Google Analytics datenschutzkonform einsetzen: aktuelle Hinweise der Aufsichtsbehörden

Eine Frage, die uns von Website-Betreibern immer wieder gestellt wird, ist die nach dem rechtskonformen Einsatz des beliebten Webanalyse-Tools „Google Analytics“. Wie stellt man das Tool korrekt ein? Brauche ich eine Einwilligung meiner Besucher? Handelt es sich um eine Auftragsverarbeitung? Solche Fragen sind Dauerbrenner in unserer Beratungspraxis.

Dass bei Google Analytics (GA) eine erhebliche Rechtsunsicherheit seitens der User besteht, ist auch den Aufsichtsbehörden bekannt, weshalb sie in der Vergangenheit immer wieder Hinweise zum datenschutzgerechten Einsatz machten. Zuletzt gaben sie in einer konzentrierten Aktion im November 2019 eine gemeinsame Pressemitteilung heraus, in der sie darauf hinwiesen, dass der Einsatz von GA in Zukunft nur noch auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO möglich sei. Da diese Pressemitteilung allerdings nicht sonderliche viele Anwendungshinweise enthielt, haben die Aufsichtsbehörden im Mai 2020 über die Datenschutzkonferenz (DSK) nachgelegt und „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ veröffentlicht.

Bemerkenswert ist dabei schon der folgende Umstand: Die DSK macht gleich zu Beginn des Textes klar, dass alle Angaben „unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss und der Rechtsprechung des EuGH“ stünden. Das am 12. Mai 2020 schon absehbare und am 28. Mai 2020 ergangene Urteil des Bundesgerichtshofs in der Rechtssache „Planet49“ (Az. I ZR 7/16, wir berichteten), das unmittelbar auch Einfluss auf den Einsatz von Cookies zu Werbe- und Analysezwecken hat, ignorieren die Aufsichtsbehörden dabei. Jeder Leser der Behörden-Hinweise zu Google Analytics sollte also im Auge behalten, dass diese Hinweise vor dem BGH-Urteil verfasst wurden und somit die maßgeblichen Erwägungen des Bundesgerichtshofs nicht berücksichtigen. Warum man hier nicht noch knapp zwei Wochen abwarten konnte, ist unklar.

Noch einen weiteren Hinweis fügt die DSK am Anfang des Textes ein: Ihre Ausführungen seien als eine Ergänzung der bestehenden Orientierungshilfe für Anbieter von Telemedien zu verstehen und keine Empfehlung zum Einsatz von GA, sondern nur eine Beschreibung der datenschutzrechtlichen Mindestanforderungen. Im Übrigen fänden die Hinweise keine Anwendung, wenn der Nutzer von den empfohlenen Standardeinstellungen abweicht oder Google Analytics 360 verwendet. An dieser Stelle eine Hilfestellung von uns: Mit den „empfohlenen Standardeinstellungen“ meint die DSK die im folgenden Screenshot dargestellten vier Ankreuzfelder, die bei der Anmeldung für GA standardmäßig aktiviert sind und eine Datenfreigabe an Google enthalten.

Screenshot: Anmeldemaske von Google Analytics, abrufbar unter https://analytics.google.com/analytics/web/provision/#/provision/create.

Werden diese vier Kästchen deaktiviert, finden die rechtlichen Bewertungen der DSK und die darauf basierenden Hinweise keine Anwendung. Warum Sie diese vier Kästchen auch gerade deshalb deaktivieren sollten, erklären wir weiter unten.

Nach dieser ganzen Vorrede nun zu den inhaltlichen Aussagen des DSK-Papiers:

Rechtsverhältnis zwischen Nutzer und Google

Als erstes stellt die DSK fest, dass es sich beim Verhältnis zwischen dem Anwender und Google nicht um ein Auftragsverarbeitungsverhältnis im Sinne von Art. 28 DSGVO handelt. Ein solches läge schließlich nur vor, wenn der Nutzer die Zwecke und Mittel der Verarbeitung selbst bestimmen und Google die Daten allein auf Weisung des Nutzers verarbeiten würde. Dies sei aber bei GA nicht der Fall. Vielmehr würden die Zwecke und Mittel (teilweise) allein von Google vorgegeben. Zwar biete Google einen Auftragsverarbeitungsvertrag (AVV) für GA an, gleichzeitig sei nach den Standardeinstellungen aber der Abschluss eines Controller-to-Controller-Vertrags erforderlich, da Google für bestimmte Verarbeitungsvorgänge selbst davon ausgeht, eigenständiger Verantwortlicher zu sein [Anmerkung: Laut Google wird ein solcher Controller-to-Controller-Vertrag abgeschlossen, wenn das Kästchen „Google-Produkte und -Dienste“ oben im Screenshot aktiviert ist]. Ein solcher Wechsel zwischen der Stellung als Verantwortlicher und Auftragsverarbeiter sei aber nicht möglich, da die fragliche Datenverarbeitung einen einheitlichen Lebensvorgang darstellen würde.

Die Folge: Nach Ansicht der DSK ist die Rechtsbeziehung zwischen Google und dem Nutzer als gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO zu klassifizieren. Es müsste daher eigentlich ein entsprechender Vertrag zwischen Google und dem Nutzer abgeschlossen werden, den Google allerdings derzeit nicht anbietet. Auf diesen Umstand geht die DSK nicht ein.

Rechtsgrundlage

Die DSK geht davon aus, dass GA „in der Regel“ nur mit einer Einwilligung des Nutzers nach Art. 6 Abs. 1 lit. a DSGVO genutzt werden könne. Ein Einsatz auf Basis berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO scheide dagegen regelmäßig aus, da die Interessen der Websitebesucher die der Websitebetreiber überwiegen würden. Die DSK dazu:

„Insbesondere rechnet der Nutzer vernünftigerweise nicht damit, dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden.“

An dieser Stelle wird besonders deutlich, dass die DSK ihre Hinweise vor Verkündung des BGH-Urteils in der Rechtssache „Planet49“ veröffentlichte. Die DSK geht hier – wie schon in ihrer Orientierungshilfe Telemedien (S. 2-6) – offenbar davon aus, dass eine richtlinienkonforme Auslegung des § 15 Abs. 3 S. 1 TMG nicht möglich und die Norm daher nicht anwendbar sei. Ein anderes Verständnis deutet hingegen die Pressemitteilung des Bundesgerichtshofs an. Danach scheint der BGH der Ansicht zu sein, dass § 15 Abs. 3 S. 1 TMG sehr wohl richtlinienkonform auslegbar und damit anwendbar sei. Dies hätte Auswirkungen auf die Frage, ob ein Rückgriff auf die Rechtsgrundlagen der DSGVO überhaupt erforderlich ist.

Zusätzlich ist nochmals anzumerken, dass diese Rechtsauffassung der DSK immer nur für den Fall gilt, dass die oben beschriebenen Standardeinstellungen gewählt werden und sämtliche Datenfreigabeoptionen aktiviert sind.

Die Folge: Die DSK hat ihre Rechnung ohne den Bundesgerichtshof gemacht. Ob ihre Einschätzung von Mitte Mai auch weiterhin haltbar ist, wird sich hoffentlich zeigen, wenn die Urteilsgründe des BGH zur Rechtssache „Planet49“ veröffentlicht sind. Unsere Vorschläge zum weiteren Vorgehen lesen Sie unten.

Von der DSK empfohlene Maßnahmen

Die DSK listet (relativ untypisch für sie) einige halbwegs konkrete Maßnahmen auf, die bei der Einholung der Einwilligung berücksichtigt werden müssen.

„Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.

In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.

Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die Einwilligung nicht freiwillig und damit unwirksam ist.“

Auch einige Gestaltungshinweise werden gegeben:

Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“.

Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.

Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.

Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.“

Darüber hinaus muss der Websitebetreiber eine dauerhaft verfügbare Widerrufsmöglichkeit implementieren, beispielsweise in Form einer Schalftfläche. Der bloße Hinweis auf das von Google bereitgestellte Browser-Add-On zur Deaktivierung von GA reiche nicht aus (insbesondere weil das Add-On nicht für Apps greife). Zusätzlich muss in der Datenschutzerklärung die Verwendung von GA transparent und umfassend beschrieben werden. Schließlich muss die die Funktion „anonymizeIp()“ zur Kürzung der erfassten IP-Adressen aktiviert werden.

Bewertung der Hinweise der DSK

In den Dschungel der Anforderungen an einen rechtskonformen Einsatz von Google Analytics versucht die DSK mit ihren Hinweisen etwas Licht zu bringen. Leider gelingt dies nur zu einem sehr geringen Teil. Größte Kritikpunkte an dem Papier sind, dass zum einen nicht erklärt wird, wie die Behörden die Situation sehen, wenn die oben im Screenshot aktivierten Punkte zur Datenfreigabe vom Nutzer deaktiviert werden und zum anderen, dass das BGH-Urteil „Planet49“ nicht abgewartet wurde.

Aufgrund dieser Kritikpunkte bleiben weiterhin viele Fragen offen:

  • Wie bewertet die DSK die Situation, wenn die oben im Screenshot aktivierten Punkte zur Datenfreigabe, die standardmäßig aktiviert sind, vom Nutzer deaktiviert werden? Liegt dann wieder eine Auftragsverarbeitung vor?
  • Wenn die DSK davon ausgeht, dass unter den Standardeinstellungen eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt: Wie sollen Websitebetreiber GA rechtskonform nutzen, wenn ein solcher Vertrag von Google derzeit nicht angeboten wird?
  • Wie sieht die rechtliche Bewertung zur Frage der Einwilligung nach dem Urteil des Bundesgerichtshofs nun aus? Geht die DSK weiterhin davon aus, dass eine Einwilligung grundsätzlich erforderlich aber ein Einsatz auf Basis von Art. 6 Abs. 1 lit. f DSGVO prinzipiell möglich ist – zum Beispiel wenn die Datenfreigabe vom Nutzer deaktiviert wurde?

Unser Rat

Die Stellungnahme der DSK hat keine eigene Rechtswirkung, sondern spiegelt nur die Auffassung der Aufsichtsbehörden zur Auslegung der DSGVO wider. Ob diese Auffassung richtig ist, müssen letztlich die Gerichte entscheiden. Im Fall von GA ist die Situation zudem insofern besonders, als dass nach Veröffentlichung der Hinweise der DSK noch der Bundesgerichtshof entschieden hat und unklar ist, wie die Behörden mit dieser Entscheidung umgehen werden.

Unter diesen Voraussetzungen sollten Nutzer von GA sich auf drei wesentliche Punkte konzentrieren:

  1. Rechtsverhältnis: Wenn sie sich entscheiden, die Standardeinstellungen zur Datenfreigabe an Google beizubehalten, besteht zwischen Ihnen und Google höchstwahrscheinlich eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Den dafür erforderlichen Vertrag bietet Google derzeit nicht an, so dass GA unter diesen Voraussetzungen nicht guten Gewissens eingesetzt werden kann. Wir empfehlen daher, in jedem Fall sämtliche Datenfreigaben zu deaktivieren. Ob dann automatisch ein Auftragsverarbeitungsverhältnis besteht, wie von Google angenommen, wird von den Behörden nicht erörtert. Sofern Sie hierzu eine rechtliche Einschätzung benötigen, kontaktieren Sie uns gern.
  2. Rechtsgrundlage für den Einsatz von GA: Ob tatsächlich in jedem Fall eine Einwilligung des Nutzers beim Einsatz von GA eingeholt werden muss, insbesondere bei deaktivierter Datenfreigabe, kann nach wie vor kaum verlässlich gesagt werden. Wir hoffen, dass die Urteilsgründe des BGH in Sachen „Planet49“ mehr Klarheit bringen werden. Wir beraten Sie gern, wie Sie in der Übergangszeit am besten vorgehen sollten.
  3. Gestaltung der Einwilligung: Sofern Sie auf Nummer sicher gehen und eine Einwilligung einholen möchten, sollten Sie die Gestaltungshinweise der DSK beachten. Sehr interessant ist dabei, dass der Websitebetreiber in der Einwilligungserklärung grundsätzlich darüber aufklären muss, was genau mit den Daten passiert. Mit anderen Worten muss darüber aufgeklärt werden, was genau Google mit den Daten anstellt. Das ist mit den von Google bereitgestellten Informationen aber kaum möglich. Der DSK reicht es hier aber offenbar aus, dass auf diesen Umstand hingewiesen wird, wenn sie ausführt:
    In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. […] Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.“