Wie kann der datenschutzkonforme Einsatz von Google Analytics aussehen? Damit hat sich die Datenschutzkonferenz im Mai befasst.

Der Beschluss der Datenschutzkonferenz mit Hinweisen zu Google Analytics

In einem Beschluss der Datenschutzkonferenz (DSK) vom 12. Mai 2020 „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ hat sich die DSK erneut mit einigen Aspekten zum datenschutzkonformen Einsatz von Google Analytics befasst. Der Beschluss der DSK kann als Fortsetzung der bereits im November 2019 veröffentlichten Mitteilungen verschiedener Landesbehörden sowie der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien angesehen werden. Die DSK distanziert explizit von vorherigen Mitteilungen insbesondere von der des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Während die Inhalte der Positionierung der DSK zum Großteil mittlerweile als datenschutzrechtliche Selbstverständlichkeiten gelten dürften, überrascht eine andere Feststellung.

Gemeinsame Verantwortlichkeit

Die wohl wesentlichste Feststellung der DSK ist, dass in Abkehr zu vorherigen Positionierungen das datenschutzrechtliche Rechtsverhältnis zwischen Google und Anwender (also Webseitenbetreiber) nicht mehr durch ein Auftragsverhältnis nach Art. 28 DS-GVO, sondern durch eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO gekennzeichnet sein soll. Wesentliches Argument in diesem Zusammenhang sei, dass Google die Daten nicht auf Weisung des Webseitenbetreibers verarbeite, sondern die Zwecke der Verarbeitung selbst vorgebe. Ferner könnten die einzelnen Aspekte der Datenverarbeitung durch Google Analytics nicht isoliert betrachtet und bewertet werden, da sie einen „einheitlichen Lebenssachverhalt“ betreffen würden.

Einwilligung, Widerruf und Kürzung der IP-Adresse

Des Weiteren äußerte sich die DSK zur Rechtsgrundlage der Datenverarbeitung und stellte fest, dass diese nur in einer Einwilligung der Webseitenbesucher zu sehen sein könne. Ein Vertragsverhältnis nach Art. 6 Abs. 1 lit. b DS-GVO zwischen betroffenem Webseitenbesucher und Webseitenbetreiber rechtfertige keine Datenverarbeitung durch Google Analytics. Auch eine Interessensabwägung nach Art. 6 Abs.1 lit. f DS-GVO führt nicht zur Rechtfertigung, da der Nutzer mit der Verarbeitung durch Google und dessen Werbepartner nicht rechnen und dieses auch nicht akzeptieren müsse.

Ergänzend führt die DSK aus, dass beim Einsatz von Google Analytics immer ein einfach zugänglicher Mechanismus zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein müsse. Dieser könne etwa durch eine entsprechende Schaltfläche zu sehen sein. Insbesondere sei es nicht ausreichend, dass allein auf das Browser-Add-On zur Deaktivierung von Google Analytics verwiesen werde.

Zudem hebt die DSK hervor, dass zusätzlich technische Schutzmaßnahmen ergriffen werden sollten wie die Kürzung der IP-Adresse. Hierzu sei der Trackingcode auf den jeweiligen Webseiten zu ändern.

Konsequenzen und Bewertung

Die wohl größte Änderung für Webseitenbetreiber stellt der Wechsel von der Auftragsverarbeitung hin zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO dar. Die diesbezügliche Begründung überzeugt allerdings nicht, da sie eine zivilrechtliche Selbstverständlichkeit rezitiert. Dass die Zwecke der Datenverarbeitung maßgeblich durch den Auftragnehmer durch Gestaltung seiner Dienstleistung bestimmt werden, liegt in der Natur der Sache und gilt für alle Auftragsverhältnisse. Mit dem gleichen Argument ließe sich etwa auch das Auftragsverhältnis mit IT-Dienstleistern ablehnen, die Software für Gehaltsabrechnungen anbieten.

Webseitenbetreiber sollten nun einen Vertrag nach Art. 26 DS-GVO mit Google abschließen, der die diesbezüglichen gesetzlichen Mindestinhalte enthält. Google hat bereits reagiert und innerhalb der Nutzerverwaltung „Controller-Controller Data Protection Terms“ zur Verfügung gestellt. Inwieweit diese Bestimmungen den gesetzlichen Anforderungen entsprechen, ist derzeitig noch nicht absehbar. Jedenfalls ist der standardmäßige Abschluss des Vertrags zur Auftragsverarbeitung nach Art. 28 DS-GVO nach der Ansicht der DSK nun nicht mehr ausreichend.

Die Aussagen zur Rechtsgrundlage überraschen zwar nicht vom Ergebnis her, jedoch insofern, als dass in der Orientierungshilfe der DSK für Telemedien noch wert darauf gelegt worden ist, dass pauschale Feststellungen zur Interessensabwägung nach Art. 6 Abs. 1 lit. f DS-GVO nicht akzeptiert würden, da sie die gesetzlichen Anforderungen nicht erfüllen würden. Aus einem Umkehrschluss heraus ließe sich nun auch mit entsprechenden Argumenten die DSK kritisieren. Trotzdem ist positiv hervorzuheben, dass nun zumindest mehr Rechtssicherheit hinsichtlich der Rechtsgrundlage besteht und keine Dokumentation der Interessensabwägung zu Google Analytics (mehr) erforderlich ist.

Fazit

Webseitenbetreiber, die Google Analytics nutzen, sind nun als gemeinsame Verantwortliche mit Google einzuordnen und sollten entsprechende Verträge mit Google akzeptieren, auch wenn die aufsichtsbehördliche Einordnung nicht überzeugt. Die DSK legt ferner wert darauf, dass allein das Anbieten eines Browser-Add-On zum Widerruf der Einwilligung nicht ausreicht, sondern eigene technische Widerrufsmöglichkeiten bereitgestellt werden. Auch sollte die Datenschutzerklärung der eigenen Webseite insbesondere mit Blick auf die Rechtsgrundlage überarbeitet werden.