Datenschutz : Google Analytics neu bewertet
Nach der Einführung der EU Datenschutzgrundverordnung (DSGVO) mussten die datenschutzrechtlichen Empfehlungen beim Einsatz von Google Analytics neu bewertet werden – die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat hierzu eine neue Handreichung veröffentlicht.
Von Stefan Jaeger, Wiesbaden
Wie leicht war doch das Leben, als es noch keine verbindlichen Regelungen zum Datenschutz gab?! Seinerzeit konnte man sich als Websitebetreiber noch guter Dinge um seine originäre Arbeit kümmern und musste nicht nebenbei ein Jurastudium absolvieren, um juristische Spitzfindigkeiten der datenschutzrechtlichen Regelungen einigermaßen zu verstehen und umzusetzen. Diese Zeiten sind längst vorbei und Verantwortliche sind heute zusätzlich der Gefahr ausgesetzt, sich bei der falschen Anwendung solcher Regelungen schadensersatzpflichtig (Art. 82 Abs. 1 und 2 DSGVO – siehe etwa https://dsgvo-gesetz.de) oder schlimmstenfalls sogar strafbar (§ 42 Abs. 2 BDSG) zu machen.
Das Leben wäre auch heute noch einfacher, wenn man wenigstens guten Gewissens den Empfehlungen derjenigen folgen könnte, die es wissen müssten, zum Beispiel der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK, www.datenschutzkonferenz-online.de). Diese haben nämlich in einem Beschluss am 12. Mai 2020 „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ veröffentlicht. Aber bitte schön: Sich darauf blind zu verlassen wäre töricht, denn direkt zu Beginn dieser Empfehlungen wird ausdrücklich gewarnt, dass es sich „keinesfalls um eine abschließende Beurteilung“ handele und die Auffassungen der DSK „unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss und der Rechtsprechung des EuGH“ stehen.
Am Ende muss dann doch wieder der Administrator den Kopf hinhalten, wenn er den Empfehlungen zwar folgt, aber der EuGH diesen Kopf wäscht und meint, im Ergebnis sei alles ganz anders. Es bleibt die Hoffnung, dass man wenigstens bei der späteren Bewertung, ob jemand vorsätzlich oder fahrlässig gehandelt hat, zur Entlastung des Handelnden berücksichtigt, wenn dieser den Hinweisen der DSK gefolgt ist.
Personenbezug: klar, oder?
Schon am Anfang weist die DSK auf ein interessantes „Missverständnis“ hin: Nach § 42 Absatz 2 BDSG kann die unberechtigte Verarbeitung personenbezogener Daten unter bestimmten Voraussetzungen mit Freiheitsstrafe bis zu zwei Jahren sanktioniert werden. So erscheint es gut, dass in den Hilfetexten von Google Analytics steht, dass Nutzungsdaten keine personenidentifizierbaren Informationen seien. Danach führt Google jedoch aus: „Bitte beachten Sie, dass Daten, die Google nicht als personenidentifizierbare Informationen einstuft, im Rahmen der DSGVO bzw. des kalifornischen Gesetzes zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act, CCPA) als personenbezogene Daten gelten können.“ (https://support.google.com/analytics/answer/7686480?hl=de)
Es ist also allergrößte Vorsicht geboten, wenn man sich auf Google verlässt – denn Google gibt durch den zitierten Passus indirekt zu, dass es allgemeingültige und rechtlich relevante Begriffe von den Gesetzen abweichend, quasi „googlespezifisch“ neu interpretiert. Die Datenschutzaufsichtsbehörden weisen daher ausdrücklich darauf hin, „dass es sich bei den mit Google Analytics verarbeiteten Daten (Nutzungsdaten und sonstige gerätespezifische Daten, die einem bestimmten Nutzer zugeordnet werden können) um personenbezogene Daten im Sinne der DSGVO handelt.“
<h2RechtsgrundlageNachdem bei Einführung der DSGVO zunächst viele stöhnten, man könne ja nun eigentlich keine Daten mehr verarbeiten, verwiesen die verantwortlichen Stellen schnell auf Artikel 6 Absatz 1 lit. b DSGVO, nach dem eine Verarbeitung dann erlaubt (rechtmäßig) ist, wenn sie zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist. Dies mag auf die Verarbeitung der Kundendaten bei einer Onlinebestellung ohne Zweifel zutreffen – Google Analytics ist dafür aber sicherlich nicht erforderlich. Eine Vertragserfüllung wäre auch ohne den Einsatz von Google Analytics möglich.
Auf fast jeder Homepage findet sich daher in diesem Zusammenhang der Hinweis auf Artikel 6 Absatz 1 lit. f DSGVO: Da Google Analytics für den Webseitenbetreiber praktisch und hilfreich ist, könnte man annehmen, dass die Datenverarbeitung somit zulässig ist, weil sie „zur Wahrung der berechtigten Interessen des Verantwortlichen“ erforderlich ist, was der bezogene Abschnitt f regelt. Dies gilt aber nur mit der Einschränkung, dass nicht die Interessen der betroffenen Person überwiegen (so Art. 6 Abs. 1 lit. f DSGVO weiter). Wenn man nun mit diesen Maßstäben prüft, kann man nur zu dem Schluss kommen, dass jedenfalls nicht die Interessen des Webseitenbetreibers überwiegen. Damit entfällt ergo auch die Erlaubnis nach dieser Regelung – entsprechende Verweise auf den meisten Webseiten sind hinfällig und falsch.
Zu diesem Ergebnis kommt – nicht überraschend – auch die DSK und schreibt zu Recht: „Im Ergebnis ist ein rechtmäßiger Einsatz von Google Analytics in der Regel nur aufgrund einer wirksamen Einwilligung der Webseitenbesuchenden gemäß Artikel 6 Absatz 1 lit a [unter den Bedingungen von] Artikel 7 DSGVO möglich.“
Verantwortlichkeit
Die DSK weist richtigerweise darauf hin, dass Google durch sein Tool eigene Zwecke verfolgt und eigene Datenverarbeitungen vornimmt – und der Webseitenbetreiber hierauf keinen Einfluss habe. Google sei deshalb kein Auftragsdatenverarbeiter im Sinne des Artikel 28 DSGVO, sondern beide (der Webseitenbetreiber und Google) würden eigene Zwecke mit dem Tool verfolgen und stünden daher gemeinsam in der Verantwortung, sodass Artikel 26 DSGVO greift. So zumindest die Ansicht der DSK.
Nach Ansicht des Autors ist das nicht ganz richtig, denn Artikel 26 DSGVO greift nur, wenn die Verantwortlichen gemeinsam Zwecke und Mittel festlegen. Wie die DSK korrekt ausführt, ist dies hier aber gar nicht der Fall, da ein Großteil der Mittel und Zwecke ausschließlich von Google vorgegeben wird – der Webseitenbetreiber kann sie nur abnicken. Eine solche passive Duldung ist aber weit weniger, als der Gesetzestext verlangt, wenn er von einem gemeinsamen Festlegen spricht.
Empfehlungen
Es wird an etlichen Stellen wohl einige Änderungen geben müssen, um Google Analytics rechtlich ordnungsgemäß einzubinden. Die DSK spricht dazu folgende Empfehlungen aus:
- Der Nutzer muss zuvor in die konkrete Verarbeitungstätigkeit und die Übermittlung der Daten an die Google LLC einwilligen.
- Diese Einwilligung muss aktiv erfolgen – also weder indirekt, noch durch Duldung oder sonstwie.
- Der Nutzer muss konkret auf alle Details der Verarbeitung hingewiesen werden – allgemein gehaltene Ausführungen sind nicht ausreichend.
- Die Einwilligung muss freiwillig erfolgen. Wenn die Nutzung eines Dienstes von der Einwilligung abhängt, ist sie jedoch nicht mehr freiwillig. Das könnte man zwar im Prinzip auch anders sehen – eine fehlende Freiwilligkeit ergibt sich aber im Umfeld der DSGVO eindeutig aus Artikel 7 Absatz 4 in Verbindung mit Erwägungsgrund 43, Satz 2: „Die Einwilligung gilt nicht als freiwillig erteilt, … wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“ (vgl. https://dsgvo-gesetz.de/erwaegungsgruende/nr-43/).
Die Einbindung auf der Webseite muss darüber hinaus klar sein und darf nicht irgendwie durch Links oder missverständliche Überschriften verschleiert werden. Es ist ganz deutlich zu erklären, welche Daten, zu welchem Zweck von wem verarbeitet werden, dass diese Daten in die USA übertragen werden und dort auch staatliche Behörden Zugriff nehmen können. Über die Verarbeitung muss transparent informiert werden – dabei kann die „Leitlinie zur Transparenz“ des Europäischen Datenschutzausschusses weiterhelfen (www.datenschutzkonferenz-online.de/media/wp/20180411_wp260_rev01.docx).
Auch wenn ein Nutzer seine Einwilligung erteilt hat, muss er sie jederzeit widerrufen können. Dies muss zudem einfach möglich sein – am besten durch einen leicht erkennbaren Button. Keinesfalls reicht es aus, auf ein Tool von Google zu verweisen.
Fazit
Im Ergebnis muss man leider feststellen, dass ein Großteil der heutigen Webseiten nicht ausreichend auf die Einbindung von Google Analytics hinweist und der Benutzer in Zukunft wohl dort noch mehr mit Einblendungen und erforderlichen Zustimmungserklärungen genervt werden wird, wo man auf einen rechtssicheren Betrieb achtet. Ob dies hilfreich und gewollt ist, erscheint fraglich. Denn was nützt es wirklich, wenn – wie bei der Zustimmung zur Nutzung von Cookies – schon heute „jeder“ zustimmend klickt, ohne sich wirklich Gedanken zu machen?
Diese Entwicklung des Rechts und solche Auswirkungen können nicht gewollt sein – in den Augen des Autors wird schlicht überreguliert. Dies zieht sich durch viele Lebensbereiche: Auf Beipackzetteln von Arzneimitteln steht mittlerweile so viel, dass man die wesentlichen Informationen nicht mehr sieht und im Ergebnis viele Patienten auch wichtige Hinweise überhaupt nicht mehr lesen. Gleiches gilt für die IT-Welt: Die Datenschutzhinweise beim Kauf eines Produkts oder bei der Bestellung eines Dienstes sind oft zigfach umfangreicher als der eigentliche Vertragstext.
Jeder Verantwortliche für die Datenverarbeitung, der irgendwann einmal in die Haftung genommen werden könnte, sollte Entscheider auf diese kaum noch zu ertragenden Umstände hinweisen! Denn mit der Arbeit kann man nicht erst nach den Entscheidungen des EuGH zu neuen Rechtsfragen und -unsicherheiten beginnen.
Der Wiesbadener Rechtsanwalt Stefan Jaeger (www.jaeger. legal) betreut diese Kolumne seit 2013. Er referiert über
IT-Rechtsfragen seit Jahren an der Deutschen Richterakademie und beim Deutschen Richterbund. Er ist darüber hinaus Referatsleiter Datenschutz bei der GenoServ eG.