Sicherheit + Datenschutz 23. März 2020 4 Min Lesezeit

Der datenschutzkonforme Einsatz von Google Analytics in Europa

Geschrieben von
Roger Klein
Trust Tokens

Die nordrhein-westfälische Datenschutz-Aufsichtsbehörde (Landesbeauftragte für Datenschutz und Informationsfreiheit) hat sich mit einer Pressemitteilung anderen Aufsichtsbehörden angeschlossen – konkret beim Thema Tracking-Tools wie Google Analytics. Die Datenschutzbehörden sind sich überwiegend einig: Die Verwendung solcher Tools setzt eine vorherige Einwilligung der Nutzer voraus.

Diese Einwilligung bedeutet, dass Besuchende einer Website der Cookie-Verwendung zustimmen müssen, bevor das Tracking startet. Technisch setzt man das mit sogenannten Cookie Walls um. Im Unterschied zum klassischen Cookie-Banner beginnt das Tracking dort erst nach aktiver Zustimmung. Innerhalb einer Cookie Wall werden funktionale Cookies, Marketing-Cookies und Analyse-Cookies kategorisiert zusammengeführt – mit dem Ziel, die Verwaltung übersichtlich zu halten.

Möglichkeiten zu Konfiguration des Tracking

Diese pauschalen Aussagen der Datenschutzbehörden lassen ausser Acht, dass sich einzelne Tracking-Tools in sehr unterschiedlichem Mass datenschutzkonform konfigurieren lassen.

Aus der Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht lässt sich schliessen, dass konkrete Konfigurationen eingesetzter Tools bei der Beurteilung rechtmässiger Anwendung unter gewissen Umständen berücksichtigt werden können. Nutzt man Funktionen, die eine Einwilligung erfordern, darf man diese ohne aktive Einwilligung schlicht nicht verwenden.

Bemerkenswert: Anders als andere Pressemitteilungen bezieht sich diese auf die einzelnen Funktionen – nicht bloss auf den Einsatz von Tracking-Tools als Ganzes. Offen bleibt die Frage, welche Funktionen genau gemeint sind und ob Google Analytics explizit eingeschlossen ist. Daraus ergibt sich eine naheliegende Folgefrage: Würden Aufsichtsbehörden den Einsatz datenmindernder Tracking-Tools unter einer anderen Rechtsgrundlage als der aktiven Einwilligung im Einzelfall akzeptieren?

Die Abwägung der Interessen als rechtliche Grundlage

Die „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ benennt nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO die Interessenabwägung als mögliche Rechtsgrundlage für Tracking-Tools. Ob sie im konkreten Fall anwendbar ist, hängt von einer Prüfung in drei Stufen ab:

  1. Liegt ein berechtigtes Interesse des Verantwortlichen oder Dritter vor?
  2. Ist die Datenverarbeitung im konkreten Einzelfall zur Interessenwahrnehmung notwendig?
  3. Überwiegen die eigenen Interessen gegenüber den Interessen, Grundfreiheiten und Grundrechten der betroffenen Person?

Besonders Punkt 2 verdient Aufmerksamkeit: Gibt es mildere, gleich effektive Instrumente? Die Datenverarbeitung muss durchgehend auf das nötige Mass beschränkt bleiben. Tracking-Tools auf Basis des berechtigten Interesses kommen daher nur bei entsprechend datenschutzkonformer Konfiguration infrage.

Hinzu kommt: Die Interessenabwägung muss dokumentiert sein – transparent, mit Informationen über die betroffenen Nutzenden, und sichtbar in der Datenschutzerklärung. Den Nutzenden muss jederzeit ein Widerspruchsrecht eingeräumt werden. Dieses Opt-out sollte in der Datenschutzerklärung ausdrücklich erwähnt sein.

Datenschutzkonforme Einstellungsoptionen von Google Analytics

Google Analytics bietet verschiedene Einstellungsoptionen zur Datenverarbeitung. Die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO kommt als alternative Rechtsgrundlage nur dann infrage, wenn die Einstellungen so datensparend wie möglich gewählt wurden. Empfehlenswert ist folgende Konfiguration:

  1. Schliess mit Google die aktuelle Version des Auftragsverarbeitungsvertrags und den Zusatz zur Datenverarbeitung für Google Analytics ab.
  2. Aktiviere die IP-Anonymisierung.
  3. Verzichte auf die User-ID-Funktion. Sie erlaubt ein effektiveres, geräteübergreifendes Tracking der Nutzenden. Aus Datenschutzsicht ist dieses Cross-Device-Tracking besonders kritisch – bei Google Universal Analytics war es in der Voreinstellung aktiv.
  4. Deaktiviere die Zielgruppenfunktion (Remarketing). Du findest sie unter den Optionen der Properties.
  5. Implementiere das Deaktivierungs-Addon, damit Nutzende in allen gängigen Desktop-Browsern der Datenerfassung widersprechen können (Opt-out).
  6. Implementiere ausserdem Opt-out-Cookies, damit Nutzende das Tracking durch Google Analytics auch mobil per Klick unterbinden können. Wie du dieses JavaScript (Disabling Tracking) umsetzt, erklärt eine Anleitung von Google.
  7. Deaktiviere Produktverknüpfungen.
  8. Schalte die Datenfreigabe an Google ab. Damit entfällt die gemeinsame Verantwortung (Joint Controllership) mit Google. Zur Erklärung: Über Google Analytics erhält Google Zugriff auf die erfassten Daten und nutzt sie für Produktverbesserungen. Bei aktivierter Freigabe entsteht eine gemeinsame Verantwortlichkeit im Umgang mit diesen Daten.
  9. Lies dir die Datenschutzerklärung von Google durch.
  10. Beschränke die Datenspeicherungsdauer auf das notwendige Minimum von 14 Monaten. Deaktiviere ausserdem die Option «Bei neuer Aktivität zurücksetzen».

Auch die Best-Practices-Einstellungsoptionen sind empfehlenswert, um den Versand personenbezogener Daten zu vermeiden. Stützt man den Analytics-Einsatz auf die aktive Einwilligung der Nutzenden, lässt sich damit dem datenschutzrechtlichen Grundsatz der Datensparsamkeit entsprechen.

Was Google Analytics datenschutzkonform macht – und wo das Restrisiko bleibt

Wer diese Massnahmen umsetzt, hat eine realistische Chance, das berechtigte Interesse im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO gegenüber Aufsichtsbehörden – oder im Streitfall vor Gericht – geltend zu machen. Ohne vorherige Einwilligung bleibt der Analytics-Einsatz jedoch immer mit einem Restrisiko verbunden: Die meisten Aufsichtsbehörden handhaben den Datenschutz streng, und ein Cookie wird in jedem Fall gesetzt.

Mit Spannung wurde das Urteil des Bundesgerichtshofs zu Planet49 (I ZR 7/16) erwartet. Der BGH griff darin die vom Europäischen Gerichtshof beantworteten Vorlagefragen auf (C-673/17, Urteil vom 01.10.2019) und entschied, in welchen Fällen eine aktive Einwilligung tatsächlich erforderlich ist.

Klarheit könnte auch die E-Privacy-Verordnung bringen. Der Rat der EU hat einen überarbeiteten Entwurf vorgelegt, der Art. 8 – der den Einsatz von Tracking-Tools regelt – anpassen soll. Die Interessenabwägung soll darin als alternative Rechtsgrundlage verankert werden. Ob sich das durchsetzt, war zum Zeitpunkt der Veröffentlichung dieses Artikels noch offen.

Tags: GoogleRecht
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-06-17 Die Wahrheit hinter Cybercrime: Langweiliges Geschäft, miese Bezahlung 2020-08-06 Trust Tokens als echte Cookie-Alternative? 2020-05-28 Die Corona-App: Top oder Flop? Von Tracking, Wettstreit und Wunschdenken

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG