Vielen Dank für Ihre Anfrage!
Jobsuche: jetzt bewerben!
Kontakt /
Offene Fragen?
schließen
05251 / 69 410 - 00
  • Kostenlose Erstberatung anfordern
  • Unverbindliches Angebot einholen
  • Ihr Wegbereiter für Umsatzwachstum
  • Nachhaltig mehr Bekanntheit erzielen
  • Rentabel und messbar zum Web-Erfolg

* bei diesen Eingaben handelt es sich um Pflichtfelder

Ein Kommentar

Nachdem die Datenschutzgrundverordnung (kurz EU-DSGVO oder auch GDPR) nun in Kraft getreten ist, haben uns in Bezug auf das DSK-Positionspapier vom 26. April 2018 einige Geschäftspartner gefragt, ob der Einsatz von Google Analytics nun ausschließlich noch nach der Opt-In Methode (vorherige freiwillige Einwilligung) erlaubt sei. Diese Fragestellung wird in dem heutigen Beitrag unserer EU-DSGVO-Artikelreihe behandelt.

Warum lässt das DSK-Positionspapier Zweifel aufkommen?

Immerhin heißt es in dem Positionspapier unter Punkt 9, dass es jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen bedürfe, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen oder wenn es um die Erstellung von Nutzerprofilen ginge. Hier liegt die Antwort doch eigentlich klar auf der Hand - könnte man meinen.

In Art. 4 Abs. 4 DSGVO heißt es zu Profiling jedoch:

„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

Tracking ist also nicht gleich Profiling.

Klärung der Rechtsgrundlage – ist ein Opt-In erforderlich?

Ähnlich zum Cookie-Hinweis ist auch die EU-DSGVO in Sachen Google Analytics nur dann anzuwenden, wenn persönliche Daten nach Artikel 4 Ziffer 1 DSGVO verarbeitet werden. Für sämtliche Datenverarbeitungsvorgänge wird dann eine Rechtsgrundlage nach Art. 6 DSGVO benötigt. Dies gilt im Online-Marketing sowohl für E-Commerce (Shopware, WooCommerce, etc.) als auch für Corporate Websites

Google verbietet in seinen Nutzungsbedingungen für Google Analytics unter Punkt 7 jedoch bereits die Übermittlung von persönlichen Daten.

Weiter gab es noch unter Anwendung des BDSG durch den Datenschutzbeauftragen für Hamburg, stellvertretend für die Aufsichtsbehörden in Deutschland, Verhandlungen mit Google, um rechtskonforme Verfahren zum Einsatz für Google Analytics abzustimmen. So wurde in Folge z.B. 2011 die Möglichkeit zur IP-Anonymisierung eingeführt.

Wenn also Google Analytics bewusst keine persönlichen Daten durch den Webseitenbetreiber überspielt, von der IP-Anonymisierung Gebrauch gemacht wird, stellt sich die Frage, in welchem Umfeld dann noch die EU-DSGVO in Bezug auf Google Analytics zum Einsatz kommt? Die Antwort ist, dass vom Browser des Webseitenbesuchers mit Aufruf einer Internetseite die Google Analytics einsetzt auch eine Verbindung zum Google Server von Analytics aufgebaut wird. Da auch die IP-Adresse als persönliches Datum gilt, findet die EU-DSGVO hier Anwendung.

Durch den erforderlichen Vertrag zur Auftragsdatenverarbeitung (ADV), der nach Art. 28 Abs. 9 DSGVO fortan auch im Google Analytics Backend unter Kontoeinstellungen elektronisch abgeschlossen werden darf, sichert Google jedoch zu, diese IP-Adressen unter Anwendung der IP-Anonymisierung um das letzte Oktett der IP zu kürzen, was einer Anonymisierung gleichkommt.

Die EU-DSGVO ist also für Google Analytics anzuwenden, jedoch findet eine Datenverarbeitung im Sinne des Rechtsverhältnisses zwischen dem Webseitenbetreiber zum Besucher durch Einsatz von Google Analytics nur in der technisch erforderlichen initialen Verbindungsaufnahme statt. Gleiches geschieht bei dem Einsatz von externen CDN-Lösungen, externe Einbindung von CSS, JavaScript Bibliotheken, Schriftarten, Bildern, Videos oder zahlreichen anderen gängigen technischen Implementierungsszenarien von Websites.

Auf Grundlage dieser Herleitung und getroffenen umfangreichen Schutzmaßnahmen seitens des Google Analytics Anwenders kann man eigentlich nicht mehr davon sprechen, dass hier Punkt 9 des DSK-Positionspapiers Anwendung finden kann und daher sollte es völlig legitim sein, sich hier auf Art. 6 Abs. 1 lit. f DSGVO (berichtigtes Interesse) als Rechtsgrundlage nach entsprechender Interessenabwägung in den Datenschutzbestimmungen zu berufen, wie es auch bei den übrigen angeführten Beispielen häufig in der Praxis umgesetzt wird. Weiter ist Google nach dem Privacy-Shield-Abkommen zertifiziert.

Fazit und Ausblick

Aus unserer Sicht ist in dieser Form der technischen und vertraglichen Integration von Google Analytics kein vorheriges Opt-In erforderlich und offenbar sieht dies auch die absolute Mehrheit der anderen Webseitenbetreiber nach Inkrafttreten der EU-DSGVO so. Die Konsequenzen für Webseitenbetreiber dürften auch dramatisch sein, wenn Sie fortlaufend nicht mehr messen könnten, was sich auf Ihren Webseiten tut und welche Marketingkanäle wie profitabel sind. Denn eins ist auch klar, wenn nur 20 bis 10 % der Besucher die Einwilligung erteilen würden in die Besucherstatistiken (anonymisiert) einzufließen, dann würde man gerade die kleineren Unternehmen und Webmaster treffen, die auf Basis dieser eingewilligten Besucher eben lange Zeit keine statistisch aussagekräftigen Schlussfolgerungen für wirtschaftliche Investitionen tätigen könnten.

Die 97 % der Firmen mit Internetgeschäft, welche in einer Prüfung des BayLDA von April bis Mai 2012 beispielsweise die IP-Anonymisierung nicht einsetzten, sollten handeln, wie sie damit auch schon vor der EU-DSGVO einer Abmahn- oder Bußgeldgefahr ausgesetzt waren. Eventuell auch unter Zuhilfenahme unseres kostenlosen, hierzu angebotenen Google Analytics Prüftools. Für alle anderen Unternehmen, Blogger, Vereine und sonstigen Webseitenbetreiber raten wir Ruhe zu bewahren und abzuwarten, was die voraussichtlich Ende 2020 in Kraft tretende ePrivacy-Verordnung für Überraschungen des Gesetzgebers mit sich bringt.

Wir können im Sinne des Internets jedenfalls nur hoffen, dass es auch in Zukunft nicht notwendig sein wird, je Webseite für jedes Video, jede Schriftart und Bild ein eigenes Pop-Up samt Einwilligungsbehandlung zu integrieren. Dies kann kein Nutzer, Gesetzgeber und Datenschützer wollen. Auch im Sinne des Datenschutzes selbst dürfte es gravierendere Baustellen geben, die es anzupacken gilt. Hierbei sollte die Zielscheibe jedoch so feinjustiert und bedacht werden, dass es beispielsweise sozialen Netzwerken mit Nutzerkonten und vielen weiteren Faktoren um ein vielfaches leichter gelingt Einwilligungen einzuholen, als es in frei zugänglichen Systemen ohne Login-Zwang für den Webseitenbetreiber möglich wäre.

EU-DSGVO kostenloser Leitfaden und DSGVO-Check:

Sie wollen mehr über die EU-DSGVO erfahren? Die Internetagentur Webcellent bietet einen kostenlosen EU-DSGVO Leitfaden an, der Ihnen kompakt auf 22 Seiten an Hand von praktischen Beispielen aufzeigt, was es für die Einhaltung der EU-DSGVO zu beachten gilt. Ebenso wird ein kostenpflichtiger DSGVO-Website- und Onlineshop-Check angeboten, falls Sie sich nicht selbst zum DSGVO-Experten weiterbilden wollen.

Update 08.06.2020: Inzwischen hat der EuGH und BGH ein Urteil gefällt. Sehen Sie sich unseren aktuellen Beitrag an: BGH Cookie-Urteil – Bedeutung für Google Analytics, Ads, Maps, YouTube und Amazon Pay.

Disclaimer: Die hier bereitgestellten Informationen stellen keine individuelle Rechtsberatung dar. Auch wenn sie umfassend recherchiert und abgesichert wurden, können wir für Schlussfolgerungen, die Sie aus diesen Informationen ziehen, keine Haftung übernehmen. Wir raten dazu, sich mit den der Interpretation zu Grunde gelegten Rechtsgrundlagen und Erwägungsgründen zu beschäftigen, um zu bewerten, ob die jeweiligen exemplarischen Aussagen für Ihren individuellen Anwendungsfall greifbar sind. Sollten Sie hier offene Fragen haben, schildern Sie uns Ihr Anliegen gerne über das Kontaktformular und unser geschultes Team hilft Ihnen gerne weiter.

Können wir Ihnen helfen?Wir beantworten gerne Ihre Fragen!

Jetzt Online-Marketing Newsletter abonnierenZukünftig kostenlose Newsletter unserer Experten erhalten!

  • Wir teilen unser Know-how mit Ihnen
  • Kostenlose Inhalte
  • Tipps & Tricks zu Marketing, Design & E-Commerce
Meinungen zum Artikel
Diese Diskussion ist bereits geschlossen
  1. Gepostet von ShadyTM

    30.10.2018 — 20:22

    Super Beitrag! Diese Frage habe ich mich auch gestellt und konnte sie nur hier zufriedenstellend beantwortet bekommen. 🙂

Unsere Kunden-Referenzen Mehr als 15 Jahre Expertise in unterschiedlichen Branchen

Lödige Industries Logo
Naturstein Risse Logo
DieboldNixdorf Logo
Uni-Paderborn Logo
Zecher Logo
DeinSportsfreund Logo
StadtwerkeBielefeld Logo
Stadt Paderborn Logo
testsiegertarife Logo
H&M Logo
Krenz Autohaus und Werkstatt Logo