Die Meinungen zum Einsatz von Google Analytics-Cookies gehen weit auseinander. Die einen möchten ihn ganz unterbinden, die anderen finden es mit Opt-in noch zulässig, wiederum andere sehen keine datenschutzrechtlichen Gefahren in der Benutzung. Doch mit welcher Ansicht ist man datenschutzkonform aufgestellt? Dieser Blogbeitrag widmet sich ausführlich der gesamten Rechtsproblematik und dem korrekten Einsatz von Cookies.
Am 14. November letzten Jahres ging alles auf einmal ganz schnell. 13 Aufsichtsbehörden (Berlin, Brandenburg, Hamburg, Hessen, Niedersachsen, NRW, Rheinland-Pfalz, Saarland,
Sachsen,
Schleswig-Holstein, Thüringen, Bayern und der Bundesbeauftragte für Datenschutz und Informationsfreiheit)
veröffentlichten inhaltlich übereinstimmende Presseerklärungen
zu Tracking- &
Analyse-Tools. Insbesondere wurde der Einsatz von Google Analytics bewertet. Die Presseerklärungen der
einzelnen Aufsichtsbehörden unterschieden sich um Nuancen. Es handelte sich also explizit nicht um eine
gemeinsame Veröffentlichung, dennoch verfolgten die Erklärungen ein gemeinsames Ziel:
Google
Analytics sei nur noch mit aktiver Einwilligung zu implementieren.
Die Aussage der Aufsichtsbehörden haben wir bewusst in den Konjunktiv gesetzt, denn unserer Meinung nach, kann solch eine pauschale Antwort nicht ohne weitere Betrachtung der konkreten Gegebenheiten getroffen werden.
Bevor wir Ihnen die Rechtsproblematik und die verschiedenen vorherrschenden Meinungsstände aufzeigen und näherbringen, möchten wir Sie kurz in die wichtigsten Begriffe der Materie einführen.
Ein Cookie ist eine kleine Textdatei, die beim Besuch der Webseite lokal auf dem Rechner des Users gespeichert wird. Ein Cookie richtet auf Ihrem Endgerät keinen Schaden an, es enthält keine Viren, Trojaner oder sonstige Schadsoftware. Diese kleine Textdatei kann aufgrund unterschiedlicher Zielabsichten implementiert werden. Demzufolge gibt es verschiedene, einzusetzende Cookies.
Doch wo lässt sich jetzt Google Analytics mit seinen umfassenden Funktionsmechanismen einordnen? Und wie sieht so eine notwendige Einwilligung aus?
Da die Einführung in die Rechtsdogmatik des letzten Blogbeitrages bei Ihnen sehr gut ankam, möchten wir nun öfter solche Einführungshinweise geben. Noch bevor die DSGVO zur Anwendung kam, veröffentlichte die Datenschutzkonferenz (ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) ein Positionspapier zum Thema Tracking. Doch so richtig schlau, wie man jetzt in Bezug auf Google Analytics und andere Tracking-Mechanismen vorgehen soll - gerade vier Wochen vor Anwendung der DSGVO -, konnte man aus diesem Positionspapier nicht werden. Es wurden Verhaltensweisen angeordnet und Thesen aufgestellt, die zum einen durch Auslegung des Gesetzes schon ersichtlich und zum anderen, insbesondere Nr. 9 des Papieres, einfach fehlerhaft sind.
Genau ein Jahr später veröffentlichte die Datenschutzkonferenz erneut ein Positionspapier. Dieses Mal führte sie an, dass der Einsatz von Analyse-Tools wie beispielsweise Google Analytics bei einer Interessensabwägung zugunsten des Verantwortlichen (Webseiten-Betreibers) auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgen kann. Allerdings darf es sich bei dem Tool nicht um ein geräteübergreifendes Tracking handeln oder eine Datenübermittlung an Dritte außerhalb einer Auftragsverarbeitung getätigt werden. In solchen Fällen dürften diese Tools aufgrund des Art. 6 Abs. 1 lit. f DSGVO nicht implementiert werden. Vereinfacht gesagt: Bei Komfort- und Analyse-Cookies haben Sie ein berechtigtes Interesse, bei Werbe- und Tracking-Cookies hingegen nicht.
Im Oktober 2019 sorgte das EuGH-Urteil Planet49 zum Thema Cookies für Aufsehen. Zusammenfassend wurde hier entschieden, dass unbedingt erforderliche Cookies ohne Einwilligung des Nutzers gesetzt werden können. Kein Cookie war nun mehr unbedingt erforderlich und plötzlich poppten immer mehr dieser mysteriösen Cookie-Bannern auf. Oftmals jedoch wäre ein solcher Cookie-Banner gar nicht notwendig und wurde lediglich aus Vorsicht im Hinblick auf eine mögliche Abstrafung implementiert.
Nach dem Urteil des EuGHs kommen wir nun zum obigen Ausgangspunkt der Pressemitteilungen der Aufsichtsbehörden.
Noch einmal zusammenfassend: In den am 14. November 2019 veröffentlichten Pressemitteilungen erklärten die jeweiligen Aufsichtsbehörden, dass eine Nutzung von Google Analytics nicht mehr ohne Einwilligung verwendet werden darf. Google bestätigte, dass sie die Daten auch zu eigenen Zwecken nutzen, um entsprechende Nutzerprofile zu erstellen. Das Nutzen der Daten durch einen Dritten (vorliegend Google) zu eigenen Zwecken widerspricht einer datenschutzkonformen Verwendung.
Keine der angesprochenen Erklärungen geht auf die verschiedenen Konfigurationsmöglichkeiten von Google Analytics ein. Dabei hat gerade Google im Hinblick auf den Datenschutz einige Mechanismen erlassen, die unserer Meinung nach einen Einsatz von Google Analytics auch ohne Einwilligung ermöglichen. Interessant ist in diesem Zusammenhang auch, dass die BayLDA in ihrem jüngst veröffentlichten Tätigkeitsbericht plötzlich davon spricht, dass Google Analytics auch datenschutzkonform eingesetzt werden kann. Voraussetzung dafür ist, dass der Webseiten-Betreiber neben der erforderlichen Information auch die notwendigen Konfigurationen vornimmt. Die Begriffe der „erforderlichen Information“ und „notwendigen Konfiguration“ werden aber nicht weiter konkretisiert.
Nachfolgend möchten wir Ihnen kurz aufzeigen, wie unserer Meinung nach der datenschutzkonforme Gebrauch von Google Analytics möglich ist. Dafür müssen aber folgende zwei Bedingungen gleichermaßen erfüllt werden:
Wie bereits angesprochen, gibt es mehrere Möglichkeiten Google Analytics zu implementieren. Oben haben wir Ihnen die beiden Voraussetzungen für eine datenschutzkonforme Implementierung von Google Analytics vorgestellt.
Fragen Sie sich bitte zunächst immer, ob Sie den Nutzen von Google Analytics wirklich für das Voranbringen Ihres Unternehmens benötigen. Arbeiten Sie tatsächlich mit den Daten der Auswertungen oder haben Sie es einfach implementiert, da man es Ihnen vor Jahren empfohlen hatte? Machen Sie sich Gedanken über Ihre Ziele und wägen Sie Ihr Interesse mit dem Schutzgut des Users ab. Fällt die Interessensabwägung zu Ihren Gunsten aus, können Sie mit der datenminimierten Implementierung von Google Analytics beginnen.
Wir erklären Ihnen nachfolgend anhand von wenigen Schritten die datenminimierte Implementierung des Dienstes Google Analytics.
Diese datenminimierte Implementierung verhindert, dass Google ausführliche Nutzerprofile des jeweiligen Webseiten-Betreibers und Users erstellen kann und bewirkt gleichzeitig den Schutz vor Weitergabe der personenbezogenen Daten an Dritte. Ist zwischen Google Inc. und dem Webseiten-Betreiber ein Auftragsverarbeitungsvertrag geschlossen, handelt es sich bei Google nicht um einen Dritten im Sinne der DSGVO. Google ist dann Auftragsverarbeiter.
Bei Fragen zur datenminimierten Implementierung von Google Analytics und dem generellen rechtskonformen Einsatz von Cookies helfen wir Ihnen gerne weiter. Kontaktieren Sie uns, gemeinsam finden wir Ihre optimale Lösung zum datenschutzkonformen Einsatz von Cookies.
Bitte beachten Sie, dass es sich bei diesem Beitrag um unsere Rechtsauffassung handelt. Ebenso haben wir die Rechtsauffassung der Datenschutzbehörden dargestellt. Es kommt auf die gerichtliche Entscheidung an. Wir möchten Ihnen nachfolgend noch folgende Risikobewertungen mit auf den Weg geben.
Aktuell verhandelt der BGH seit dem 30.01.2020 auf Grundlage des EuGH-Urteils Planet49. Das Urteil steht noch aus und wird zum 28.05.2020 erwartet. Wir warten mit Spannung auf die Entscheidung und werden Sie informieren, sobald ein Urteil vom BGH gesprochen wurde.
Am 28. Mai war es dann soweit. Der BGH sprach sein Urteil im Fall Planet49. Die aktuellen Entwicklungen lesen Sie in unserem Blogbeitrag Planet49-Urteil.
GoogleAnalytics Einwilligung Datenschutz Datenübermittlung Verarbeitung