Google Analytics: Rechtskonformer Einsatz nur mit Einwilligung des Nutzers?

Mit ihrer Stellungnahme vom 14. November sendeten einige Datenschutzbehörden ein deutliches Signal an Websitebetreiber: Eine rechtskonforme Datenverarbeitung durch Google Analytics ist ihrer Rechtsauffassung nach ohne Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO nicht möglich. Zugleich machen sie deutlich, dass bei Datenschutzverstößen mit hohen Bußgeldern zu rechnen ist. Besteht daher Handlungsbedarf für Websitebetreiber, die Google Analytics nutzen?

Von Tracking sprechen die Datenschutzbehörden, wenn das eingebundene Tool das individuelle Verhalten der Websitebesucher nachverfolgt. Das gilt zum Beispiel für Dienste wie Google Analytics. Werden diese Nutzungsdaten an Dritte übertragen, die damit eigene Zwecke verfolgen und z. B. Nutzerprofile erstellen, ist nach der Auffassung der Datenschutzbehörden eine Einwilligung des Betroffenen für eine rechtskonforme Datenverarbeitung erforderlich. Das gilt nach Ansicht der Behörden inzwischen auch für Google Analytics. Zuvor war dessen Einsatz als zulässig erachtet worden.

Was hat sich geändert?

Schon früher waren die Behörden sehr kritisch, was die Nutzung von Google Analytics angeht. Zu der aktuellen unzweideutigen Position kamen die Datenschutzbehörden jedoch, weil ihrer Ansicht nach Google mit den getrackten Daten nun eigene Zwecke verfolge. Google selbst sieht das jedoch nicht so und verweist im Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO und den Hinweisen zu Google Analytics darauf, nur im Auftrag des Websitebetreibers die getrackten Daten zu verarbeiten. Aber insbesondere die Berliner Datenschutzbeauftragte ist anderer Ansicht und meint, dass es sich noch nicht einmal um eine Auftragsverarbeitung handle. Hier stehen sich zwei Positionen kompromisslos gegenüber. Ganz entscheidend für die Beurteilung dieser Frage ist, ob Google beim Einsatz von Analytics an die Weisungen des Websitebetreibers gebunden ist. Hierzu werden mit jeweils guten Begründungen die oben genannten gegensätzlichen Positionen vertreten. Eine rechtsverbindliche Klärung dieser Frage durch die Gerichte fand bisher nicht statt.

Ist eine Einwilligung zwingend notwendig?

Als Websitebetreiber muss man bei der Einbindung von Tools prüfen, ob für diese eine Einwilligung benötigt wird oder ob man sich auf berechtigte Interessen im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO stützen kann. Schon im März 2019 hatte die Datenschutzkonferenz hierzu eine Orientierungshilfe veröffentlicht, in der Kriterien aufgestellt wurden, wann nach ihrer Auffassung eine Datenverarbeitung auf ein berechtigtes Interesse gestützt werden kann. Zunächst muss überhaupt ein berechtigtes Interesse an der Nutzung des Tools vorliegen. Dann muss die Datenverarbeitung zur Verwirklichung dieses Interesses erforderlich sein. Das bedeutet, dass es kein gleich geeignetes, milderes Mittel geben darf, um die Funktion des Tools zu verwirklichen. Abschließend ist zu prüfen, ob die Interessen des Websitebetreibers im konkreten Anwendungsfall schwerer wiegen als die Einschränkung der Privatsphäre der Website-Besucher.

Für Analyse-Tools wie Google Analytics hielten die Datenschutzbehörden die Datenverarbeitung in ihren neuesten Stellungnahmen noch nicht einmal für erforderlich. Begründung: Für die Reichweitenmessung gibt es Alternativen, die lokal implementiert werden können und nur eigenen Zwecken dienen (wie z. B. Matomo). Solche Tools brauchen dann gemäß der Bayerischen Datenschutzbehörde folglich auch keine Einwilligung.

Daher gilt: Die Datenschutzbehörden setzen die Hürde für das berechtigte Interesse hoch. Falls man sich darauf stützt, sollte man die acht Kriterien aus der Orientierungshilfe (S. 17 ff.) berücksichtigen und die Interessenabwägung dokumentieren. Denn die Behörden könnten ihre Einhaltung prüfen. Das gilt zwar grundsätzlich für jede Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO, aber gerade, weil das Thema von den Datenschutzbeauftragten momentan vermehrt in den Fokus getragen wird, sollten Websitebetreiber hier besonders präzise arbeiten.

Welche Konsequenzen kann die fehlende Einwilligung haben?

Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sind nach Art. 83 der Verordnung bußgeldbewährt. Insbesondere eine fehlende Rechtsgrundlage für eine Datenverarbeitung im Sinne von Art. 6 Abs. 1 S.1 DSGVO wiegt schwer. Diesbezüglich betonen die Aufsichtsbehörden, dass sie bereits zahlreiche Verfahren eingeleitet haben, bei denen für die Benutzung von Tracking-Tools auf Websites keine Einwilligung der Besucher eingeholt wurde.

Nicht nur deshalb ist es wichtig, die Stellungnahme der Datenschutzbehörden zum Tracking ernst zu nehmen. Sie sind in der Lage, Prüfungen und Bußgeldverfahren einzuleiten. Eine anfängliche Zurückhaltung bei der Verhängung von Bußgeldern ist mittlerweile nicht mehr erkennbar. Das aktuellste Beispiel dafür ist ein Bußgeld in Höhe von 14,5 Mio. Euro, dass die Berliner Datenschutzbeauftragte erst kürzlich gegen die Deutsche Wohnen AG verhängt hat.

Websitebetreiber sollten sich angesichts dieser Zuspitzung einen Überblick über die verwendeten Tools auf ihrer Website verschaffen und prüfen, welche Rechtsgrundlage für sie infrage kommt und ihre Entscheidungen dokumentieren, insbesondere, wenn Cookies weiterhin auf Basis von berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO eingesetzt werden sollen. Sofern eine Einwilligung nach Art 6 Abs. 1 S. 1 lit. a DSGVO benötigt wird, kann diese z.B. über einen Cookie-Banner oder ein Pop-Up eingeholt werden. Nach den strengen Anforderungen der Datenschutzbehörden soll für die meisten Tools, welche etwa die Personalisierung von Inhalten, Marketing oder die Einbindung Dritter vorsehen, eine Einwilligung notwendig sein. Die Einwilligung ist in der DSGVO in Art. 4 Nr. 11 definiert. Dieser im Gesetz recht unscharfe Begriff kann mit Hilfe des Erwägungsgrundes 32 genauer bestimmt werden. Dort wird festgelegt, dass Stillschweigen, bereits angekreuzte Kästchen oder bloße Untätigkeit keine Einwilligung ersetzen können. „Mit dem Weitersurfen stimmen Sie zu“, ist daher sicher keine zulässige Einwilligung. Sie muss darüber hinaus informiert und freiwillig erfolgen.

Wichtig ist nach Art. 13 Abs. 1 DSGVO auch, über Nutzung der Tools in den Datenschutzhinweisen zu informieren und dort auch die Rechtsgrundlage aufzuführen. Seit dem EuGH-Urteil zu Planet49 muss bei Cookies übrigens auch über Speicherdauer und mögliche Empfänger der Daten informiert werden.

Die rechtlichen Aussagen der Behörden fallen knapp aus und eine Einwilligungspflicht ergibt sich nicht aus dem Gesetz. Die Ansicht der Behörden, dass zur Nutzung von Google Analytics durch Websitebetreiber zwingend eine Einwilligung eingeholt werden muss, ist deshalb umstritten. Trotzdem können die Aufsichtsbehörden Verfahren gegen Websitebetreiber einleiten und Bußgelder verhängen. Rechtssicherheit werden erst Gerichtsurteile zum Einsatz und der Rechtsgrundlage von Tracking-Tools bringen. Um jedoch bis dahin vor Prüfungen und Bußgeldern der Behörden gewappnet zu sein, sollte die eigene Website auf die genutzten Tools untersucht und bewertet werden, um dann ggf. Compliance-Maßnahmen einleiten zu können.