Überwachung

Zukunft von Google Analytics

Nach dem EuGH-Urteil (ausführliche Besprechung in meinem Blog) vom 16. Juli 2020 zur Ungültigkeit des sog. „Privacy-Shield“ stellen sich viele Webseitenbetreiber die Frage, ob Google Analytics noch rechtssicher auf Webseiten eingesetzt werden kann.

Dieser Artikel beantwortet die Fragen hierzu und gibt einen Überblick über die Handlungsempfehlungen.

Google Analytics – bisheriger Stand

Bis zum Mai 2020 wurde Google Analytics rechtskonform wie folgt eingesetzt, um Webseitenbesucher zu tracken:

  • Mit Google wurde ein „Auftragsverarbeitungsvertrag“ im Google Analytics-Konto elektronisch abgeschlossen
  • Die Speicherdauer der Daten wurde im Google Analytics-Konto auf 14 Monate eingestellt
  • Auf die eigene Website wurde der Codesnippet von Google eingebaut mit Anonymisierung der IP-Adresse
  • In die Datenschutzerklärung wurde ein Absatz zu Google Analytics aufgenommen
  • Auf die eigene Website wurde ein sog. „Cookie-Consent-Tool“ eingebaut, welches Google Analytics anhält, bis der Nutzer freiwillig die Cookies akzeptiert hat
  • Über einen Link muss das sog. „Cookie-Consent-Tool“ wieder aufrufbar sein, damit der Nutzer seine Entscheidung abändern kann, wann er will
  • Nachdem der Nutzer sich gegen Google Analytics entschieden hat, müssen alle ggf. vorhandenen Cookies von Google Analytics gelöscht werden

Bisherige Rechtsprobleme

Zum Stand bis Mai 2020 gab es bereits eine klar geäußerte Rechtsauffassung von den Aufsichtsbehörde. Diese wiesen darauf hin, dass Google die so erhaltenen Daten auch zu eigenen Zwecken verwende und damit gar kein „Auftragsverarbeiter“ mehr sei. Der abgeschlossene „Auftragsverarbeitungsvertrag“ wäre demnach hinfällig. Google sei vielmehr mit dem Webseitenbetreiber als „Gemeinsam Verantwortlicher“ anzusehen. Dies bedeutet, dass die Datenweitergabe an Google nicht mehr durch einen solchen „Auftragsverarbeitungsvertrag“ privilegiert wurde. Im Endeffekt bräuchte man also für die Übertragung zu Google eine wirksame Rechtsgrundlage, z.B. eine Einwilligung des Nutzers.

Datenschutzkonferenz – DSK

Der Beschluss der Datenschutzkonferenz vom 12.05.2020 zum Einsatz von Google Analytics kann hier abgerufen werden.

Die DSK stuft die Daten in Google Analytics ungeachtet einer IP-Adressanonymisierung als personenbezogene Daten ein:

„Die Datenschutzaufsichtsbehörden weisen daher ausdrücklich darauf hin, dass es sich bei den mit Google Analytics verarbeiteten Daten (Nutzungsdaten und sonstige gerätespezifische Daten, die einem bestimmten Nutzer zugeordnet werden können) um personenbezogene Daten i.S.d. DS-GVO handelt.

Die Kürzung der IP-Adresse stellt eine zusätzliche Maßnahme gem. Art. 25 Abs. 1 DS-GVO zum Schutz der Nutzer dar, sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Beim Einsatz von Google Analytics werden neben der IP-Adresse weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu bewerten sind, wie z. B. Identifizierungsmerkmale der einzelnen Nutzer, die auch eine Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben. Aus diesem Grund ist in jedem Fall der Anwendungsbereich der DS-GVO eröffnet, sodass Anwender von Google Analytics auch dann verpflichtet sind, die Anforderungen der DS-GVO zu beachten, wenn sie die Kürzung der IP-Adressen veranlasst haben.

Einstufung der DSK hinsichtlich Auftragsverarbeitung:

Zudem stellt Google in den Nutzungsbedingungen klar, dass Google die Daten für eigene Zwecke, insbesondere auch zum Zweck der Bereitstellung seines Webanalyse- und Trackingdienstes, verarbeite. Gemäß Artikel 28 Abs. 10 DS-GVO handelt es sich bei Google damit nicht mehr um einen Auftragsverarbeiter.

Absage der DSK an die Rechtsgrundlage „berechtigtes Interesse“:

„Der Einsatz von Google Analytics ist in der Regel auch nicht nach Art. 6 Abs. 1 lit. f) DSGVO rechtmäßig. Angesichts der konkreten Datenverarbeitungsschritte beim Einsatz von Google Analytics überwiegen die Interessen, Grundrechte und Grundfreiheiten der Nutzer
regelmäßig die Interessen der Website-Betreiber.


Einzige Möglichkeit: Einwilligung:

„Im Ergebnis ist ein rechtmäßiger Einsatz von Google Analytics in der Regel nur aufgrund einer wirksamen Einwilligung der Webseitenbesuchenden gem. Art. 6 Abs. 1 lit. a), Art. 7 DS-GVO möglich.

Über die hohen Transparenzanforderungen einer Einwilligung informiert der Beschluss der DSK vom 12.05.2020.

Daher war der letzte Stand, dass im sog. „Cookie-Consent-Tool“ nicht nur eine Einwilligung für das Setzen der Google-Cookies eingeholt wurde, sondern man gleichzeitig seine Einwilligung für die Übertragung der Daten zu Google geben sollte. Weil Google Inc. in den USA unter dem „Privacy Shield“ zertifiziert war, galt die Datenübertragung zu Google als sicher.

Was sich am 16.07.2020 änderte

Am 16. Juli 2020 entschied der Europäische Gerichtshof (EuGH), dass das oben genannte „Privacy Shield“ ungültig sei. Als Begründung führte das Gericht die umfassenden staatlichen Überwachungsmaßnahmen in den USA an. Damit sein nicht mehr gewährleistet, dass die Datenübertragung zu einem US-Unternehmen vor staatlicher Überwachung sicher sei.

Dies bedeutet, dass auch die Daten von Google Analytics nicht mehr in die USA übertragen werden können auf Basis des „Privacy Shield“.

Alternativen

Zwischen den Juristen werden derzeit alle möglichen Alternativen diskutiert:

Standardvertragsklauseln

Eine mögliche Alternative wäre, mit Google sog. „Standardvertragsklauseln“ abzuschließen. Das ist praktisch ein von der EU vorformulierter Vertrag, woraus sich für den Datenempfänger (hier also Google) hinreichende Pflichten ergeben hinsichtlich des Datenschutzes.

Der EuGH hat ausdrücklich betont, dass diese sog. „Standardvertragsklauseln“ generell noch geeignet sein können, um Datenübertragungen zu außereuropäischen Ländern zu rechtfertigen. Allerdings betonte das Gericht auch, dass bei US-amerikanischen Unternehmen über den Abschluss dieses Vertrags hinaus sichergestellt werden müsste, dass der Vertrag nicht durch die Überwachungsgesetze ausgehebelt werden und sich Google auch an die Inhalt des Vertrags hält.

Im Endeffekt müsste jeder einzelne Verantwortliche (das Unternehmen, das Google Analytics einsetzen möchte) selbst entscheiden, ob die Inhalte eines englisch-sprachigen Vertrags mit Google ausreichend ist, um einen angemessenen europäischen Datenschutz in den USA zu gewährleisten. Dabei muss beachtet werden, dass vermutlich kein Mensch auf der Welt zu 100% weiß, was genau Inhalt der US-Überwachung ist und wie man dem entgegen kann.

Der Einsatz von Google Analytics mit sog. „Standardvertragsklauseln“ ist höchst unsicher und kann anwaltlich nicht empfohlen werden.

Rechtsanwalt Giel

UPDATE vom 04.08.2020

Google teilte seinen Nutzern am 03.08.2020 per E-Mail mit, dass man sich künftig für Datenübertragungen in die USA auf die Standardvertragsklauseln berufe:
„… Google will be moving to Standard Contractual Clauses (SCCs) for transfers of online advertising and measurement personal data out of the Europe Economic Area, Switzerland and the UK.“

Die „Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“ Version 1.4 (Stand 01.01.2020) sind hier zu finden.
Die „Datenverarbeitungsbedingungen zwischen Verantwortlichen für Google Werbeprodukte“ Version 1.3 (Stand 01.01.2020) sind hier abrufbar.

Diese Dokumente würden zum 12.08.2020 aktualisiert. Hier muss man die Updates abwarten und prüfen, ob diese auch für Google Analytics gelten. Dann kann man nähere Empfehlungen aussprechen.

UPDATE vom 12.08.2020

Die Dokumente wurden bislang von Google nicht aktualisiert, sondern nur die Bedingungen für die Google Cloud und die G Suite. Es verbleibt also bei den oben genannten Verträgen.

Einwilligung des Nutzers

Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 49 DSGVO ausdrücklich vor, dass unter bestimmten Voraussetzungen auch eine Einwilligung eingeholt werden kann:

... ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a.) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
...

Allerdings wären hier mehrere Voraussetzungen nach dem Gesetz erforderlich, die alle gleichzeitig vorliegen müssen:

  1. die Datenübertragung auf Basis einer Einwilligung dürfte keine Standard-Datenübertragung sein, sondern praktisch eine „Ausnahme“ im Einzelfall. Die Datenübermittlung darf nicht „wiederholt“ werden und nur eine begrenzte Zahl von Personen betreffen. Bereits daran scheitert das grundsätzliche Tracking aller Nutzer auf einer Website.
  2. Vor der Einwilligung müsste der Nutzer wahrheitsgemäß und umfassend unterrichtet werden über die Gefahren einer Datenübertragung in die USA. Dazu müsste der Nutzer mutmaßlich erst einmal mehrere Seiten Aufklärung lesen.
  3. Dann muss der Nutzer „ausdrücklicheinwilligen. Mit dieser sprachlichen Ergänzung will die DSGVO verdeutlichen, dass nicht eine „normale“ Einwilligung reicht, sondern dass diese speziell sein muss, es gibt also höhere Anforderungen. Vermutlich darf die Einwilligung nicht mit anderen Erklärungen und Einwilligungen verbunden werden, es darf auch nichts vorangekreuzt sein und der Nutzer darf auch nicht mittels spezieller Gestaltung von Buttons dazu hingestoßen (sog. „nudging“) werden, einen bestimmten Button (den mit „Alle akzeptieren“) zu klicken.

Nach diesen 3 Punkten wird schnell klar, dass dies rechtskonform nicht zu lösen ist.

Der Einsatz von Google Analytics mit einer Einwilligung des Nutzers ist höchst unsicher und kann anwaltlich nicht empfohlen werden.

Rechtsanwalt Giel

Fazit

Aus anwaltlicher Sicht muss immer der sicherste Weg empfohlen werden. Ein sicherer Weg mit Google Analytics ist derzeit nicht ersichtlich. Wer seine Website rechtssicher und abmahnsicher gestalten möchte, muss zwangsläufig auf den Einsatz von Google Analytics verzichten.

Dabei reicht es nicht aus, den Tracking-Code auf der Website zu löschen. Alle erhobenen Daten im Google Analytics-Konto müssen komplett gelöscht werden.

Alternatives Tracking

Websitebetreiber, die in zulässigem Umfang Webtracking durchführen möchten, können beispielsweise ein selbst-gehostetes Matomo einsetzen. Dieses lässt sich auch ohne Speicherung von Cookies nutzen. In den Einstellungen muss zudem die IP-Adressanonymisierung eingeschaltet werden.

Für WordPress-Nutzer kann „Statify“ interessant sein. Hier werden gar keine IP-Adressen erst erhoben. Das Tool speichert nur Aufrufe, keine konkreten Besucher.

Quellenangabe: Bild von mohamed Hassan auf Pixabay

Scroll to Top