Foxlaw - Datenschutz: DSK beschließt Grundsatzpapier zum Einsatz von Google Analytics

Datenschutz: DSK beschließt Grundsatzpapier zum Einsatz von Google Analytics

Details: Erstellt: Freitag, 26. Juni 2020 09:07

In einem aktuellen Grundsatzpapier vom 12.05.2020 hat sich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK) zum Einsatz von Google Analytics auf Webseiten im nicht-öffentlichen Bereich geäußert.

Das Grundsatzpapier kommt dabei zu dem Ergebnis, dass Google Analytics rechtskonform einsetzbar ist, verlangt dafür aber als einzig mögliche Rechtsgrundlage die Einwilligung des Betroffenen nach Art. 6 1 lit a DSGVO. Der Einsatz von Google Analytics kann nach Ansicht der DSK damit insbesondere nicht auf die berechtigten Interessen nach Art. 6 Abs. 1 f) DSGVO gestützt werden.

Explizite Einwilligung erforderlich

Für die Einwilligung des Betroffenen definiert die DSK dann bestimmte Mindestvoraussetzungen. So muss der Website-Betreiber zunächst sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst. Dann muss in der Einwilligung klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller Google-Accounts verknüpft. Letztlich muss der betroffene aktiv und freiwillig in die Datenverarbeitung durch Google Analytics einwilligen, bevor die Datenverarbeitung beginnt.

Gestaltungshinweise

Die DSK formuliert dann konkrete Gestaltungshinweise, etwa die Verwendung einer eindeutigen Überschrift für die Einwilligungserklärung („Datenverarbeitung Ihrer Nutzerdaten durch Google"), die eindeutige und unmissverständliche Beschreibung von Links sowie die eindeutige Kenntlichmachung des Zwecks der Verarbeitung. Zudem fordert die DSK, dass stets eine technische Widerspruchsmöglichkeit („Opt-Out-Möglichkeit“) bereitgestellt werden muss.

Die Praxis

Für die Praxis bedeutet das, dass Google Analytics durchaus rechtskonform eingesetzt werden kann, es aber gerade im Hinblick auf die Einwilligungserklärung für jeden Webseitenbetreiber schwer werden dürfte, den Nutzer unmissverständlich über den Zweck der Datenverarbeitung durch Google zu informieren – denn Google selbst hält sich dazu leider weiterhin sehr bedeckt. Um zumindest das Mögliche zu tun, sollte der Webseitenbetreiber in seiner Datenschutzerklärung zumindest angeben,

für welchen Zweck Google Analytics verwendet wird,
dass die Nutzungsdaten in erster Linie von Google LLC (und nicht vom Webseitenbetreiber) verarbeitet werden,
die Daten in den USA gespeichert werden,
sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben,
diese Daten mit anderen Daten des Nutzers verknüpft werden (können).

Darüber hinaus bedarf es zwingend einer expliziten Einwilligung, die etwa über ein sog. „Consent Management Tool“, das die Cookies, den Anbieter und den Speicherzweck benennt sowie die Speicherdauer des Cookies angibt, eingeholt werden kann. Das alte „Cookie-Banner“ reicht also nicht.

Zwar haben die Stellungnahmen der DSK keinen verbindlichen Rechtscharakter, dienen aber Behörden und Gerichten als Auslegungs- bzw. Entscheidungshilfe.

Das Grundsatzpapier kann hier abgerufen werden.