Der datenschutzkonforme Einsatz von Google Analytics in Europa

  • in der Kategorie Datenschutz
  • veröffentlicht.

Die nordrhein-westfälische datenschutzrechtliche Aufsichtsbehörden (Landesbeauftrage für Datenschutz und Informationsfreiheit) hat sich mit einer Pressemitteilung anderen Aufsichtsbehörden angeschlossen, wenn es um die Verwendung von Tracking-Tools (z. B. Google Analytics) geht. Die Datenschutzbehörden sind sich überwiegend einig, dass diese Verwendung einer vorher erfolgten Einwilligung der Nutzer bedarf.
Diese Einwilligung sieht vor, dass Besucher einer Website der Verwendung von Cookies zustimmen muss, noch bevor das Tracking begonnen hat. Die Website muss dazu den Nutzer informieren. Technisch ist dies mit Cookie Walls umsetzbar, bei denen das Tracking, im Gegensatz zum klassischen Cookie Banner, erst nach aktiver Zustimmung durch den User beginnt. Innerhalb einer solchen Cookie Wall findet eine kategorisierte Zusammenführung funktionaler Cookies, Marketing Cookies und Analyse Cookies statt, nachdem sie erfasst wurden. Ziel ist eine einfache und übersichtliche Verwaltung der Cookies.

Möglichkeiten zu Konfiguration des Tracking

Diese pauschal getroffenen Aussagen der Datenschutzbehörden lassen jedoch ausser Acht, dass sich vereinzelte Tracking Tools in sehr unterschiedlichem Ausmass ebenso datenschutzkonform konfigurieren lassen.
Aus der Pressemitteilung des Bayerischen Landesamt für Datenschutzaufsicht lässt sich schliessen, dass konkrete Konfigurationen eingesetzter Tools beim Auswerten der rechtmässigen Anwendung unter gewissen Umständen berücksichtigt werden kann. Nutzt man hiernach Funktionen, die einer Einwilligung bedürfen, darf man diese nicht nutzen, wenn es keine aktive Einwilligung gab.
Hier bezieht man sich im Gegensatz zu anderen Pressemitteilungen auch auf die Funktionen selbst, nicht nur auf die Anwendung von Tracking Tools. Offen bleibt jedoch auch hier die Frage, welche Funktionen genau damit gemeint sind und ob diese Google Analytics mit einschliessen. Daraus ergibt sich natürlich die Frage: Würden Aufsichtsbehörden die Nutzung datenmindernder Tracking Tools unter Berücksichtigung einer anderen Rechtsgrundlage als der der aktiven Einwilligung im Einzelfall akzeptieren?

Die Abwägung der Interessen als rechtliche Grundlage

Innerhalb der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ wird nach Artikel 6 Absatz 1 Satz 1 littera f) DSGVO die Interessenabwägung als rechtliche Grundlage für die Anwendung von Tracking Tools berücksichtigt. Ob diese anwendbar ist in abhängig vom einzelnen Fall und erfordert eine Prüfung, die in umfassenden drei Prüfstufen stattfindet:

  1. Es wird geprüft, ob ein berechtigtes Interesse des Verantwortlichen oder Dritter vorliegt.
  2. Es wird geprüft, ob die Datenverarbeitung im konkreten Einzelfall zur Interessenwahrnehmung notwendig ist.
  3. Es findet eine Abwägung der eigenen Interessen werden mit den Interessen, Grundfreiheiten und Grundrechten des betroffenen Individuums statt.

Besonders bezüglich Punkt 2 ist zu kontrollieren, ob es Möglichkeiten gibt, mildere und genauso effektive Instrumente zu verwenden. Die Verarbeitung der Daten muss hierbei stetig auf das nötige Mass eingeschränkt werden. So kommt die Anwendung von Tracking Tools innerhalb der Rechtsgrundlage vom berechtigten Interesse nur bei entsprechend datenschutzkonformen Einstellung infrage.
Eine weitere Bedingung für die datenschutzfreundliche Anwendung stellt die Dokumentation dieser Interessenabwägung (mitsamt transparent dargelegter Informationen über die betroffenen User) hinsichtlich der Datenschutzerklärung der Homepage dar. Dem User muss die Option eingeräumt werden, zu jedem Zeitpunkt der Datenverarbeitung zu widersprechen. Dieses Opting-Out (= nicht mitmachen) sollte hierzu innerhalb der Datenschutzerklärung Erwähnung finden.

Datenschutzkonforme Einstellungsoptionen von Google Analytics

Google Analytics stellt eine Reihe unterschiedlicher Einstellungsoptionen zur Datenverarbeitung zur Verfügung. Die Abwägung der Interessen nach Artikel 6 Absatz 1 Satz 1 littera f) DSGVO kommt hierbei lediglich in dem Moment als alternativ greifende rechtliche Grundlage infrage, wenn die Einstellungen so weit wie möglich Daten sparend ausgewählt wurden. Daher empfiehlt es sich, Google Analytics folgendermassen zu konfigurieren:

  1. Schliessen Sie mit Google die aktuelle Version des Auftragsverarbeitungsvertrages und den Zusatz zur Datenverarbeitung bezüglich Google Analytics ab.
  2. Aktivieren Sie die IP-Anonymisierung.
  3. Verzichten Sie auf die Anwendung der User ID-Funktion, da diese dem Anwender ein effektiveres Tracking (auch Geräte übergreifend) der User erlaubt. Aus Sicht des Datenschutz ist dieses Cross Devise Tracking besonders kritisch zu betrachten, aber bei der aktuellen Ausführung von Google Universal Analytics in der Voreinstellung aktiviert.
  4. Stellen Sie die Zielgruppenfunktion, also das Remarketing, ab. Sie finden diese Funktion unter den Optionen der Properties.
  5. Implementieren Sie das Deaktivierungs Addon, sodass die User die Option haben, bei der Nutzung aller gängigen Browser (ausser mobil) Widerspruch gegen die Datenerfassung einzulegen (Opting-Out).
  6. Implementieren Sie auch die Opting-Out Cookis, sodass der User mit einem simplen Klick das Tracking durch Google Analytics ebenfalls mobil unterbinden kann. Wie Sie dieses JavaScript umsetzen (Disabling Tracking), erklärt Ihnen eine Anleitung von Google.
  7. Deaktivieren Sie Produktverknüpfungen.
  8. Schalten Sie die Datenfreigabe an Google an. So besteht keine gemeinsame Verantwortung (Joint Controllership) mehr mit Google. Zur Erklärung: Durch Google Analytics erhält Google Zugriff auf die erfassten Daten. Diese Informationen nutzt Google zur Analyse für mögliche Produktverbesserungen. Bei Aktivierung dieser Funktion entsteht eine gemeinsame Verantwortlich im Umgang mit den Daten.
  9. Führen Sie sich die Datenschutzerklärung von Google zu Gemüte.
  10. Beschränken die Dauer der Datenspeicherung auf das notwendige Mindestmass von 14 Monaten. Deaktivieren Sie ausserdem die Option „bei neuer Aktivität zurücksetzen“.

Die Einstellungsoptionen unter Best Practices sind ebenfalls sehr zu empfehlen, um den Versand personenbezogener Daten zu vermeiden. Stützt man sich bei der Anwendung von Analytics auf die aktive Einwilligung der User, kann man hiermit der Datensparsamkeit, die datenschutzrechtlichen Grundsatz unterliegt, entsprechen.

Fazit zum datenschutzkonforme Einsatz von Google Analytics

Wenn Sie diese Massnahmen umsetzen, gibt es für Sie die Chance, den Aufsichtsbehörden oder im Streitfall dem Gericht das berechtigte Interesse, das im Rahmen der Interessenabwägung des Artikel 6 Absatz 1 Satz 1 littera f) DSGVO erläutert ist, anerkennen. Ohne vorherige Einwilligung ist die Anwendung von Analytics jedoch immer mit einem Restrisiko verbunden, da die meisten Aufsichtsbehörden sehr streng mit dem Datenumgang sind und immer ein Cookie gesetzt wird.
Mit grosser Spannung erwarten wir deshalb das am 28. Mai geplante Urteil des Bundesgerichtshofs zu Planet49 (I ZR 7/16). Hier nimmt der Bundesgerichtshof die vom Europäischen Gerichtshof beantworteten Fragen zur Vorlage (C-673/17, Urteil 01.10.2019) auf und kommt zu der Entscheidung, in welchem Fall die aktive Einwilligung tatsächlich erfolgen muss.
Für Gewissheit kann auch die E-Privacy-Verordnung sorgen. Ein neuer Vorschlag zwecks Anpassung vom Entwurf der E-Privacy-Verordnung wurde vor nicht allzu langer Zeit vom Rat der Europäischen Union vorgelegt. Dieser sieht von, dass der Artikel 8 der E-Privacy-Verordnung, der insbesondere die Anwendung von Tracking Tools regelt, korrigiert werden soll. Die Interessenabwägung soll hier als alternative rechtliche Grundlage Platz finden. Doch ob dies durchgesetzt wird, steht noch offen.

18. November 2024SEO

Helpful Content laut Google: Mehrwert statt Keywords

Das „Helpful Content Update“ von Google hat die SEO-Welt nachhaltig verändert. Während Keywords und klassische SEO-Taktiken früher das A und

14. November 2024Webshop

Webshop-Inkasso: Praktische Tipps und rechtliche Grundlagen

Erfahren Sie alles Wichtige rund um das Thema Webshop-Inkasso. Für Betreiber von Webshops ist es ein unvermeidbarer Bestandteil des Geschäftsalltags:

Weiterlesen
11. November 2024Marketing

Darum ist Zufriedenheitsgarantie in der Schweiz ein starkes Marketinginstrument

Die Zufriedenheitsgarantie ist mehr als nur ein wohlklingendes Versprechen – sie ist ein effektives Marketinginstrument. In einem Markt, der von

Weiterlesen
7. November 2024Allgemein

KI Stofftier Moflin von Casio soll mit künstlicher Intelligenz Persönlichkeit entwickeln

Künstliche Intelligenz (KI) findet immer mehr Anwendung in unserem Alltag – sei es in Smartphones, Haushaltsgeräten oder sogar in der

Weiterlesen
Der datenschutzkonforme Einsatz von Google Analytics in Europa
Haben Sie Fragen zu diesem Thema? Einfach melden.
E-Mail Telefon Support / Hilfe
Zum Inhalt springen