Aktuelle Positionen der Aufsichtsbehörden zu Analyse- und Tracking-Tools
Der Einsatz von Google Analytics ist ein Dauerthema des Datenschutzes in Deutschland. Die Aufsichtsbehörden haben sich diesem Thema erneut aktuell angenommen und am 14.11.2019 in einer konzertierten Aktion – inhaltlich nahezu identische – Pressemitteilungen veröffentlicht.
Die zentralen Aussagen der Pressemitteilungen übersichtlich zusammengefasst:
- Einsatz von Analyse- und Tracking-Tools grundsätzlich nur mit Einwilligung, wenn:
- die Daten an Dritte weitergeben und von diesen Dritten zu eigenen Zwecken genutzt werden.
- das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, z.B. wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden.
- Einwilligungspflichtige Tools dürfen mit der Arbeit erst beginnen, wenn der Website-Besucher aktiv eingewilligt hat.
- Eine aktive Einwilligung bedeutet nicht, dass mit „weitersurfen“ eingewilligt wird, wie es noch in vielen cookie-Bannern heißt.
- Google Analytics ist lt. der Behördenmeinungen einwilligungspflichtig, da die heutigen Produkt-Funktionen nicht mehr einer reinen Auftragsverarbeitung nach Art. 28 DSGVO entsprechen: Google räumt sich inzwischen das Recht ein, die Daten der Webseitenbesuchenden zu eigenen Zwecken zu verwenden.
- Es liegen bereits diverse Beschwerden in den Behörden vor. Die Behörden prüfen und leiten Verfahren gegen Unternehmen ein bzw. haben dies bereits getan. Neben datenschutzrechtlichen Anordnungen ist auch mit Bußgeldern für die Unternehmen zu rechnen.
- Verweis auf die „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf vom März 2019
Am Ende dieses Artikels haben wir Ihnen alle gefundenen Pressemitteilungen der Aufsichtsbehörden verlinkt.
Der Grund für diese zeitgleichen Pressemitteilungen liegt vermutlich in der Fülle von bundesweit 200.000 Google-Analytics-Beschwerde-Fällen (Quelle: https://www.datenschutzbeauftragter-info.de/google-analytics-im-fokus-der-aufsichtsbehoerde/).
Streit-Thema Google Analytics
Bisher wog man sich als Unternehmen in „Sicherheit“, dass bei der „datenschutzkonformen“ Nutzung von Google Analytics alles im grünen Bereich liegt. Dazu gehörte bisher die IP-anonymisierte Einbindung, eine Opt-Out-Funktion und der Abschluss des von Google angebotenen Auftragsverarbeitungsvertrags. Dass sich daran auch nichts geändert hat, und damit eine Einwilligung eigentlich nicht zwingend notwendig ist, bestätigen augenscheinlich folgende Aspekte – die wir nach bestem Wissen und Gewissen recherchiert haben:
- Google-Aussage 1: Unter diesem Google-Link https://privacy.google.com/businesses/adsservices/ informiert Google darüber, dass Google Analytics zur Kategorie der „Auftragsverarbeiterdienste“ und damit unter den Anwendungsbereich der „Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“ fällt.
- Google-Aussage 2: Auch unter diesem Link https://privacy.google.com/businesses/controls/#!?modal_active=modal-products&product_id=google-analytics sagt Google u.a. klar:“…Wir geben Ihnen die Kontrolle über die Daten Ihres Unternehmens und bieten Ihnen verschiedene Möglichkeiten, sie mit Google zu teilen. Sie selbst entscheiden, ob unser Vertriebs- und Supportteam Zugriff auf die Daten hat, um Ihr Unternehmen zu unterstützen, oder ob Google die Daten nutzen darf, um seine Produkte zu verbessern. Sie können entscheiden, ob die Daten Ihres Unternehmens mit aggregierten Zielgruppen- und Websitedaten zusammengeführt werden sollen….“
- Achten Sie auf die korrekte Wahl der Einstellungs-Konfiguration im Google-Konto. Sprich, das Kästchen, auf das der grüne Pfeil in unserem Bild hinweist sollte nicht angehakt sein. Die „Empfehlung“ von Google – ist nur cleveres Marketing und braucht Sie nicht zu verunsichern.
Am Thema Google Analytics scheiden sich also die Geister und die Interpretation zum Thema „Auftragsverarbeitung“ scheint bei den Aufsichtsbehörden derzeit eine andere zu sein als bei Google.
Die Aufsichtsbehörden sitzen im Endeffekt mit den Unternehmen in einem Boot, wenn es darum geht die DSGVO in die Praxis zu bringen. Die Meinung der Aufsichtsbehörde kann richtig sein, muss es aber nicht. Eine rechtssichere Antwort gibt es aufgrund fehlender Rechtsprechung einfach noch nicht zu diesem Thema. Das Behörden-Argument, dass aufgrund neuer Funktionen bei Google Analytics keine reine Auftragsverarbeitung mehr gegeben ist, wird seitens der Behörden aus unserer Sicht nicht ausreichend belegt.
Es gilt Ihrerseits also u.U. gegenüber den Aufsichtsbehörden Argumente zu finden, die Google Analytics ohne Einwilligung weiterhin rechtfertigen. Auf der anderen Seite wäre es wünschenswert, wenn die Behörden ein wenig mehr in die Tiefe gehen würden bzw. wie damals schon, mit Google in den erprobten Dialog treten und wieder Klarheit schaffen würden.
An dieser Stelle weisen wir ergänzend auf die aktuelle Veröffentlichung des Bundesministerium der Justiz und für Verbraucherschutz vom 29.11.2019 hin zum Ergebnis der Studie „Untersuchung der Umsetzung der Datenschutz-Grundverordnung (DSGVO) durch Online-Dienste“, Stand: 30.09.2019. Auf Seite 26 /27 ist bzgl. Tracking ebenfalls Folgendes zu lesen:
„…Ein einheitlicher spezifischer regulativer Rahmen für Tracking und Profilbildung fehlt bisher…. Wenn ein Website-Betreiber Daten der Verbraucher „für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien“ verarbeitet und dabei – auch pseudonyme – Nutzungsprofile angelegt werden, ist grundsätzlich eine Einwilligung der Verbraucher einzuholen, die alle Anforderungen der DSGVO einhält.38 Andererseits wird auch die Interessenabwägung in engen Grenzen gestattet….“
[Anmerkung: Interessenabwägung = ohne Einwilligung]
Analyse-Tools dürfen also auch weiterhin ohne Einwilligung – also aufgrund Ihres berechtigten Interesses nach Art. 6 (1) f DSGVO – eingesetzt werden, wenn Sie Ihre Website lediglich z.B. zu folgenden Zwecken analysieren:
- wie häufig diese besucht wird,
- ob es regelmäßige Nutzer gibt,
- aus welchen Ländern diese kommen,
- wie die Besucher Ihre Website nutzen,
- welche Geräte- und Spracheinstellungen Ihre Besucher nutzen,
- Sie diese Daten nur zu Ihren eigenen Zwecken* verwenden,
- transparent und verständlich darüber informieren,
- Ihren Besuchern eine Widerspruchsmöglichkeit (Opt-Out) anbieten.
*So stellen Sie sicher, dass nur Sie die Analyse-Daten zu eigenen Zwecken verwenden:
- Sie hosten das Analyse-Tool auf dem eigenen Server
- bei fremdgehosteten Tools schließen Sie mit dem Tool-Anbieter einen entsprechenden Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab und:
- Sie können anhand des Nutzungsvertrags sicherstellen, dass der Tool-Anbieter diese Daten nicht zu eigenen Zwecken nutzt, um z.B. ein umfangreiches Internetprofil des einzelnen Besuchers (über Ihre Website hinaus) zu erstellen.
Klares Signal von den Aufsichtsbehörden an die Unternehmen
Unter dem Druck der aktuellen Beschwerdeflut haben die Aufsichtsbehörden mit der konzertierten Pressemitteilungs-Aktion ein klares, „warnendes“ Signal an die Unternehmen gesendet: Liebe Unternehmen, macht Euch generell über die eingesetzten Technologien der eigenen Website(s) Gedanken und handelt gegebenenfalls.
Folgende Fragen sollten Sie demnach zu jedem Ihrer Web-Tools mindestens beantworten und Ihrer Aufsichtsbehörde auf Nachfrage auch dokumentiert (!) präsentieren können:
- Welche Rechtsgrundlage kommt für die Datenverarbeitung durch das Web-Tool in Frage?
- Einwilligung (Opt-In)?
- Vertrag?
- berechtigtes Interesse (Opt-Out)?
- Welches berechtigte Interesse habe ich als Unternehmen?
- Ist dieses Web-Tool erforderlich für die Erreichung des Zwecks, den wir diesbezgl. verfolgen?
- Welche konkreten Erkenntnisse wollen wir aus den Daten ziehen?
- Reicht uns u.U. ein „kleineres“ Tool da nur ein Bruchteil der Auswertungen relevant für uns ist?
- Welche Interessen haben unsere Website-Besucher?
- Was erwarten diese?
- Wie informiert sind diese unsererseits?
- Haben wir alle Tools datenschutzkonform eingebunden (ohne automatische Datenübertragungen, 2-Klick-Lösungen, Anonymisierung etc.)
- Bieten wir saubere Opt-Outs an?
- Verfolgen wir unseren Besucher nicht über unsere Seite hinaus (Re-Targeting)?
- Hat der Website-Nutzer eine echte Wahl?
- Können Kinder ausgeschlossen werden?
- Werden durch unsere Website sensible Daten erhoben, z.B. weil wir ein Gesundheitsportal, eine Selbsthilfegruppen-Seite oder „Erwachsenenseiten“ betreiben?
Google Analytics weiter nutzen oder nicht?
Fakt ist, dass Google-Produkte in Bezug auf den Datenschutz eine Wissenschaft für sich und damit eine enorme und dauerhafte Herausforderung für Websitebetreiber darstellen (auch wenn sie von einer Web-Agentur betreut werden. Die Verantwortung für Datenschutzkonformität bleibt immer bei Ihnen!). Sprich, Sie müssen regelmäßig Ihre Interessenabwägung bzw. die korrekte Einbindung auf den Prüfstand stellen.
Jedes Unternehmen sollte sich fragen, ob sich die wirtschaftlichen Vorteile der Google-Produktpaletten-Nutzung zu Gunsten des Datenschutzes für jeden Website-Besucher auch mit technisch überblickbareren und transparenteren Mitteln erreichen lassen.
Ob Sie Google Analytics generell – bzw. (weiterhin) ohne Einwilligung – nutzen möchten, hängt von
- Ihren Argumenten für Ihr berechtigtes Interesse,
- Ihren akribischen Google-Kontoeinstellungen,
- der dauerhaft korrekten technischen Implementierung (werfen Sie hierzu auch einen Blick hierein: https://support.google.com/analytics/answer/6004245?hl=de und folgen Sie auch den thematisch weiterführenden Links)
- ggf. Ihrer Risikobereitschaft (viele Aufsichtsbehörden positionieren sich für eine Einwilligung),
- Ihren Nerven
- sowie von Ihren finanziellen Mitteln ab – für den Fall eines Bußgelds bzw. einer gerichtlichen Klärung – wenn Ihre Argumente schwächer sind als die Ihrer Aufsichtsbehörde.
Hier finden Sie die einzelnen Pressemitteilungen vom 14.11.2019 im Überblick:
Bundesbeauftragte
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/26_WebtrackingEinwilligung.html
„Personenbezogenes Webtracking nur mit Einwilligung“
Baden-Württemberg
keine Pressemitteilung gefunden
Bayern
https://www.lda.bayern.de/media/pm/pm2019_14.pdf
„Google Analytics nur mit Einwilligung“
Berlin
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191114-PM-Analyse_Trackingtools.pdf
„Datenschutzbeauftragte: Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar“
Brandenburg:
https://www.lda.brandenburg.de/cms/detail.php/bb1.c.650416.de
„Datenschutzbeauftragte fordert Webseiten-Betreiber auf, den Einsatz von Analyse-Diensten zu überprüfen | 12/2019“
Bremen
https://www.datenschutz.bremen.de/sixcms/media.php/13/Pressemitteilung_Drittanbieter_14.pdf
„Aus aktuellem Anlass: Einbindung von Drittanbietern bei Webseiten und Apps“
Hamburg
https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-analytics
„Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar“
Hessen
https://datenschutz.hessen.de/pressemitteilungen/einbindung-von-drittanbieter-diensten-webseiten-und-apps
„Einbindung von Drittanbieter-Diensten in Webseiten und Apps“
Niedersachsen
https://lfd.niedersachsen.de/startseite/allgemein/presseinformationen/google-analytics-und-ahnliche-dienste-nur-mit-einwilligung-zulassig-182595.html
„Google Analytics und ähnliche Dienste nur mit Einwilligung zulässig“
Nordrhein-Westfalen
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Google-Analytics-und-aehnliche-Dienste-nur-mit-Einwilligung-nutzbar/PR-14_11.pdf
„Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar“
Rheinland-Pfalz
https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/google-analytics-und-aehnliche-dienste-nur-mit-einwilligung-nutzbar/
„Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar“
Saarland
https://www.datenschutz.saarland.de/ueber-uns/aktuelles/nachricht/pressemitteilung-vorsicht-bei-einbindung-von-analyse-diensten-auf-websites-website-betreiber-soll/
„Vorsicht bei Einbindung von Analyse-Diensten auf Websites – Website-Betreiber sollten ihr Angebot überprüfen“
Sachsen
https://www.saechsdsb.de/presse/597-presseerklaerung-vorsicht-bei-einbindung-von-analyse-diensten-auf-websites-website-betreiber-sollten-ihr-angebot-ueberpruefen
„Presseerklärung – Vorsicht bei Einbindung von Analyse-Diensten auf Websites – Website-Betreiber sollten ihr Angebot überprüfen“
Sachsen-Anhalt
https://datenschutz.sachsen-anhalt.de/service/aktuelles/google-analytics/
„Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar – Webseiten-Betreiber sollten ihr Angebot überprüfen“
Schleswig-Holstein
https://www.datenschutzzentrum.de/artikel/1302-Achtung,-Webseiten-Betreiber-Bitte-Einbindung-von-Analyse-Diensten-ueberpruefen.html
„Achtung, Webseiten-Betreiber: Bitte Einbindung von Analyse-Diensten überprüfen“
Thüringen
https://www.tlfdi.de/mam/tlfdi/presse/191114_pressemitteilung_zu_google_analytics.pdf
„Website-Betreiber sollten ihr Angebot überprüfen – Google Analytics und ähnliche Dienste nur noch mit Einwilligung nutzbar – „