Anzeige
Anzeige
Datenschutz Daten

Datenschutzbehörden erhöhen Druck: Google Analytics nur mit Einwilligung?

Der Druck auf Websitebetreiber, die Tracking-Tools wie Google Analytics verwenden, wurde durch die Datenschutzbehörden am 14. November 2019 erneut erhöht: Sie bekräftigten ihre Auffassung, dass der Einsatz solcher Dienste ausschließlich mit Einwilligung der Nutzer zulässig ist.

Der Druck auf Websitebetreiber, die Tracking-Tools verwenden, wurde durch die Datenschutzbehörden am 14. November 2019 erneut erhöht (Bild: Unsplash)
Anzeige
Anzeige

Der Druck auf Websitebetreiber, die Tracking-Tools wie Google Analytics verwenden, wurde durch die Datenschutzbehörden am 14. November 2019 erneut erhöht: Sie bekräftigten ihre Auffassung, dass der Einsatz solcher Dienste ausschließlich mit Einwilligung der Nutzer zulässig ist. In dem Zusammenhang machen die Behörden deutlich, dass bei Verstößen gegen die DSGVO mit hohen Bußgeldern zu rechnen ist. Es lägen ihnen bereits viele Beschwerden wegen der unzulässigen Einbindung derartiger Dienste vor. Was bedeutet das für die Digitalwirtschaft?

Eine neue Position der Aufsichtsbehörden?

Schon einige Monate vor dem aktuellen Urteil des EuGH zum Einsatz von Cookies („Planet49“) vertrat die Datenschutzkonferenz (DSK) in ihrer Orientierungshilfe für Anbieter von Telemedien eine äußerst kritische Ansicht zum Einsatz von Werbe-Cookies, Tracking-Tools und ähnlichen Technologien. In der Orientierungshilfe äußerte die DSK, dass eine Berufung auf die berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) allenfalls unter strengen Voraussetzungen zulässig sei. Die Datenverarbeitung müsse insbesondere erforderlich sein. Das heißt, es darf kein milderes, gleich geeignetes Mittel geben. Darüber hinaus ist eine Abwägung der Interessen der Websitebesucher und -betreiber vorzunehmen.

Anzeige

Die DSK stellt diesbezüglich klar, dass sie die Nutzung von Analysediensten, bei denen Daten an externe Dritte übermittelt werden (wie bei Google Analytics), gerade für nicht erforderlich hält – weil es Alternativen gibt, bei denen die Reichweitenmessung durch eine lokale Implementierung erfolgt (wie z. B. bei Matomo) und ausschließlich eigenen Zwecken dient. Eine solche Reichweitenmessung wäre dann nach Auffassung der Bayerischen Datenschutzaufsichtsbehörde ohne Einwilligung möglich.

Die Position der Datenschutzbehörden ist nicht neu, sondern die Fortsetzung der bisherigen (rechtspolitischen) Äußerungen zum Thema Tracking. Die aktuellen Pressemitteilungen sind aber als deutlicher Hinweis zu verstehen, dass die Behörden akuten Handlungsbedarf bei Websitebetreibern sehen und sie gewillt sind, ihre Auffassung auch im Wege der Aufsicht – also durch Untersagungen oder Bußgeldverfahren – durchzusetzen.

Mehr zum Thema: Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Verfolgt Google mit Analytics eigene Zwecke?

Entscheidend für die Änderung der Auffassung der Behörden im Vergleich zu früheren Einschätzungen zu Google Analytics sei, dass Google mittlerweile auch eigene Zwecke mit den Trackingdaten verfolge und Profile der getrackten Nutzer erstelle. Eine Einwilligung sei deshalb unumgänglich. Google selbst macht hingegen deutlich, dass die Datenverarbeitung im Rahmen von Google Analytics ausschließlich im Auftrag des Websitebetreibers erfolge. Insbesondere die Berliner Datenschutzbehörde sieht das jedoch anders und meint, dass es sich nicht um eine Auftragsverarbeitung handle – und der angebotene Auftragsverarbeitungsvertrag (AVV) nicht genüge.

In den von Google hierzu angebotenen Quellen, dem AVV und weiteren Hinweisen zu Google Analytics, gibt es jedoch keine Hinweise auf eine Verarbeitung zu eigenen Zwecken. Wenngleich es nicht unwahrscheinlich ist, dass seitens Google Begehrlichkeiten an den getrackten Daten bestehen, unterwirft sich Google vollständig den Weisungen des Websitebetreibers.

Interessenabwägung nach der Datenschutzkonferenz

Unabhängig von dieser Frage ist jedoch in jedem Fall eine umfassende Interessenabwägung anzustellen. Die Orientierungshilfe (S. 17 ff.) der DSK nennt dabei acht Kriterien, nach denen jedes Tool einzeln bewertet werden müsse. Man muss davon ausgehen, dass die Aufsichtsbehörden im Falle einer Prüfung sehen wollen, dass die Kriterien zugrunde gelegt wurden. Die Dokumentation der Interessenabwägung ist daher unbedingt zu empfehlen.

Mehr zum Thema: Emotion Tracking macht Verhalten des Kunden plausibel

Wie groß ist die Gefahr von Bußgeldern?

Verstöße gegen Art. 6 (Rechtmäßigkeit der Verarbeitung) und Art. 25 DSGVO (datenschutzfreundliche Technikgestaltung) sind bußgeldbedroht. Nach Aussagen der Behörden wurden bereits zahlreiche Verfahren in diesen Zusammenhang eingeleitet und künftig soll die Zahl weiter steigen. Diese Verlautbarung sollte zum Anlass genommen werden, den Einsatz eigener Tracking-Tools akut zu überprüfen.

Was ist konkret zu tun?

Zunächst sollte sich jeder Websitebetreiber einen aktuellen Überblick über alle Cookies, eingebundenen Dienste und Technologien auf der eigenen Website verschaffen. Die Cookies sowie die diesbezüglich nach dem Planet49-Urteil maßgeblichen Angaben (Name, Lebensdauer, Zweck und ggf. Empfänger) sollten aufgelistet werden.

Für die einzelnen Cookies und Dienste muss eine Rechtsgrundlage vorliegen. Die technisch erforderlichen Cookies, die der Umsetzung von zentralen Funktionen der Seite (z. B. Login oder Warenkorb-Funktionen) dienen, sollten identifiziert werden. Legt man die strengen Anforderungen der DSK zugrunde, wird das Setzen von Cookies für andere, optionale Zwecke, wie der Personalisierung von Seiteninhalten, Affiliate oder sonstige Marketingzwecke der meisten Drittanbieter-Tools, nur mit Einwilligung zulässig sein. Etwaige Spielräume für die alternative Berufung auf die berechtigten Interessen (und damit auf eine Opt-out-Gestaltung statt vorheriger Einwilligung) sind sorgfältig zu prüfen. In den Datenschutzhinweisen der Website sind die Cookie-Informationen und Rechtsgrundlagen darzulegen. Im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten (VVT) sollten zudem alle Datenverarbeitungen im Rahmen der Websitenutzung dokumentiert werden.

Einwilligung rechtskonform umsetzen

Sofern man eine Einwilligung für die Cookies einholt, muss diese freiwillig und informiert erfolgen. Die konkrete Ausgestaltung des Cookie-Banners, die Größe und Hervorhebung von Buttons und Links sowie die einzelnen Optionen, wird von den Behörden nicht konkret vorgegeben. So kann darüber nachgedacht werden, ob man z. B. nur zwei Buttons anbietet, durch die ein Besucher den optionalen Cookies und Diensten zustimmen oder sie individuell anpassen kann, oder ob man auch einen eindeutigen Button zum Ablehnen aller optionalen Cookies anbietet. Voreingestellte Ankreuzkästchen sind jedoch auf jeden Fall unzulässig.

Nicht zulässig ist auch die Gestaltung, bei der durch bloßes Weitersurfen der Nutzung von Cookies zugestimmt wird. Sollte ein ähnlicher Satz im Cookie-Banner stehen, gibt es deshalb sofortigen Handlungsbedarf. Der Banner muss klar machen, ob eine Einwilligung eingeholt wird oder er nur der Kenntnisnahme dient, weil man die Datenverarbeitung auf ein berechtigtes Interesse stützt.

Fazit und Ausblick

Ob man die betroffenen Dienste nur noch mit Einwilligung nutzt – oder sich auf ein berechtigtes Interesse stützt – ist aktuell auch eine Frage der eigenen Risikobereitschaft. Die Behörden haben klar Stellung bezogen und die Äußerungen entbehren nicht einer gewissen Polemik. Jedenfalls sind die rechtlichen Aussagen stark verkürzt – denn eine Einwilligungspflicht ergibt sich aus den gesetzlichen Grundlagen gerade nicht. Mehr Rechtssicherheit wird sich erst aus gerichtlichen Urteilen ergeben. Bis dahin bleiben auch die Ansichten der Behörden nur Positionen im breiten Meinungsspektrum. Die Behörden haben es jedoch in der Hand, die Verfahren gegen Verantwortliche einzuleiten und Bußgelder verhängen, um so gerichtliche Entscheidungen zu forcieren.

Es ist jedenfalls höchste Zeit, sich intensiv mit eingebundenen Diensten auf der eigenen Website auseinanderzusetzen. Insbesondere nach dem Bußgeld der Berliner Datenschutzbehörde in Höhe von 14,5 Mio. Euro gegen eine Immobiliengesellschaft ist klar: Die Behörden scheuen hohe Bußgelder im Rahmen von Verstößen gegen die DSGVO nicht mehr.

Wir empfehlen daher eine detaillierte Bestandsaufnahme zu initiieren und im Anschluss anhand der eigenen Risikoaffinität und Bedeutung des Trackings für die Marketingaktivitäten die eigene Position festzulegen. Es sollte dabei jedoch jede Inkohärenz im Rahmen der Gestaltung der Website vermieden und ein sachgerechtes Konzept für die Datennutzung dokumentiert werden.

Philipp Müller-Peltzer Rechtsanwalt und Associated Partner bei Schürmann Rosenthal Dreyer. Er ist auf das Datenschutzrecht, Wettbewerbs- und IT-Recht spezialisiert.

Lead Reps Ctab 1200X1080
LEAD Reports

Weiterbilden zahlt sich aus! Finde endlich heraus, wie du die ganze Power von Google mit SEO, SEM und Analytics richtig ausschöpfen kannst! Die LEAD Reports sind deine How-to-Guides zum Downloaden. Für je 99 Euro holst du dir dein Basiswissen rund um Suchmaschinenmarketing und Web Analytics direkt auf dein Device!

Anzeige
Verlagsangebot
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote
Anzeige