EU-DSGVO: Google Analytics Einsatz nur nach Opt-In erlaubt?

Von Dominik Bödger30. Mai 2018EU-DSGVO, Online-Marketing
EU-DSGVO Google Analytics

Nachdem die Datenschutzgrundverordnung (kurz EU-DSGVO oder auch GDPR) nun in Kraft getreten ist, haben uns in Bezug auf das DSK-Positionspapier vom 26. April 2018 einige Geschäftspartner gefragt, ob der Einsatz von Google Analytics nun ausschließlich noch nach der Opt-In Methode (vorherige freiwillige Einwilligung) erlaubt sei. Diese Fragestellung wird in dem heutigen Beitrag unserer EU-DSGVO Artikelreihe behandelt.

Warum lässt das DSK-Positionspapier Zweifel aufkommen?

Immerhin heißt es in dem Positionspapier unter Punkt 9, dass es jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen bedürfe, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen oder wenn es um die Erstellung von Nutzerprofilen ginge. Hier liegt die Antwort doch eigentlich klar auf der Hand – könnte man meinen.

In Art. 4 Abs. 4 DSGVO heißt es zu Profiling jedoch:

„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

Tracking ist also nicht gleich Profiling.

Klärung der Rechtsgrundlage – ist ein Opt-In erforderlich?

Ähnlich zum Cookie-Hinweis ist auch die EU-DSGVO in Sachen Google Analytics nur dann anzuwenden, wenn persönliche Daten nach Artikel 4 Ziffer 1 DSGVO verarbeitet werden. Für sämtliche Datenverarbeitungsvorgänge wird dann eine Rechtsgrundlage nach Art. 6 DSGVO benötigt.

Google verbietet in seinen Nutzungsbedingungen für Google Analytics unter Punkt 7 jedoch bereits die Übermittlung von persönlichen Daten.

Weiter gab es noch unter Anwendung des BDSG durch den Datenschutzbeauftragen für Hamburg, stellvertretend für die Aufsichtsbehörden in Deutschland, Verhandlungen mit Google, um rechtskonforme Verfahren zum Einsatz für Google Analytics abzustimmen. So wurde in Folge z.B. 2011 die Möglichkeit zur IP-Anonymisierung eingeführt.

Wenn also Google Analytics bewusst keine persönlichen Daten durch den Webseitenbetreiber überspielt werden, von der IP-Anonymisierung Gebrauch gemacht wird, stellt sich die Frage, in welchem Umfeld dann noch die EU-DSGVO in Bezug auf Google Analytics zum Einsatz kommt? Die Antwort ist, dass vom Browser des Webseitenbesuchers mit Aufruf einer Internetseite die Google Analytics einsetzt auch eine Verbindung zum Google Server von Analytics aufgebaut wird. Da auch die IP-Adresse als persönliches Datum gilt, findet die EU-DSGVO hier Anwendung.

Durch den erforderlichen Vertrag zur Auftragsdatenverarbeitung (ADV), der nach Art. 28 Abs. 9 DSGVO fortan auch im Google Analytics Backend unter Kontoeinstellungen elektronisch abgeschlossen werden darf, sichert Google jedoch zu, diese IP-Adressen unter Anwendung der IP-Anonymisierung um das letzte Oktett der IP zu kürzen, was einer Anonymisierung gleichkommt.

Die EU-DSGVO ist also für Google Analytics anzuwenden, jedoch findet eine Datenverarbeitung im Sinne des Rechtsverhältnisses zwischen dem Webseitenbetreiber zum Besucher durch Einsatz von Google Analytics nur in der technisch erforderlichen initialen Verbindungsaufnahme statt. Gleiches geschieht bei dem Einsatz von externen CDN-Lösungen, externe Einbindung von CSS, JavaScript Bibliotheken, Schriftarten, Bildern, Videos oder zahlreichen anderen gängigen technischen Implementierungsszenarien von Websites.

Auf Grundlage dieser Herleitung und getroffenen umfangreichen Schutzmaßnahmen seitens des Google Analytics Anwenders kann man eigentlich nicht mehr davon sprechen, dass hier Punkt 9 des DSK-Positionspapiers Anwendung finden kann und daher sollte es völlig legitim sein, sich hier auf Art. 6 Abs. 1 lit. f DSGVO (berichtigtes Interesse) als Rechtsgrundlage nach entsprechender Interessenabwägung in den Datenschutzbestimmungen zu berufen, wie es auch bei den übrigen angeführten Beispielen häufig in der Praxis umgesetzt wird. Weiter ist Google nach dem Privacy-Shield-Abkommen zertifiziert.

Fazit und Ausblick

Aus unserer Sicht ist in dieser Form der technischen und vertraglichen Integration von Google Analytics kein vorheriges Opt-In erforderlich und offenbar sieht dies auch die absolute Mehrheit der anderen Webseitenbetreiber nach Inkrafttreten der EU-DSGVO so. Die Konsequenzen für Webseitenbetreiber dürften auch dramatisch sein, wenn Sie fortlaufend nicht mehr messen könnten, was sich auf Ihren Webseiten tut und welche Marketingkanäle wie profitabel sind. Denn eins ist auch klar, wenn nur 20 bis 10 % der Besucher die Einwilligung erteilen würden in die Besucherstatistiken (anonymisiert) einzufließen, dann würde man gerade die kleineren Unternehmen und Webmaster treffen, die auf Basis dieser eingewilligten Besucher eben lange Zeit keine statistisch aussagekräftigen Schlussfolgerungen für wirtschaftliche Investitionen tätigen könnten.

Die 97 % der Firmen mit Internetgeschäft, welche in einer Prüfung des BayLDA von April bis Mai 2012 beispielsweise die IP-Anonymisierung nicht einsetzten, sollten handeln, wie sie damit auch schon vor der EU-DSGVO einer Abmahn- oder Bußgeldgefahr ausgesetzt waren. Eventuell auch unter Zuhilfenahme unseres kostenlosen, hierzu angebotenen Google Analytics Prüftools. Für alle anderen Unternehmen, Blogger, Vereine und sonstigen Webseitenbetreiber raten wir Ruhe zu bewahren und abzuwarten, was die voraussichtlich Ende 2020 in Kraft tretende ePrivacy-Verordnung für Überraschungen des Gesetzgebers mit sich bringt.

Wir können im Sinne des Internets jedenfalls nur hoffen, dass es auch in Zukunft nicht notwendig sein wird, je Webseite für jedes Video, jede Schriftart und Bild ein eigenes Pop-Up samt Einwilligungsbehandlung zu integrieren. Dies kann kein Nutzer, Gesetzgeber und Datenschützer wollen und auch im Sinne des Datenschutzes selbst dürfte es gravierendere Baustellen geben, die es anzupacken gilt. Hierbei sollte die Zielscheibe jedoch so feinjustiert und bedacht werden, dass es beispielsweise sozialen Netzwerken mit Nutzerkonten und vielen weiteren Faktoren um ein vielfaches leichter gelingt Einwilligungen einzuholen, als es in frei zugänglichen Systemen ohne Login-Zwang für den Webseitenbetreiber möglich wäre.

EU-DSGVO – kostenloser Leitfaden:

Sie wollen mehr über die EU-DSGVO erfahren? Die Internetagentur Webcellent bietet einen kostenlosen EU-DSGVO Leitfaden an, der Ihnen kompakt auf 22 Seiten an Hand von praktischen Beispielen aufzeigt, was es für die Einhaltung der EU-DSGVO zu beachten gilt.

Disclaimer: Die hier bereitgestellten Informationen stellen keine individuelle Rechtsberatung dar. Auch wenn sie umfassend recherchiert und abgesichert wurden, können wir für Schlussfolgerungen die Sie aus diesen Informationen ziehen, keine Haftung übernehmen. Wir raten dazu, sich mit den der Interpretation zu Grunde gelegten Rechtsgrundlagen und Erwägungsgründen zu beschäftigen, um zu bewerten, ob die jeweiligen exemplarischen Aussagen für Ihren individuellen Anwendungsfall greifbar sind. Sollten Sie hier offene Fragen haben, schildern Sie uns Ihr Anliegen gerne über das Kontaktformular und unser geschultes Team hilft Ihnen gerne weiter.

3 Kommentare

  • ShadyTM sagt:

    Super Beitrag! Diese Frage habe ich mich auch gestellt und konnte sie nur hier zufriedenstellend beantwortet bekommen. 🙂

  • Sophia sagt:

    Bei dem Laden von Analytics wird eine Verbindung zu den Google-Servern aufgebaut. Dabei wird die IP-Adresse übertragen – vollständig und unverschlüsselt. Die IP-Adresse gehört zu personenbezogenen Daten und darf nur nach Einwilligung des Besuchers verarbeitet und weitergegeben werden.
    Und die IP-Anonymisierung ändert daran nichts. Damit wird nur festgelegt, was mit im Zuge der Datenverarbeitung mit der IP-Adresse passieren soll. Zu dem Zeitpunkt wurde diese aber bereit vollständig übertragen.
    Ist ein Opt-In also Pflicht? -> 100% JA!
    Sophia

    • Hallo Sophia,
      die Einschätzung ist leider nicht korrekt. Art. 6 Abs. 1 DSGVO sieht auch andere Erlaubnistatbestände fernab der Einwilligung vor. Der AV-Vertrag, vormals ADV, zum Umgang mit der technisch initial nicht vermeidbaren IP-Übertragung (s. Artikel) ist hier entscheidend, wenn es z.B. um die Bewertung des Art. 6 Abs. 1 lit. f DSGVO geht. Darum wurde dies auch damals bereits, noch unter dem vormaligen BDSG, von den Aufsichtsbehörden entsprechend vorausschauend mit Google ausgehandelt.

Hinterlasse ein Kommentar