Die deutsche Konferenz der Datenschutzaufsichtsbehörden (DSK) hat auf den 12. Mai 2020 datierte Hinweise zum Einsatz von Google Analytics durch private Stellen veröffentlicht:
Die Datenschutzaufsichtsbehörden haben vor dem Hintergrund des neuen Rechtsrahmens mit Geltung der DS-GVO den Einsatz von Google Analytics neu bewertet. Ältere Auffassungen der Datenschutzaufsichtsbehörden, die unter Berücksichtigung der Rechtslage vor dem 25.05.2018 kommuniziert wurden, gelten damit als überholt. [Fn: Dies gilt insbesondere für die Veröffentlichung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, „Hinweise für Webseitenbetreiber mit Sitz im Hamburg, die Google Analytics einsetzen“]
Die Hinweise gelten für den Einsatz von Google Analytics in der Standardkonfiguration (ohne etwa Analytics 360).
Bemerkungen
Die DSK hält in Kürze fest, dass
- Google beim Einsatz von Google Analytics mit dem Webseitenbetreiber insgesamt gemeinsam verantwortlich ist und
- Google Analytics nur mit Einwilligung eingesetzt werden darf.
Was das Erfordernis der Einwilligung angeht, so entspricht die Haltung der DSK den bereits früher geäusserten Auffassungen von Behörden (z.B. des LfDI Rheinland-Pfalz) und soweit ersichtlich des Verwaltungsgerichts Mainz (vgl. auch hier).
Neu ist aber die Einschätzung, dass Google ein gemeinsam Verantwortlicher sei. Die von Google bereitgestellte Auftragsverarbeitungsvereinbarung ändere daran nichts. Das bedeutet, dass der Einsatz von Google Analytics nicht nur eine Einwilligung voraussetzt (was im Übrigen nochmals bestätigt, dass die Datenübermittlung zwischen gemeinsam Verantwortlichen nicht privilegiert ist, sondern eine Rechtsgrundlage erfordert), sondern auch eine Vereinbarung zwischen gemeinsam Verantwortlichen i.S.v. Art. 26 DSGVO. Bislang hat Google keine entsprechende Vereinbarung vorgelegt.
Für Unternehmen in der Schweiz kann die DSGVO anwendbar sein, wenn das Nutzerverhalten von Personen mit Aufenthaltsort im EWR (einschliesslich Liechtensteins) erfasst wird. In diesem Fall wären die Anforderungen der DSK umzusetzen (wobei diese nicht rechtsverbindlich sind). Eine Möglichkeit kann darin bestehen, Zugriffe aus dem Ausland auszuschliessen oder nicht zu erfassen. Ohne solche Massnahmen setzt der Einsatz von Google Analytics eine Einschätzung des Rechtsrisikos voraus.
Das schweizerische DSG regelt den Einsatz von Google Analytics durch die allgemeinen Bearbeitungsgrundsätze und durch die schweizerische Cookie-Bestimmung, Art. 45c FMG – sofern auch für die Schweiz davon auszugehen ist, dass durch Google Analytics Personendaten bearbeitet werden, was keineswegs selbstverständlich ist. Diese Rechtslage wird sich mit der Revision des DSG kaum ändern, abgesehen von den Informationspflichten nach Art. 17 E‑DSG. Eine Einwilligung in den Einsatz von Google Analytics ist damit nicht notwendig. Eine Weitergabe von Persönlichkeitsprofilen oder – je nach Angebot einer Website – besonders schützenswerter Personendaten – an Google dürfte nicht vorliegen, da Google diese Daten selbst erhebt oder nach schweizerischem Recht ein Auftragsbearbeiter ist. Auch unter diesen Gesichtspunkt sollte daher keine Einwilligung erforderlich sein.
Auch eine Vereinbarung zwischen gemeinsam Verantwortlichen ist an sich nicht notwendig. Eine solche schreiben das DSG und das E‑DSG generell nicht vor, auch wenn sie bei arbeitsteiliger Datenbearbeitung sinnvoll sein kann. Da Google der DSGVO untersteht, müsste Google aber den Abschluss einer solchen Vereinbarung mit schweizerischen Webseitenbetreibern verlangen: Zwar sollten letztere nicht schon deshalb unter die DSGVO fallen, weil sie Daten gemeinsam mit einem Verantwortlichen im EWR bearbeiten. Aber die Vereinbarung zwischen gemeinsam Verantwortlichen bezweckt die sachgerechte Verteilung der Compliance-Pflichten, und wenn der schweizerische Verantwortliche solche Pflichten übernimmt, ohne sich dabei auf den DSGVO-Standard zu verpflichten, entstünde für sein EWR-Gegenüber das Risiko einer Regelungslücke.
Anwendbarkeit der DSGVO
Die DSK hält zunächst folgendes fest bzw. vertritt folgende Auffassung:
Beim Einsatz von Google Analytics werden immer personenbezogene Daten der Nutzer verarbeitet.
Die DSK widerspricht hier ausdrücklich der Auffassung von Google selbst, wonach Nutzungsdaten keine Personendaten darstellen. Die DSK begründet ihre Auffassung in diesem Punkt – die nicht selbstverständlich ist – allerdings nicht weiter.
Rollenverteilung: Google als gemeinsam Verantwortlicher
Google beim Einsatz von Google Analytics wird laut DSK nicht als Auftragsverarbeiter tätig.
Die DSK dazu:
Beim Einsatz von Google Analytics bestimmt der Website-Betreiber nicht allein über die Zwecke und Mittel der Datenverarbeitung. Diese werden vielmehr zum Teil ausschließlich von Google vorgegeben, sodass Google insoweit selbst verantwortlich ist, und vom Seitenbetreiber vertraglich akzeptiert. Die Verarbeitung beim Einsatz von Google Analytics stellt einen einheitlichen Lebenssachverhalt dar, in dem die verschiedenen Aspekte der Verarbeitung nur als Ganzes einen Sinn ergeben. Dies hat zur Folge, dass die Beteiligten innerhalb einer Verarbeitungstätigkeit nicht ihre Rolle als Auftragsverarbeiter und/oder Verantwortlicher wechseln können.
Die DSK widerspricht auch hier Google, nach deren Auffassung Google für bestimmte Verarbeitungen als Auftragsverarbeiter, für andere als Verantwortlicher tätig wird (zu letzterem vgl. die Shared Data Under Measurement Controller-Controller Data Protection Terms von Google). Vielmehr seien Google und der Webseitenbetreiber gemeinsam Verantwortliche i.S.v. Art. 26 DSGVO.
Rechtsgrundlage: Einwilligung
Da Google Analytics nicht vertragsnotwendig sei, scheide Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage aus. Auch Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) greife „in der Regel“ nicht:
Angesichts der konkreten Datenverarbeitungsschritte beim Einsatz von Google Analytics überwiegen die Interessen, Grundrechte und Grundfreiheiten der Nutzer regelmäßig die Interessen der Website-Betreiber. Insbesondere rechnet der Nutzer vernünftigerweise nicht damit , dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden. Dies geht weit über das hinaus, was im Rahmen des Art. 6 Abs. 1 lit. f) DS-GVO zulässig ist. Die Situation weicht insoweit erheblich von dem Fall einer Statistik-Funktion auf der eigenen Website oder mittels Auftragsverarbeitung ab.
Es bleibt daher i.d.R. nur die Einwilligung:
Im Ergebnis ist ein rechtmäßiger Einsatz von Google Analytics in der Regel nur aufgrund einer wirksamen Einwilligung der Webseitenbesuchenden gem. Art. 6 Abs. 1 lit. a), Art. 7 DS-GVO möglich.
Einholen der Einwilligung
Eine Einwilligung in die Verarbeitung von Personendaten durch Google Analytics untersteht den üblichen Anforderungen. Die DSK hält hierzu u.a. fest, dass
- in der Einwilligungserklärung klar und deutlich beschrieben werden muss, dass die Verarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu „beliebigen eigenen Zwecken wie zur Profilbildung nutzt“ sowie „mit anderen Daten wie eventueller GoogleAccounts verknüpft“. Google muss ausdrücklich als Empfänger der Daten aufgeführt werden;
- Nutzer nur aktiv einwilligen können (z.B. Anklicken eines Buttons);
- vor der Einwilligung keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden dürfen;
- die Einwilligung nur freiwillig ist, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung mit einer Dienstleistung könne dazu führen, dass die Einwilligung nicht freiwillig ist.
Zudem muss eine Widerspruchsmöglichkeit bestehen, bspw. dadurch, dass ein entsprechender Button eingebunden wird. Nicht ausreichend sei der blosse Hinweis auf das Add-On von Google zum Opt Out, u.a. weil dieser Widerruf nicht so einfach sei wie die Erteilung der Einwilligung.
Weitere Anforderungen
Im Weiteren muss die Datenschutzerklärung die Verarbeitung durch Google Analytics erläutern, und die Anwender „sollten“ die Kürzung der IP-Adresse durch Google aktivieren.