Google Analytics und die Auffassungen der Datenschutzaufsichtsbehörden
Datenschutzrecht. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erteilte mittels Beschlusses vom 12.05.2020 neue Hinweise zum Einsatz von Google Analytics auf Websites und beschreibt datenschutzrechtliche Mindestanforderungen, die nach ihrer Auffassung zwingend einzuhalten seien. Dies dürfte jeden Einsatz von Google Analytics betreffen, wenn die derzeitigen Standardeinstellungen (Stand: 11.03.2020) unverändert blieben.
Zusammenfassend äußert die DSK die nachfolgenden Rechtsauffassungen:
- Datenverarbeitung über Google Analytics erfolgt nicht im Rahmen einer Auftragsverarbeitung im Sinne von Artikel 28 Datenschutz-Grundverordnung (DSGVO).
- Google und der Google-.Analytics-Nutzer seien vielmehr gemeinsam Verantwortliche im Sinne von Artikel 26 DSGVO, so dass die Anforderungen des Artikels 26 DSGVO zu erfüllen seien.
- Google Analytics könne in der Regel nicht auf den Rechtsgrund der Vertragserfüllung gestützt werden, vgl. Artikel 6 Absatz 1 Satz 1 b) DSGVO.
- In der Regel könne Google Analytics auch nicht aufgrund berechtigter Interessen eingesetzt werden, vgl. Artikel 6 Absatz 1 Satz 1 f) DSGVO.
- In der Regel könne Google Analytics nur aufgrund einer wirksamen Einwilligung des Websitebesuchers verwendet werden, vgl. Artikel 6 Absatz 1 Satz 1 f), Artikel 7 DSGVO.
Wir berichteten über die jüngere Rechtsprechung des EUGH (auch dort) und BGH, welche die Auffassungen der DSK stützen dürfte.
Hierauf basierend fordert die DSK bei dem Einsatz von Google Analytics konkrete Maßnahmen:
- Einholung einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer
- Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung
- Transparenz
- Kürzung der IP-Adresse
Zu den vorbenannten Punkten enthält der Beschluss des DSK weitere Erläuterungen.
Bereits die Anforderungen aus Artikel 28 DSGVO an eine gemeinsame Verantwortlichkeit und spätestens die Anforderungen an eine wirksame Einwilligung werden Websitebetreiber bei Verwendung von Google Analytics in den Standardeinstellung zur aktiven Suche nach Lösungen zwingen.
Selbstverständlich erklärt aber auch die DSK vorweg, dass ihre Auffassungen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss und der Rechtsprechung des EUGH stehen. Es ist davon auszugehen, dass entsprechend Verfahren in Zukunft auf einzelne Websitebetreiber zukommen werden, die nicht die benannten Maßnahmen ergreifen.
"Google Analytics: Datenschutz Aufsichtsbehörden fordern Maßnahmen der Websitebetreiber"
von Rechtsanwalt Jean Paul Bohne
Die datenschutzrechtlichen Herausforderungen bei der Nutzung von Google Analytics erfordern eine präzise und vorausschauende Herangehensweise, um den Anforderungen der DSGVO gerecht zu werden. Unsere Kanzlei bietet Ihnen umfassende Unterstützung, um Ihre Webanalyse rechtssicher zu gestalten und gleichzeitig die Vorteile von Google Analytics optimal zu nutzen. Ein wesentlicher Aspekt unserer Beratung ist die Prüfung Ihrer aktuellen Google Analytics-Einstellungen. Wir analysieren, ob Ihre Konfiguration den Anforderungen an Datensparsamkeit und Transparenz entspricht, und geben Ihnen konkrete Handlungsempfehlungen, um Schwachstellen zu beheben. Dies umfasst die Überprüfung von Tracking-Codes, die Aktivierung der IP-Anonymisierung und die Sicherstellung, dass keine unzulässigen Datenübermittlungen in Drittländer erfolgen.
Ein weiterer Schwerpunkt ist die Gestaltung von rechtssicheren Einwilligungslösungen. Wir helfen Ihnen, Consent-Management-Systeme zu implementieren, die den Anforderungen der DSGVO entsprechen und Ihren Nutzern eine freiwillige und informierte Einwilligung ermöglichen. Dabei achten wir darauf, dass Ihre Datenschutzerklärung klar und verständlich formuliert ist und alle notwendigen Informationen zur Datenverarbeitung durch Google Analytics enthält.
Die Übermittlung von Daten in die USA bleibt ein kritischer Punkt, insbesondere nach dem Schrems II-Urteil. Wir unterstützen Sie bei der Implementierung von Standardvertragsklauseln und zusätzlichen Schutzmaßnahmen, wie etwa Verschlüsselung oder Pseudonymisierung, um den Datenschutz Ihrer Nutzer zu gewährleisten. Zudem prüfen wir Ihre Verträge mit Google, um sicherzustellen, dass diese den Vorgaben der DSGVO entsprechen und Ihre rechtlichen Pflichten als Verantwortlicher klar geregelt sind.
Im Falle von Prüfungen durch Datenschutzbehörden stehen wir Ihnen als kompetenter Partner zur Seite. Wir bereiten Sie auf Anfragen oder Untersuchungen vor, unterstützen Sie bei der Kommunikation mit den Behörden und vertreten Ihre Interessen, um mögliche Bußgelder oder Auflagen zu minimieren. Unsere Expertise im Datenschutzrecht ermöglicht es uns, auch komplexe Sachverhalte schnell und effizient zu bearbeiten.
Darüber hinaus bieten wir Schulungen für Ihre Mitarbeiter an, um das Bewusstsein für datenschutzrechtliche Anforderungen zu stärken. Dies ist besonders wichtig, wenn Ihre Website oder Ihre Marketingstrategien regelmäßig angepasst werden. Mit unserer Unterstützung können Sie sicherstellen, dass Ihre Prozesse nicht nur rechtlich abgesichert, sondern auch praxistauglich und effizient sind. Kontaktieren Sie uns, um Ihre Website rechtlich abzusichern.