligung der betroffenen Personen einsetzen darf. Diese Aussagen machen u. a. die LDA Rheinland-Pfalz (Link), die LDA Berlin (Link), die LDA Sachsen-Anhalt (Link, Tätigkeitsbericht 2019, Punkt 7.1), . Die LDA Brandenburg geht indirekt auf Google Analytics in ihrem 2022-Tätigkeitsbericht unter Punkt 2 ein (Link).

Urteil

DAS LG Köln urteilte Anfang dieses Jahres ebenfalls, dass bei Diensten wie Google Analytics die Einwilligung einzuholen ist (Az.: 33 O 376/22).

Im Urteil heißt es u. a.: „Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. […] Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 49 Ausnahmen für bestimmte Fälle Rn. 6).

Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an Xandr und Heap informiert worden, was ersichtlich nicht den Empfänger Google LLC erfasst. Dass die Beklagte zum Zeitpunkt der Datenübertragung an Google LLC am 03.01.2023 geänderte Datenschutzhinweise verwendet hat, die den o.g. Anforderungen genügen, ist weder vorgetragen noch sonst ersichtlich. Es ist aber gemäß Art. N01 Abs. 1, 7 Abs. 1 DSGVO an der Beklagten die Wirksamkeitsvoraussetzungen der Einwilligung darzulegen und zu beweisen (vgl. BeckOK DatenschutzR/Stemmer DS-GVO Art. 7 Rn. 89-91.1; Diekmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Auflage 2021, 4. Einwilligung der betroffenen Personen, Anm. 1.-12.). Dies ist für den relevanten Zeitpunkt am 03.01.2023 nicht erfolgt.“

Bußgeld

Ein kürzlich verhängtes Bußgeld von Juni 2023 zeigt, wie streng die Datenschutzaufsichtsbehörden den Einsatz von Google Analytics sehen. Die schwedische Datenschutzaufsichtsbehörde verhängte ein Bußgeld von 12.000.000 Schwedischen Kronen (ungefähr 1.008.000 Euro) gegen ein Unternehmen, welches Google Analytics einsetzte. Dabei implementierte das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen. Als Folge dessen kam es zu einer Übermittlung von personenbezogenen Daten in ein unsicheres Drittland, die USA.

Das Dokument, welches sich mit diesem Fall befasst, finden sie hier (allerdings auf Schwedisch; eine deutsche bzw. englische Version scheint bisher nicht verfügbar zu sein).

Fazit

Beim Einsatz von Google Analytics handelt es sich um nur eine Verarbeitungstätigkeit im Rahmen einer ganzen Reihe von Verarbeitungsprozessen eines Unternehmens, eines Vereins, einer Arztpraxis, einer Behörde etc. Um diesen Dienst datenschutzkonform einzusetzen, ist es wichtig, entsprechende technische und organisatorische Maßnahmen zusätzlich zum Abschluss der Standarddatenschutzklauseln – mehr dazu hier – zu implementieren. Zusätzlich ist natürlich in der Datenschutzinformation darüber zu informieren, das Verzeichnis von Verarbeitungstätigkeiten muss die entsprechenden aktuellen Angaben enthalten und ggf. ist eine Interessenabwägung durchzuführen. Natürlich ist diese zu dokumentieren, um die Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO nicht zu vernachlässigen.

Sie benötigen Unterstützung und Beratung hierzu und zu anderen Themen im Bereich des Datenschutzes? Kontaktieren Sie uns gern.