Ratgeber

Google Analytics ohne Einwilligung? 10 Schritte zum datenschutzkonformen Einsatz

Wie ist das noch gleich mit einer Nutzererlaubnis zum Einsatz von Google Analytics? Und wie kann das Tool datenschutzkonform eingesetzt werden? So.

Die Mehrheit der datenschutzrechtlichen Aufsichtsbehörden vertritt die Auffassung, dass jeder Einsatz von Tracking-Tools wie Google Analytics einer vorherigen ausdrücklichen Einwilligung der Websitebesucher („Nutzer“) erfordert. Das hat auch die Aufsichtsbehörde in NRW (Landesbeauftragte für Datenschutz und Informationsfreiheit) in einer Pressemitteilung kundgetan.

Folgerichtig verlangen sie, dass, bevor überhaupt ein Cookie gesetzt beziehungsweise das Tracking beginnt, eine informierte Einwilligung der Nutzer eingeholt werden muss. Aus technischer Sicht kann das mithilfe sogenannter Cookie-Walls umgesetzt werden. Anders als bei den klassischen Cookie-Bannern beginnt das Tracking dann erst, nachdem der Nutzer aktiv zustimmt. In der Cookie-Wall werden alle verwendeten Cookies/Tracking-Tools erfasst und häufig kategorisiert zusammengeführt (funktionale Cookies, Marketing-Cookies, Analyse-Cookies), um eine übersichtliche und vereinfachte Verwaltung zu erreichen.

Konfigurationsmöglichkeiten

Dabei ignorieren diese pauschalen Aussagen der Aufsichtsbehörden, dass jeder Einsatz eines Tracking-Tools einer Einwilligung bedarf, allerdings eine Tatsache: Die einzelnen Tracking-Tools lassen sich in stark divergierendem Maße datenschutzfreundlich konfigurieren. Zumindest der Pressemitteilung der Aufsichtsbehörde in Bayern (Bayerisches Landesamt für Datenschutzaufsicht) lässt sich entnehmen, dass die Behörde bei der Bewertung des rechtmäßigen Einsatzes unter Umständen auch die konkrete Konfiguration des eingesetzten Tools berücksichtigt. Dort heißt es: „Wer Funktionen nutzt, die eine Einwilligung erfordern, darf diese Funktionen bei Webseitenbesuchern nicht mehr nutzen, solange diese keine wirksame Einwilligung erklärt haben.“

Hier wird – anders als in anderen Pressemitteilungen – auch von Funktionen gesprochen und nicht mehr pauschal von Tracking-Tools. Um welche Art von Funktionen es dabei geht und ob das auch für Google Analytics gilt, bleibt dabei jedoch offen. So stellt sich nach wie vor die Frage, ob die Aufsichtsbehörden im Einzelfall auch für den Einsatz von datenminierend eingestellten Tracking-Tools eine andere Rechtsgrundlage als die „Einwilligung“ akzeptieren würden.

Interessenabwägung als Rechtsgrundlage

Jedenfalls wird in der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ auch die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Rechtsgrundlage für den Einsatz von Tracking-Tools in Betracht gezogen. Deren Anwendbarkeit erfordert aus Sicht des Verantwortlichen jedoch in jedem Fall eine umfassende dreistufige Prüfung im konkreten Einzelfall:

  1. Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten;
  2. Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen;
  3. Abwägung des eigenen Interesses mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person.

Insbesondere bei der Erforderlichkeit wäre zu prüfen, ob andere, mildere als auch gleich effektive Mittel zur Verfügung stehen. In diesem Zusammenhang muss die Datenverarbeitung daher stets auf das notwendige Maß beschränkt werden. Insofern kommt die Rechtsgrundlage des berechtigten Interesses bei dem Einsatz von Tracking-Tools lediglich in Betracht, wenn sie entsprechend datenschutzfreundlich eingestellt sind.

Weitere Voraussetzung für den datenschutzkonformen Einsatz ist die entsprechende Dokumentation der Interessenabwägung sowie die transparente Information der betroffenen Nutzer im Rahmen der Datenschutzerklärung auf der Website. Ferner muss dem Nutzer die Möglichkeit gegeben werden, jederzeit Widerspruch gegen die Verarbeitung einlegen zu können. Diese Opt-out-Möglichkeit sollte ebenfalls in der Datenschutzerklärung beschrieben werden.

Datenschutzfreundliche Einstellungsmöglichkeiten von Google Analytics

Bei Google Analytics bestehen bereits eine Vielzahl an verschiedenen Einstellungsmöglichkeiten im Hinblick auf die stattfindende Datenverarbeitung. Die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO käme jedenfalls nur dann als alternative Rechtsgrundlage in Betracht, wenn möglichst datensparsame Einstellungen gewählt wurden. Empfehlenswert ist daher die Vornahme der folgenden Konfigurationen:

  1. Abschluss des aktuellen Auftragsverarbeitungsvertrages mit Google sowie des Zusatzes zur Datenverarbeitung im Rahmen von Google Analytics.
  2. Aktivierung der IP-Anonymisierung.
  3. Verzicht auf den Einsatz der „User ID-Funktion“:
    Da bei der neuen Version von Google „Universal Analytics“ noch mehr Daten verarbeitet werden als bei der Standard-Version, sollte die User-ID abgestellt beziehungsweise nicht verwendet werden. Die User-ID erlaubt es dem Verwender, die Nutzer noch effektiver zu tracken, insbesondere übergreifend auf unterschiedlichen Geräten. Dieses Cross-Device-Tracking ist aus datenschutzrechtlicher Sicht ohne wirksame Einwilligung besonders kritisch zu bewerten.
  4. Abstellen der Zielgruppen-Funktion (Remarketing):
    Diese Einstellung können in den Optionen der Properties angepasst werden.
  5. Implementierung des Deaktivierungs-Addon:
    Damit hat der Nutzer die Möglichkeit, Widerspruch (Opt-out) gegen die Erfassung von Nutzungsdaten einzulegen (für alle gängigen Browsern, jedoch nicht mobil).
  6. Implementierung des Opt-out-Cookies:
    Damit kann der User durch einen einfachen Klick das Analytics-Tracking unterbinden, sodass er auch mobil widersprechen kann. Eine Anleitung zur Umsetzung via JavaScript (Disabling Tracking) gibt es bei Google.
  7. Deaktivierung der Produktverknüpfungen:
    Google ermöglicht es dem Verwender, verschiedene Produkte und Dienstleistungen von Google miteinander zu verknüpfen, um sie zentral zu steuern.
  8. Ausschalten der Datenfreigabe an Google:
    Google kann Zugriff auf die via Analytics gewonnen Daten nehmen, und sie analysieren, um Produktverbesserungen vorzunehmen. Diese Funktion spielt zudem eine besondere Rolle, wenn es um die Bewertung der Zusammenarbeit geht. Wenn diese Funktion aktiviert ist, spricht viel dafür, dass keine Auftragsverarbeitung, sondern vielmehr eine gemeinsame Verantwortlichkeit (Joint Controllership) mit Google besteht.
  9. Hinweis auf die Datenschutzerklärung von Google:
    Die Datenschutzerklärung kann bei Google abgerufen werden.
  10. Beschränkung der Speicherdauer:
    Die Speicherdauer der Daten sollte in den Einstellungen auf das Mindestmaß (14 Monate) beschränkt und die Funktion „bei neuer Aktivität zurücksetzen“ deaktiviert werden.

Weiterhin beachtenswert sind auch die Best Practices von Google zur Vermeidung des Versands von personenbeziehbaren Daten.

Diese Einstellungsmöglichkeiten sind letztlich auch empfehlenswert, wenn man den Einsatz von Google Analytics auf eine Einwilligung des Betroffenen stützt, um insbesondere dem datenschutzrechtlichen Grundsatz der Datensparsamkeit zu entsprechen.

Fazit und Ausblick

Erst wenn die vorgenannten Maßnahmen umgesetzt wurden, besteht zumindest die Möglichkeit, dass einzelne Aufsichtsbehörden (beziehungsweise im Streitfall die Gerichte) ein berechtigtes Interesse im Rahmen der Interessenabwägung des Art. 6 Abs. 1 S. 1 lit. f DSGVO anerkennen. Da jedoch auch weiterhin ein Cookie gesetzt wird und der Großteil der Aufsichtsbehörden eine sehr strenge Auffassung vertritt, ist der Einsatz von Google Analytics ohne vorherige Einwilligung nach wie vor mit einem gewissen Risiko verbunden.

In diesem Zusammenhang mit Spannung zu erwarten ist vor allem das für den 28. Mai angekündigte Urteil des BGH zu Planet49 (I ZR 7/16). In dem Urteil wird der BGH die vom EuGH beantworteten Vorlagefragen (Urteil vom 1. Oktober 2019, C-673/17) aufnehmen und entscheiden, wann und in welchen Fällen eine Einwilligung in die Speicherung von Cookies tatsächlich aktiv und freiwillig erfolgt und den Anforderungen der DSGVO genügt.

Letztlich könnte vor allem auch die E-Privacy-Verordnung für Klarheit sorgen. Erst kürzlich hat der Rat der Europäischen Union einen neuen Vorschlag zur Anpassung des Entwurfs der E-Privacy-Verordnung vorgelegt. Danach soll unter anderem der Art. 8 E-Privacy-VO, der vor allem den Einsatz von Tracking-Tools regelt, überarbeitet werden. Darin soll die im Rahmen der DSGVO bekannte Interessenabwägung nun als alternative Rechtsgrundlage übernommen werden. Ob diese Änderungsvorschläge allerdings auch in der finalen Fassung vorhanden sein werden und ob es überhaupt zu einer finalen Version kommt, ist derzeit noch mehr als fraglich.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

2 Kommentare
Olaf Brandt
Olaf Brandt

Die Frage der Einwilligung zu Cookies gilt es zusätzlich zu berücksichtigen. Hierbei gibt es definitiv kein berechtigtes Interesse.

Antworten
Martin Saarfeld
Martin Saarfeld

Über die Einstellungen der Opt-In-Pflicht zu entkommen entgegen der ausdrücklichen Maßgabe der Behörden erscheint mir extrem riskant. Wir sind lieber zu etracker gewechselt – reibungslos und nachweislich ohne Einwilligungspflicht.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung