DSK: Ein­satz von Goog­le Ana­ly­tics durch pri­va­te Stel­len

Die deut­sche Kon­fe­renz der Daten­schutz­auf­sichts­be­hör­den (DSK) hat auf den 12. Mai 2020 datier­te Hin­wei­se zum Ein­satz von Goog­le Ana­ly­tics durch pri­va­te Stel­len ver­öf­fent­licht:

Die Daten­schutz­auf­sichts­be­hör­den haben vor dem Hin­ter­grund des neu­en Rechts­rah­mens mit Gel­tung der DS-GVO den Ein­satz von Goog­le Ana­ly­tics neu bewer­tet. Älte­re Auf­fas­sun­gen der Daten­schutz­auf­sichts­be­hör­den, die unter Berück­sich­ti­gung der Rechts­la­ge vor dem 25.05.2018 kom­mu­ni­ziert wur­den, gel­ten damit als über­holt. [Fn: Dies gilt ins­be­son­de­re für die Ver­öf­fent­li­chung des Ham­bur­gi­schen Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit, „Hin­wei­se für Web­sei­ten­be­trei­ber mit Sitz im Ham­burg, die Goog­le Ana­ly­tics ein­set­zen“]

Die Hin­wei­se gel­ten für den Ein­satz von Goog­le Ana­ly­tics in der Stan­dard­kon­fi­gu­ra­ti­on (ohne etwa Ana­ly­tics 360).

Bemer­kun­gen

Die DSK hält in Kür­ze fest, dass

  • Goog­le beim Ein­satz von Goog­le Ana­ly­tics mit dem Web­sei­ten­be­trei­ber ins­ge­samt gemein­sam ver­ant­wort­lich ist und
  • Goog­le Ana­ly­tics nur mit Ein­wil­li­gung ein­ge­setzt wer­den darf.

Was das Erfor­der­nis der Ein­wil­li­gung angeht, so ent­spricht die Hal­tung der DSK den bereits frü­her geäu­sser­ten Auf­fas­sun­gen von Behör­den (z.B. des LfDI Rhein­land-Pfalz) und soweit ersicht­lich des Ver­wal­tungs­ge­richts Mainz (vgl. auch hier).

Neu ist aber die Ein­schät­zung, dass Goog­le ein gemein­sam Ver­ant­wort­li­cher sei. Die von Goog­le bereit­ge­stell­te Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung ände­re dar­an nichts. Das bedeu­tet, dass der Ein­satz von Goog­le Ana­ly­tics nicht nur eine Ein­wil­li­gung vor­aus­setzt (was im Übri­gen noch­mals bestä­tigt, dass die Daten­über­mitt­lung zwi­schen gemein­sam Ver­ant­wort­li­chen nicht pri­vi­le­giert ist, son­dern eine Rechts­grund­la­ge erfor­dert), son­dern auch eine Ver­ein­ba­rung zwi­schen gemein­sam Ver­ant­wort­li­chen i.S.v. Art. 26 DSGVO. Bis­lang hat Goog­le kei­ne ent­spre­chen­de Ver­ein­ba­rung vor­ge­legt.

Für Unter­neh­men in der Schweiz kann die DSGVO anwend­bar sein, wenn das Nut­zer­ver­hal­ten von Per­so­nen mit Auf­ent­halts­ort im EWR (ein­schliess­lich Liech­ten­steins) erfasst wird. In die­sem Fall wären die Anfor­de­run­gen der DSK umzu­set­zen (wobei die­se nicht rechts­ver­bind­lich sind). Eine Mög­lich­keit kann dar­in bestehen, Zugrif­fe aus dem Aus­land aus­zu­schlie­ssen oder nicht zu erfas­sen. Ohne sol­che Mass­nah­men setzt der Ein­satz von Goog­le Ana­ly­tics eine Ein­schät­zung des Rechts­ri­si­kos vor­aus.

Das schwei­ze­ri­sche DSG regelt den Ein­satz von Goog­le Ana­ly­tics durch die all­ge­mei­nen Bear­bei­tungs­grund­sät­ze und durch die schwei­ze­ri­sche Coo­kie-Bestim­mung, Art. 45c FMG – sofern auch für die Schweiz davon aus­zu­ge­hen ist, dass durch Goog­le Ana­ly­tics Per­so­nen­da­ten bear­bei­tet wer­den, was kei­nes­wegs selbst­ver­ständ­lich ist. Die­se Rechts­la­ge wird sich mit der Revi­si­on des DSG kaum ändern, abge­se­hen von den Infor­ma­ti­ons­pflich­ten nach Art. 17 E‑DSG. Eine Ein­wil­li­gung in den Ein­satz von Goog­le Ana­ly­tics ist damit nicht not­wen­dig. Eine Wei­ter­ga­be von Per­sön­lich­keits­pro­fi­len oder – je nach Ange­bot einer Web­site – beson­ders schüt­zens­wer­ter Per­so­nen­da­ten – an Goog­le dürf­te nicht vor­lie­gen, da Goog­le die­se Daten selbst erhebt oder nach schwei­ze­ri­schem Recht ein Auf­trags­be­ar­bei­ter ist. Auch unter die­sen Gesichts­punkt soll­te daher kei­ne Ein­wil­li­gung erfor­der­lich sein.

Auch eine Ver­ein­ba­rung zwi­schen gemein­sam Ver­ant­wort­li­chen ist an sich nicht not­wen­dig. Eine sol­che schrei­ben das DSG und das E‑DSG gene­rell nicht vor, auch wenn sie bei arbeits­tei­li­ger Daten­be­ar­bei­tung sinn­voll sein kann. Da Goog­le der DSGVO unter­steht, müss­te Goog­le aber den Abschluss einer sol­chen Ver­ein­ba­rung mit schwei­ze­ri­schen Web­sei­ten­be­trei­bern ver­lan­gen: Zwar soll­ten letz­te­re nicht schon des­halb unter die DSGVO fal­len, weil sie Daten gemein­sam mit einem Ver­ant­wort­li­chen im EWR bear­bei­ten. Aber die Ver­ein­ba­rung zwi­schen gemein­sam Ver­ant­wort­li­chen bezweckt die sach­ge­rech­te Ver­tei­lung der Com­pli­an­ce-Pflich­ten, und wenn der schwei­ze­ri­sche Ver­ant­wort­li­che sol­che Pflich­ten über­nimmt, ohne sich dabei auf den DSGVO-Stan­dard zu ver­pflich­ten, ent­stün­de für sein EWR-Gegen­über das Risi­ko einer Rege­lungs­lücke.

Anwend­bar­keit der DSGVO

Die DSK hält zunächst fol­gen­des fest bzw. ver­tritt fol­gen­de Auf­fas­sung:

Beim Ein­satz von Goog­le Ana­ly­tics wer­den immer per­so­nen­be­zo­ge­ne Daten der Nut­zer ver­ar­bei­tet.

Die DSK wider­spricht hier aus­drück­lich der Auf­fas­sung von Goog­le selbst, wonach Nut­zungs­da­ten kei­ne Per­so­nen­da­ten dar­stel­len. Die DSK begrün­det ihre Auf­fas­sung in die­sem Punkt – die nicht selbst­ver­ständ­lich ist – aller­dings nicht wei­ter.

Rol­len­ver­tei­lung: Goog­le als gemein­sam Ver­ant­wort­li­cher

Goog­le beim Ein­satz von Goog­le Ana­ly­tics wird laut DSK nicht als Auf­trags­ver­ar­bei­ter tätig.

Die DSK dazu:

Beim Ein­satz von Goog­le Ana­ly­tics bestimmt der Web­site-Betrei­ber nicht allein über die Zwecke und Mit­tel der Daten­ver­ar­bei­tung. Die­se wer­den viel­mehr zum Teil aus­schließ­lich von Goog­le vor­ge­ge­ben, sodass Goog­le inso­weit selbst ver­ant­wort­lich ist, und vom Sei­ten­be­trei­ber ver­trag­lich akzep­tiert. Die Ver­ar­bei­tung beim Ein­satz von Goog­le Ana­ly­tics stellt einen ein­heit­li­chen Lebens­sach­ver­halt dar, in dem die ver­schie­de­nen Aspek­te der Ver­ar­bei­tung nur als Gan­zes einen Sinn erge­ben. Dies hat zur Fol­ge, dass die Betei­lig­ten inner­halb einer Ver­ar­bei­tungs­tä­tig­keit nicht ihre Rol­le als Auf­trags­ver­ar­bei­ter und/oder Ver­ant­wort­li­cher wech­seln kön­nen.

Die DSK wider­spricht auch hier Goog­le, nach deren Auf­fas­sung Goog­le für bestimm­te Ver­ar­bei­tun­gen als Auf­trags­ver­ar­bei­ter, für ande­re als Ver­ant­wort­li­cher tätig wird (zu letz­te­rem vgl. die Shared Data Under Mea­su­re­ment Con­trol­ler-Con­trol­ler Data Pro­tec­tion Terms von Goog­le). Viel­mehr sei­en Goog­le und der Web­sei­ten­be­trei­ber gemein­sam Ver­ant­wort­li­che i.S.v. Art. 26 DSGVO.

Rechts­grund­la­ge: Ein­wil­li­gung

Da Goog­le Ana­ly­tics nicht ver­trags­not­wen­dig sei, schei­de Art. 6 Abs. 1 lit. b DSGVO als Rechts­grund­la­ge aus. Auch Art. 6 Abs. 1 lit. f DSGVO (berech­tig­tes Inter­es­se) grei­fe „in der Regel“ nicht:

Ange­sichts der kon­kre­ten Daten­ver­ar­bei­tungs­schrit­te beim Ein­satz von Goog­le Ana­ly­tics über­wie­gen die Inter­es­sen, Grund­rech­te und Grund­frei­hei­ten der Nut­zer regel­mä­ßig die Inter­es­sen der Web­site-Betrei­ber. Ins­be­son­de­re rech­net der Nut­zer ver­nünf­ti­ger­wei­se nicht damit , dass sei­ne per­so­nen­be­zo­ge­nen Daten mit dem Ziel der Erstel­lung per­so­nen­be­zo­ge­ner Wer­bung und der Ver­knüp­fung mit den aus ande­ren Zusam­men­hän­gen gewon­ne­nen per­so­nen­be­zo­ge­nen Daten an Drit­te wei­ter­ge­ge­ben und umfas­send aus­ge­wer­tet wer­den. Dies geht weit über das hin­aus, was im Rah­men des Art. 6 Abs. 1 lit. f) DS-GVO zuläs­sig ist. Die Situa­ti­on weicht inso­weit erheb­lich von dem Fall einer Sta­ti­stik-Funk­ti­on auf der eige­nen Web­site oder mit­tels Auf­trags­ver­ar­bei­tung ab.

Es bleibt daher i.d.R. nur die Ein­wil­li­gung:

Im Ergeb­nis ist ein recht­mä­ßi­ger Ein­satz von Goog­le Ana­ly­tics in der Regel nur auf­grund einer wirk­sa­men Ein­wil­li­gung der Web­sei­ten­be­su­chen­den gem. Art. 6 Abs. 1 lit. a), Art. 7 DS-GVO mög­lich.

Ein­ho­len der Ein­wil­li­gung

Eine Ein­wil­li­gung in die Ver­ar­bei­tung von Per­so­nen­da­ten durch Goog­le Ana­ly­tics unter­steht den übli­chen Anfor­de­run­gen. Die DSK hält hier­zu u.a. fest, dass

  • in der Ein­wil­li­gungs­er­klä­rung klar und deut­lich beschrie­ben wer­den muss, dass die Ver­ar­bei­tung im Wesent­li­chen durch Goog­le erfolgt, die Daten nicht anonym sind, wel­che Daten ver­ar­bei­tet wer­den und dass Goog­le die­se zu „belie­bi­gen eige­nen Zwecken wie zur Pro­fil­bil­dung nutzt“ sowie „mit ande­ren Daten wie even­tu­el­ler Goo­g­le­Ac­counts ver­knüpft“. Goog­le muss aus­drück­lich als Emp­fän­ger der Daten auf­ge­führt wer­den;
  • Nut­zer nur aktiv ein­wil­li­gen kön­nen (z.B. Anklicken eines But­tons);
  • vor der Ein­wil­li­gung kei­ne Daten erho­ben oder Ele­men­te von Goog­le-Web­sites nach­ge­la­den wer­den dür­fen;
  • die Ein­wil­li­gung nur frei­wil­lig ist, wenn die betrof­fe­ne Per­son Wahl­mög­lich­kei­ten und eine freie Wahl hat. Sie muss eine Ein­wil­li­gung auch ver­wei­gern kön­nen, ohne dadurch Nach­tei­le zu erlei­den. Die Kop­pe­lung mit einer Dienst­lei­stung kön­ne dazu füh­ren, dass die Ein­wil­li­gung nicht frei­wil­lig ist.

Zudem muss eine Wider­spruchs­mög­lich­keit bestehen, bspw. dadurch, dass ein ent­spre­chen­der But­ton ein­ge­bun­den wird. Nicht aus­rei­chend sei der blo­sse Hin­weis auf das Add-On von Goog­le zum Opt Out, u.a. weil die­ser Wider­ruf nicht so ein­fach sei wie die Ertei­lung der Ein­wil­li­gung.

Wei­te­re Anfor­de­run­gen

Im Wei­te­ren muss die Daten­schutz­er­klä­rung die Ver­ar­bei­tung durch Goog­le Ana­ly­tics erläu­tern, und die Anwen­der „soll­ten“ die Kür­zung der IP-Adres­se durch Goog­le akti­vie­ren.