Überwachung

Zukunft von Google Analytics

Dieser Artikel wurde aktualisiert am 10. Dezember 2020.

Nach dem EuGH-Urteil (ausführliche Besprechung in meinem Blog) vom 16. Juli 2020 zur Ungültigkeit des sog. „Privacy-Shield“ stellen sich viele Webseitenbetreiber die Frage, ob Google Analytics noch rechtssicher auf Webseiten eingesetzt werden kann.

Dieser Artikel beantwortet die Fragen hierzu und gibt einen Überblick über die Handlungsempfehlungen.

Google Analytics – bisheriger Stand

Bis zum Mai 2020 wurde Google Analytics rechtskonform wie folgt eingesetzt, um Webseitenbesucher zu tracken:

  • Mit Google wurde ein „Auftragsverarbeitungsvertrag“ im Google Analytics-Konto elektronisch abgeschlossen
  • Die Speicherdauer der Daten wurde im Google Analytics-Konto auf 14 Monate eingestellt
  • Auf die eigene Website wurde der Codesnippet von Google eingebaut mit Anonymisierung der IP-Adresse
  • In die Datenschutzerklärung wurde ein Absatz zu Google Analytics aufgenommen
  • Auf die eigene Website wurde ein sog. „Cookie-Consent-Tool“ eingebaut, welches Google Analytics anhält, bis der Nutzer freiwillig die Cookies akzeptiert hat
  • Über einen Link muss das sog. „Cookie-Consent-Tool“ wieder aufrufbar sein, damit der Nutzer seine Entscheidung abändern kann, wann er will
  • Nachdem der Nutzer sich gegen Google Analytics entschieden hat, müssen alle ggf. vorhandenen Cookies von Google Analytics gelöscht werden

Bisherige Rechtsprobleme

Zum Stand bis Mai 2020 gab es bereits eine klar geäußerte Rechtsauffassung von den Aufsichtsbehörde. Diese wiesen darauf hin, dass Google die so erhaltenen Daten auch zu eigenen Zwecken verwende und damit gar kein „Auftragsverarbeiter“ mehr sei. Der abgeschlossene „Auftragsverarbeitungsvertrag“ wäre demnach hinfällig. Google sei vielmehr mit dem Webseitenbetreiber als „Gemeinsam Verantwortlicher“ anzusehen. Dies bedeutet, dass die Datenweitergabe an Google nicht mehr durch einen solchen „Auftragsverarbeitungsvertrag“ privilegiert wurde. Im Endeffekt bräuchte man also für die Übertragung zu Google eine wirksame Rechtsgrundlage, z.B. eine Einwilligung des Nutzers.

Datenschutzkonferenz – DSK

Der Beschluss der Datenschutzkonferenz vom 12.05.2020 zum Einsatz von Google Analytics kann hier abgerufen werden.

Die DSK stuft die Daten in Google Analytics ungeachtet einer IP-Adressanonymisierung als personenbezogene Daten ein:

„Die Datenschutzaufsichtsbehörden weisen daher ausdrücklich darauf hin, dass es sich bei den mit Google Analytics verarbeiteten Daten (Nutzungsdaten und sonstige gerätespezifische Daten, die einem bestimmten Nutzer zugeordnet werden können) um personenbezogene Daten i.S.d. DS-GVO handelt.

Die Kürzung der IP-Adresse stellt eine zusätzliche Maßnahme gem. Art. 25 Abs. 1 DS-GVO zum Schutz der Nutzer dar, sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Beim Einsatz von Google Analytics werden neben der IP-Adresse weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu bewerten sind, wie z. B. Identifizierungsmerkmale der einzelnen Nutzer, die auch eine Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben. Aus diesem Grund ist in jedem Fall der Anwendungsbereich der DS-GVO eröffnet, sodass Anwender von Google Analytics auch dann verpflichtet sind, die Anforderungen der DS-GVO zu beachten, wenn sie die Kürzung der IP-Adressen veranlasst haben.

Einstufung der DSK hinsichtlich Auftragsverarbeitung:

Zudem stellt Google in den Nutzungsbedingungen klar, dass Google die Daten für eigene Zwecke, insbesondere auch zum Zweck der Bereitstellung seines Webanalyse- und Trackingdienstes, verarbeite. Gemäß Artikel 28 Abs. 10 DS-GVO handelt es sich bei Google damit nicht mehr um einen Auftragsverarbeiter.

Absage der DSK an die Rechtsgrundlage „berechtigtes Interesse“:

„Der Einsatz von Google Analytics ist in der Regel auch nicht nach Art. 6 Abs. 1 lit. f) DSGVO rechtmäßig. Angesichts der konkreten Datenverarbeitungsschritte beim Einsatz von Google Analytics überwiegen die Interessen, Grundrechte und Grundfreiheiten der Nutzer
regelmäßig die Interessen der Website-Betreiber.


Einzige Möglichkeit: Einwilligung:

„Im Ergebnis ist ein rechtmäßiger Einsatz von Google Analytics in der Regel nur aufgrund einer wirksamen Einwilligung der Webseitenbesuchenden gem. Art. 6 Abs. 1 lit. a), Art. 7 DS-GVO möglich.

Über die hohen Transparenzanforderungen einer Einwilligung informiert der Beschluss der DSK vom 12.05.2020.

Daher war der letzte Stand, dass im sog. „Cookie-Consent-Tool“ nicht nur eine Einwilligung für das Setzen der Google-Cookies eingeholt wurde, sondern man gleichzeitig seine Einwilligung für die Übertragung der Daten zu Google geben sollte. Weil Google Inc. in den USA unter dem „Privacy Shield“ zertifiziert war, galt die Datenübertragung zu Google als sicher.

Was sich am 16.07.2020 änderte

Am 16. Juli 2020 entschied der Europäische Gerichtshof (EuGH), dass das oben genannte „Privacy Shield“ ungültig sei. Als Begründung führte das Gericht die umfassenden staatlichen Überwachungsmaßnahmen in den USA an. Damit sein nicht mehr gewährleistet, dass die Datenübertragung zu einem US-Unternehmen vor staatlicher Überwachung sicher sei.

Dies bedeutet, dass auch die Daten von Google Analytics nicht mehr in die USA übertragen werden können auf Basis des „Privacy Shield“.

EU-Standardvertragsklauseln

Google Ads Data Processing Terms vom 16. August 2020

Google sieht sich selbst als Auftragsverarbeiter (https://support.google.com/analytics/answer/6004245), was meines Erachtens zweifelhaft erscheint. Die deutschen Aufsichtsbehörden stufen Google hinsichtlich des Webtrackings mittels Google Analytics nicht als Auftragsverarbeiter ein, weil sie die Daten auch zu eigenen Zwecken verwenden würden.

Im eigenen Google Analytics Konto findet sich unter „Verwaltung“ / „Kontoeinstellungen“ / „Zusatz zur Datenverarbeitung“ ein aktualisierter Vertrag Google Ads Data Processing Terms (Version 2.1) vom 16. August 2020. Dort wird tatsächlich Bezug genommen auf die EU-Standardvertragsklauseln:

If the storage and/or processing of Customer Personal Data. involves transfers of Customer Personal Data from the EEA, Switzerland or the UK to any third country that is not subject to an adequacy decision under the European Data Protection Legislation:
(a) Customer (as data exporter) will be deemed to have entered into the Model Contract Clauses with Google LLC (as data importer);
(b) the transfers will be subject to the Model Contract Clauses; and
(c) Google will ensure that Google LLC complies with its obligations under such Model Contract Clauses in respect of such transfers.


Zudem sollen auch die Unterauftragnehmer von Google mittels der EU-Standardvertragsklauseln verpflichtet werden:

When engaging any Subprocessor, Google will:
(a) ensure via a written contract that:
(i) the Subprocessor only accesses and uses Customer Personal Data to the extent required to perform the obligations subcontracted to it, and does so in accordance with the Agreement (including these Data Processing Terms) and, if applicable under Section 10.2 (Transfers of Data), the Model Contract Clauses; and
(ii) if the GDPR applies to the processing of Customer Personal Data, the data protection obligations set out in Article 28(3) of the GDPR are imposed on the Subprocessor; and
(b) remain fully liable for all obligations subcontracted to, and all acts and omissions of, the Subprocessor.


Google hat sogar bereits vorgesorgt für den Fall, dass eventuell im Jahre 2021 neue EU-Standardvertragsklauseln veröffentlicht werden und bezieht diese automatisch als Aktualisierung in den Vertrag mit ein:

Google may only change the Model Contract Clauses in accordance with Sections 16.2(b) – 16.2(d) (Changes to Data Processing Terms) or to incorporate any new version of the Model Contract Clauses that may be adopted under the European Data Protection Legislation, in each case in a manner that does not affect the validity of the Model Contract Clauses under the European Data Protection Legislation

Die Datenzentren von Google: www.google.com/about/datacenters/locations/
Die Unterauftragnehmer von Google: privacy.google.com/businesses/subprocessors

Ob der Einsatz von Google Analytics mit den neuen Ads Processing Terms den Anforderungen des Europäischen Gerichtshofs (Urteil „Schrems II“) standhält, muss intensiver untersucht werden. Sollte sich die Auffassung der Aufsichtsbehörden auch bei Gericht durchsetzen, dass Google kein Auftragsverarbeiter ist, sondern eigenständiger Verantwortlicher, nützen die neuen Ads Processing Terms nichts in Bezug auf die notwendigen Garantien für eine sichere Datenübermittlung in ein Drittland. Dann müsste Google einen Vertrag über die „Gemeinsame Verantwortlichkeit“ zur Verfügung stellen. Dies stellt im Moment noch ein großes Risiko dar.

Rechtsanwalt Giel

Google Analytics V. 4

Google arbeitet an seiner Version 4 von Google Analytics, wie die Heise-Redaktion berichtet. Statt Cookies könnte man künftig mit Künstlicher Intelligenz (KI) Nutzerdaten sammeln. Wie Google selbst beschreibt, steht es Webseitenbetreibern wohl jetzt schon offen, eine Analytics 4 Property in die Seiten zu integrieren. Rechtlich gesehen ist eine Änderung der Datenschutzverträge damit wohl nicht verbunden.

Einwilligung des Nutzers?

Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 49 DSGVO ausdrücklich vor, dass unter bestimmten Voraussetzungen auch eine Einwilligung eingeholt werden kann:

... ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a.) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
...

Allerdings wären hier mehrere Voraussetzungen nach dem Gesetz erforderlich, die alle gleichzeitig vorliegen müssen:

  1. die Datenübertragung auf Basis einer Einwilligung dürfte keine Standard-Datenübertragung sein, sondern praktisch eine „Ausnahme“ im Einzelfall. Die Datenübermittlung darf nicht „wiederholt“ werden und nur eine begrenzte Zahl von Personen betreffen. Bereits daran scheitert das grundsätzliche Tracking aller Nutzer auf einer Website.
  2. Vor der Einwilligung müsste der Nutzer wahrheitsgemäß und umfassend unterrichtet werden über die Gefahren einer Datenübertragung in die USA. Dazu müsste der Nutzer mutmaßlich erst einmal mehrere Seiten Aufklärung lesen.
  3. Dann muss der Nutzer „ausdrücklicheinwilligen. Mit dieser sprachlichen Ergänzung will die DSGVO verdeutlichen, dass nicht eine „normale“ Einwilligung reicht, sondern dass diese speziell sein muss, es gibt also höhere Anforderungen. Vermutlich darf die Einwilligung nicht mit anderen Erklärungen und Einwilligungen verbunden werden, es darf auch nichts vorangekreuzt sein und der Nutzer darf auch nicht mittels spezieller Gestaltung von Buttons dazu hingestoßen (sog. „nudging“) werden, einen bestimmten Button (den mit „Alle akzeptieren“) zu klicken.

Nach diesen 3 Punkten wird schnell klar, dass dies rechtskonform nicht zu lösen ist.

Der Einsatz von Google Analytics mit einer Einwilligung des Nutzers ist höchst unsicher und kann anwaltlich nicht empfohlen werden.

Rechtsanwalt Giel

Fazit

Aus anwaltlicher Sicht muss immer der sicherste Weg empfohlen werden. Ein sicherer Weg mit Google Analytics ist derzeit nicht ersichtlich. Wer seine Website rechtssicher und abmahnsicher gestalten möchte, muss zwangsläufig auf den Einsatz von Google Analytics verzichten.

Dabei reicht es nicht aus, den Tracking-Code auf der Website zu löschen. Alle erhobenen Daten im Google Analytics-Konto müssen komplett gelöscht werden.

Alternatives Tracking

Websitebetreiber, die in zulässigem Umfang Webtracking durchführen möchten, können beispielsweise ein selbst-gehostetes Matomo einsetzen. Dieses lässt sich auch ohne Speicherung von Cookies nutzen. In den Einstellungen muss zudem die IP-Adressanonymisierung eingeschaltet werden.

Für WordPress-Nutzer kann „Statify“ interessant sein. Hier werden gar keine IP-Adressen erst erhoben. Das Tool speichert nur Aufrufe, keine konkreten Besucher.

Quellenangabe: Bild von mohamed Hassan auf Pixabay

Nach oben scrollen