[IITR – 19.11.19] Die Datenschutz-Aufsichtsbehörden in Deutschland haben ihre Linie bestärkt, dass Google Analytics auch mit IP-Anonymisierung der vorherigen Zustimmung der Webseiten-Besucher bedarf. Doch was nützt ein Werkzeug zur Analyse der Besucherzahlen, wenn nicht alle Besucher zustimmen? Wir erläutern die Rahmenbedingungen und zeigen Alternativen auf.
Historie: April 2009
Der Streit um Google Analytics ist nicht neu. Bereits vor 10 Jahren war Streit um das Google-Werkzeug zur Messung der Benutzeraktivitäten von Webseiten-Besuchern entstanden. Am 4.12.2009 hatten wir daher die Empfehlung ausgesprochen, Google Analytics vorerst abzuschalten. Google hatte im Gespräch mit den Behörden später nachgebessert und die Zusatz-Möglichkeit der „IP-Anonymisierung“ geschaffen, in der Folge Google Analytics dann wieder vertretbar eingesetzt werden konnte.
April 2018: Positionierung der deutschen Aufsichtsbehörden
Im April 2018 (also einen Monat von Geltung der DSGVO) hatten die deutschen Aufsichtsbehörden in einem Positionspapier erklärt, dass aus ihrer Sicht bei den meisten Tracking-Tools ein Rückgriff auf das „berechtigte Interesse“ aus ihrer Sicht nicht zulässig sein werde. Ohne Google Analytics in diesem Papier explizit zu erwähnen gingen viele Behörden davon aus, dass Google Analytics (auch mit IP-Anonymisierung) der vorherigen Einwilligung der Webseiten-Besucher bedürfte.
Winter 2018: Rückzug oder Durchsetzung?
Diese Position wurde allerdings in 2018 nicht durchgesetzt (wohl auch weil Unternehmen wie Behörden mit der DSGVO-Einführung im Übrigen mehr als ausgelastet waren). Im Herbst 2018 betonte der Präsident des bayerischen Landesamtes für Datenschutz-Aufsicht, Herr Thomas Kranig, dass man die Position nun durchzusetzen gedenke, um glaubwürdig zu bleiben.
Februar 2019: Überprüfungen beginnen
Daher wurden im Frühjahr diesen Jahres durch das bayerische Landesamt für Datenschutz-Aufsicht 40 Webseiten im Rahmen des Safer Internet Days einer detaillierten Prüfung unterzogen. Im Rahmen der Vorstellung dieser Ergebnisse wurde seitens der Behörde auch explizit geäußert, dass Unternehmen Google Analytics nur mit Zustimmung der Webseiten-Besucher einsetzen dürften.
Jahresmitte 2019: Verfahren werden eingeleitet
Es folgten zur Jahresmitte weitere Datenschutz-Aufsichtsbehörden mit Veröffentlichungen zu Google Analytics, welche alle diese Position stützen. Das bayerische Landesamt verkündete zudem die Einleitung von ersten Bußgeldverfahren zu diesem Thema.
Oktober 2019: EuGH & Cookies
Im Oktober 2019 äußerte sich dann noch der EuGH zum Thema „Cookies“ und dem begleitenden Einwilligungs-Erfordernis für nicht notwendige Cookies. Auch wenn dieses Urteil nicht direkt mit Google Analytics in Verbindung stand, so wird es doch in der Breite als Unterstützung der rechtlichen Positionierung der Aufsichtsbehörden in diesem Punkt verstanden.
Oktober 2019: “schwarze Listen” bei den Aufsichtsbehörden
Im Oktober 2019 wurde bekannt, dass den Aufsichtsbehörden umfangreiche „schwarze Listen“ zugespielt worden seien, welche Unternehmen mit rechtswidrigen Tracking-Tools beinhalteten.
Einigkeit der deutschen Behörden
Die deutschen Behörden scheinen sich inzwischen vollständig einig in Ihrer Position zu sein. Fast sämtliche Aufsichtsbehörden haben inzwischen entsprechende Meldungen veröffentlicht.
Google Analytics: Einwilligung keine wirkliche Lösung
Es macht im Ergebnis aus meiner Sicht häufig keinen Sinn, den Einsatz von Google Analytics auf die vorherige Zustimmung der Nutzer zu stützen. Welche Aussagekraft hat ein Tool zur Benutzerzählung, wenn der Zählvorgang von der vorherigen Zustimmung der Besucher abhängt?
Der Kernvorwurf der Aufsichtsbehörden bei Google Analytics lautet, dass Google die Daten für eigene Zwecke einsetzen würde. Entsprechend ist Webseiten-Betreibern zu empfehlen, hier alternative Werkzeuge zur Benutzerzählung einzusetzen, die auf den eigenen Servern platziert sind oder bei Anbietern laufen, die keine eigenen Verarbeitungszwecke mit diesen Daten verfolgen. Es ist möglich, dass aufgrund des jetzt auftretenden Drucks der Aufsichtsbehörden Google hier auch nochmals nachbessern wird.
Unsere Positionierung kurz zusammengefasst
Webseiten-Analyse mit gekürzten IP-Adressen (und ohne Cookies) auf eigenen Systemen oder bei Dritt-Anbietern mit ausschließlicher Verarbeitung der Nutzungsdaten im Auftrag Ihres Unternehmens ist ohne Einwilligung der Webseiten-Besucher zulässig (z.B. eigene Logfiles, Matomo/Piwik). Es muss für dieses anonymisierte Tracking aber eine Möglichkeit zur Austragung („Opt-Out“) geschaffen werden.
Tracking-Maßnahmen zur Nachvollziehbarkeit der Webseiten-Besucher („Re-Targeting“, Google Analytics, geräteübergreifendes Tracking etc.) bedürfen vorab der dokumentierten Zustimmung der Webseiten-Besucher.
Ferner ist darauf zu achten, dass bei der Einbindung von Fremd-Code (z.B. Einbindung von Youtube-Videos, Google-Schriftarten, Kartenmaterial etc.) nicht automatisch Daten Ihrer Webseiten-Besucher an Dritt-Anbieter übermittelt werden (für viele dieser Tools gibt es auch datenschutzkonforme Einbindungsmöglichkeiten, bei denen der automatische Datenfluss gestoppt wird).
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer DatenschutzbeauftragterTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.