DSK veröffentlicht Hinweise zum Einsatz von Google Analytics

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat mit Beschluss vom 12.05.2020 Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich veröffentlicht.

Darin erläutert die DSK die rechtlichen Rahmenbedingungen beim Einsatz von Google Analytics und definiert die datenschutzrechtlichen Mindestanforderungen, die von Google-Analytics-Anwendern zwingend eingehalten werden müssen. Die Hinweise stellen eine Ergänzung der Orientierungshilfe für Anbieter von Telemedien dar, welche die DSK im März 2019 veröffentlicht hat, und betreffen die häufigsten Fragestellungen beim Einsatz von Google Analytics.

Zunächst erläutert die DSK in dem Dokument den rechtlichen Kontext, der – nach Ansicht der DSK – beim Einsatz von Google Analytics zugrunde zu legen ist:

  • Beim Einsatz von Google Analytics werden immer personenbezogene Daten der Nutzer verarbeitet;
  • Unter Berücksichtigung der aktuellen Rechtsprechung des EuGH sind Google und der Google-Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich (keine Auftragsverarbeitung!), sodass die Anforderungen des Art. 26 DSGVO zu beachten sind;
  • Der rechtskonforme Einsatz von Google Analytics ist in der Regel nur aufgrund einer wirksamen Einwilligung der Nutzers gem. Art. 6 Abs. 1 lit. a), Art. 7 DS-GVO möglich.

Anschließend definiert die DSK, welche Mindestanforderungen an die Einwilligung zu stellen sind:

  • Die Einwilligung muss die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfassen;
  • Es muss klar und deutlich beschrieben werden, dass
    • die Datenverarbeitung im Wesentlichen durch Google erfolgt,
    • die Daten nicht anonym sind,
    • welche Daten verarbeitet werden und dass
    • Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller Google-Accounts verknüpft;
  • Die Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein (vgl. hierzu auch Bundesgerichtshof, Urteil vom 28.05.2020, Az. I ZR 7/16, und Europäischer Gerichtshof, Urteil vom 01.10.2019, Rechtssache C-673/17);
  • Die Einwilligung muss freiwillig sein, d.h. der betroffene Nutzer muss Wahlmöglichkeiten und eine freie Wahl haben.

In technischer Hinsicht führt die DSK aus, dass Google-Analytics-Anwender eine technische Opt-Out-Möglichkeit auf ihrer Internetseite bereitstellen müssen; der bloße Verweis auf ein Browser-Add-On zur Deaktivierung von Google Analytics sei nicht ausreichend. Zudem sollten Anwender von Google Analytics durch entsprechende Einstellungen die Kürzung der IP-Adressen mittel Aktivierung der Funktion „_anonymizeIp()“ veranlassen.

Die Hinweise der DSK sind zwar nicht rechtsverbindlich (eine Entscheidung wird letztlich den Gerichten obliegen), sie gibt aber dennoch die Richtung vor, in welche die Aufsichtsbehörden der Länder die DSGVO auslegen und insbesondere den Einsatz von Google Analytics behandeln werden. Um nicht Ziel einer Datenschutzprüfung durch die zuständige Aufsichtsbehörde zu werden, ist es Unternehmen daher anzuraten, die Ausgestaltung an die Anforderungen der DSK anzupassen. Ein Kernpunkt sollte dabei auf der notwendigen Transparenz der Einwilligung liegen.

Falls Sie Fragen zum Einsatz von Google Analytics oder zum Einsatz von Tracking-Maßnahmen im Allgemeinen haben, können Sie sich gerne jederzeit an unsere zertifizierten Datenschutzexperten wenden.

 

Autor: Rechtsanwalt Maximilian Braun

Die Kommentarfunktion ist geschlossen.