Datenschutz

Datenschutz: Google Analytics am Ende?

19.11.2019

IITR Information[IITR – 19.11.19] Die Datenschutz-Aufsichtsbehörden in Deutschland haben ihre Linie bestärkt, dass Google Analytics auch mit IP-Anonymisierung der vorherigen Zustimmung der Webseiten-Besucher bedarf. Doch was nützt ein Werkzeug zur Analyse der Besucherzahlen, wenn nicht alle Besucher zustimmen? Wir erläutern die Rahmenbedingungen und zeigen Alternativen auf.

Historie: Dezember 2009

Der Streit um Google Analytics ist nicht neu. Bereits vor 10 Jahren war Streit um das Google-Werkzeug zur Messung der Benutzeraktivitäten von Webseiten-Besuchern entstanden. Am 4.12.2009 hatten wir daher die Empfehlung ausgesprochen, Google Analytics vorerst abzuschalten. Google hatte im Gespräch mit den Behörden später nachgebessert und die Zusatz-Möglichkeit der „IP-Anonymisierung“ geschaffen, in der Folge Google Analytics dann wieder vertretbar eingesetzt werden konnte.

April 2018: Positionierung der deutschen Aufsichtsbehörden

Im April 2018 (also einen Monat von Geltung der DSGVO) hatten die deutschen Aufsichtsbehörden in einem Positionspapier erklärt, dass aus ihrer Sicht bei den meisten Tracking-Tools ein Rückgriff auf das „berechtigte Interesse“ aus ihrer Sicht nicht zulässig sein werde. Ohne Google Analytics in diesem Papier explizit zu erwähnen gingen viele Behörden davon aus, dass Google Analytics (auch mit IP-Anonymisierung) der vorherigen Einwilligung der Webseiten-Besucher bedürfte.

Winter 2018: Rückzug oder Durchsetzung?

Diese Position wurde allerdings in 2018 nicht durchgesetzt (wohl auch weil Unternehmen wie Behörden mit der DSGVO-Einführung im Übrigen mehr als ausgelastet waren). Im Herbst 2018 betonte der Präsident des bayerischen Landesamtes für Datenschutz-Aufsicht, Herr Thomas Kranig, dass man die Position nun durchzusetzen gedenke, um glaubwürdig zu bleiben.

Februar 2019: Überprüfungen beginnen

Daher wurden im Frühjahr diesen Jahres durch das bayerische Landesamt für Datenschutz-Aufsicht 40 Webseiten im Rahmen des Safer Internet Days einer detaillierten Prüfung unterzogen. Im Rahmen der Vorstellung dieser Ergebnisse wurde seitens der Behörde auch explizit geäußert, dass Unternehmen Google Analytics nur mit Zustimmung der Webseiten-Besucher einsetzen dürften.

Jahresmitte 2019: Verfahren werden eingeleitet

Es folgten zur Jahresmitte weitere Datenschutz-Aufsichtsbehörden mit Veröffentlichungen zu Google Analytics, welche alle diese Position stützen. Das bayerische Landesamt verkündete zudem die Einleitung von ersten Bußgeldverfahren zu diesem Thema.

Oktober 2019: EuGH & Cookies

Im Oktober 2019 äußerte sich dann noch der EuGH zum Thema „Cookies“ und dem begleitenden Einwilligungs-Erfordernis für nicht notwendige Cookies. Auch wenn dieses Urteil nicht direkt mit Google Analytics in Verbindung stand, so wird es doch in der Breite als Unterstützung der rechtlichen Positionierung der Aufsichtsbehörden in diesem Punkt verstanden.

Oktober 2019: “schwarze Listen” bei den Aufsichtsbehörden

Im Oktober 2019 wurde bekannt, dass den Aufsichtsbehörden umfangreiche „schwarze Listen“ zugespielt worden seien, welche Unternehmen mit rechtswidrigen Tracking-Tools arbeiten.

Einigkeit der deutschen Behörden

Die deutschen Behörden scheinen sich inzwischen vollständig einig in Ihrer Position zu sein. Fast sämtliche Aufsichtsbehörden haben inzwischen entsprechende Meldungen veröffentlicht. [Anmerkung: einige Berater aus dem Datenschutz-Umfeld nehmen zum Teil die Position ein, dass Google Analytics mit Anpassungen auch weiter ohne Einwilligung genutzt werden könne – allerdings unter Inkaufnahme des Risikos gerichtlicher Klärung (einschließlich Bußgeldverfahren etc.).]

Google Analytics: Einwilligung keine wirkliche Lösung

Es macht im Ergebnis aus meiner Sicht häufig keinen Sinn, den Einsatz von Google Analytics auf die vorherige Zustimmung der Nutzer zu stützen. Welche Aussagekraft hat ein Tool zur Benutzerzählung, wenn der Zählvorgang von der vorherigen Zustimmung der Besucher abhängt?

Der Kernvorwurf der Aufsichtsbehörden bei Google Analytics lautet, dass Google die Daten für eigene Zwecke einsetzen würde. Entsprechend ist Webseiten-Betreibern zu empfehlen, hier alternative Werkzeuge zur Benutzerzählung einzusetzen, die auf den eigenen Servern platziert sind oder bei Anbietern laufen, die keine eigenen Verarbeitungszwecke mit diesen Daten verfolgen. Es ist möglich, dass aufgrund des jetzt auftretenden Drucks der Aufsichtsbehörden Google hier auch nochmals nachbessern wird.

Unsere Positionierung kurz zusammengefasst

Webseiten-Analyse mit gekürzten IP-Adressen (und ohne Cookies) auf eigenen Systemen oder bei Dritt-Anbietern mit ausschließlicher Verarbeitung der Nutzungsdaten im Auftrag Ihres Unternehmens ist ohne Einwilligung der Webseiten-Besucher zulässig (z.B. eigene Logfiles, Matomo/Piwik). Es muss für dieses anonymisierte Tracking aber eine Möglichkeit zur Austragung (“Opt-Out”) geschaffen werden.

Tracking-Maßnahmen zur Nachvollziehbarkeit der Webseiten-Besucher (“Re-Targeting”, Google Analytics, geräteübergreifendes Tracking etc.) bedürfen vorab der dokumentierten Zustimmung der Webseiten-Besucher.

Ferner ist darauf zu achten, dass bei der Einbindung von Fremd-Code (z.B. Einbindung von Youtube-Videos, Google-Schriftarten, Kartenmaterial etc.) nicht automatisch Daten Ihrer Webseiten-Besucher an Dritt-Anbieter übermittelt werden (für viele dieser Tools gibt es auch datenschutzkonforme Einbindungsmöglichkeiten, bei denen der automatische Datenfluss gestoppt wird).

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

Kontakt

Rechtsanwalt Dr. Sebastian Kraska,
externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail: email@iitr.de
www.iitr.de

1 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot