Google Analytics ohne Einwilligung? 10 Schritte zum datenschutzkonformen Einsatz
Folgerichtig verlangen sie, dass, bevor überhaupt ein Cookie gesetzt beziehungsweise das Tracking beginnt, eine informierte Einwilligung der Nutzer eingeholt werden muss. Aus technischer Sicht kann das mithilfe sogenannter Cookie-Walls umgesetzt werden. Anders als bei den klassischen Cookie-Bannern beginnt das Tracking dann erst, nachdem der Nutzer aktiv zustimmt. In der Cookie-Wall werden alle verwendeten Cookies/Tracking-Tools erfasst und häufig kategorisiert zusammengeführt (funktionale Cookies, Marketing-Cookies, Analyse-Cookies), um eine übersichtliche und vereinfachte Verwaltung zu erreichen.
Konfigurationsmöglichkeiten
Dabei ignorieren diese pauschalen Aussagen der Aufsichtsbehörden, dass jeder Einsatz eines Tracking-Tools einer Einwilligung bedarf, allerdings eine Tatsache: Die einzelnen Tracking-Tools lassen sich in stark divergierendem Maße datenschutzfreundlich konfigurieren. Zumindest der Pressemitteilung der Aufsichtsbehörde in Bayern (Bayerisches Landesamt für Datenschutzaufsicht) lässt sich entnehmen, dass die Behörde bei der Bewertung des rechtmäßigen Einsatzes unter Umständen auch die konkrete Konfiguration des eingesetzten Tools berücksichtigt. Dort heißt es: „Wer Funktionen nutzt, die eine Einwilligung erfordern, darf diese Funktionen bei Webseitenbesuchern nicht mehr nutzen, solange diese keine wirksame Einwilligung erklärt haben.“
Hier wird – anders als in anderen Pressemitteilungen – auch von Funktionen gesprochen und nicht mehr pauschal von Tracking-Tools. Um welche Art von Funktionen es dabei geht und ob das auch für Google Analytics gilt, bleibt dabei jedoch offen. So stellt sich nach wie vor die Frage, ob die Aufsichtsbehörden im Einzelfall auch für den Einsatz von datenminierend eingestellten Tracking-Tools eine andere Rechtsgrundlage als die „Einwilligung“ akzeptieren würden.
Interessenabwägung als Rechtsgrundlage
Jedenfalls wird in der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ auch die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Rechtsgrundlage für den Einsatz von Tracking-Tools in Betracht gezogen. Deren Anwendbarkeit erfordert aus Sicht des Verantwortlichen jedoch in jedem Fall eine umfassende dreistufige Prüfung im konkreten Einzelfall:
- Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten;
- Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen;
- Abwägung des eigenen Interesses mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person.
Insbesondere bei der Erforderlichkeit wäre zu prüfen, ob andere, mildere als auch gleich effektive Mittel zur Verfügung stehen. In diesem Zusammenhang muss die Datenverarbeitung daher stets auf das notwendige Maß beschränkt werden. Insofern kommt die Rechtsgrundlage des berechtigten Interesses bei dem Einsatz von Tracking-Tools lediglich in Betracht, wenn sie entsprechend datenschutzfreundlich eingestellt sind.
Weitere Voraussetzung für den datenschutzkonformen Einsatz ist die entsprechende Dokumentation der Interessenabwägung sowie die transparente Information der betroffenen Nutzer im Rahmen der Datenschutzerklärung auf der Website. Ferner muss dem Nutzer die Möglichkeit gegeben werden, jederzeit Widerspruch gegen die Verarbeitung einlegen zu können. Diese Opt-out-Möglichkeit sollte ebenfalls in der Datenschutzerklärung beschrieben werden.
Datenschutzfreundliche Einstellungsmöglichkeiten von Google Analytics
Bei Google Analytics bestehen bereits eine Vielzahl an verschiedenen Einstellungsmöglichkeiten im Hinblick auf die stattfindende Datenverarbeitung. Die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO käme jedenfalls nur dann als alternative Rechtsgrundlage in Betracht, wenn möglichst datensparsame Einstellungen gewählt wurden. Empfehlenswert ist daher die Vornahme der folgenden Konfigurationen:
- Abschluss des aktuellen Auftragsverarbeitungsvertrages mit Google sowie des Zusatzes zur Datenverarbeitung im Rahmen von Google Analytics.
- Aktivierung der IP-Anonymisierung.
- Verzicht auf den Einsatz der „User ID-Funktion“:
Da bei der neuen Version von Google „Universal Analytics“ noch mehr Daten verarbeitet werden als bei der Standard-Version, sollte die User-ID abgestellt beziehungsweise nicht verwendet werden. Die User-ID erlaubt es dem Verwender, die Nutzer noch effektiver zu tracken, insbesondere übergreifend auf unterschiedlichen Geräten. Dieses Cross-Device-Tracking ist aus datenschutzrechtlicher Sicht ohne wirksame Einwilligung besonders kritisch zu bewerten. - Abstellen der Zielgruppen-Funktion (Remarketing):
Diese Einstellung können in den Optionen der Properties angepasst werden. - Implementierung des Deaktivierungs-Addon:
Damit hat der Nutzer die Möglichkeit, Widerspruch (Opt-out) gegen die Erfassung von Nutzungsdaten einzulegen (für alle gängigen Browsern, jedoch nicht mobil). - Implementierung des Opt-out-Cookies:
Damit kann der User durch einen einfachen Klick das Analytics-Tracking unterbinden, sodass er auch mobil widersprechen kann. Eine Anleitung zur Umsetzung via JavaScript (Disabling Tracking) gibt es bei Google. - Deaktivierung der Produktverknüpfungen:
Google ermöglicht es dem Verwender, verschiedene Produkte und Dienstleistungen von Google miteinander zu verknüpfen, um sie zentral zu steuern. - Ausschalten der Datenfreigabe an Google:
Google kann Zugriff auf die via Analytics gewonnen Daten nehmen, und sie analysieren, um Produktverbesserungen vorzunehmen. Diese Funktion spielt zudem eine besondere Rolle, wenn es um die Bewertung der Zusammenarbeit geht. Wenn diese Funktion aktiviert ist, spricht viel dafür, dass keine Auftragsverarbeitung, sondern vielmehr eine gemeinsame Verantwortlichkeit (Joint Controllership) mit Google besteht. - Hinweis auf die Datenschutzerklärung von Google:
Die Datenschutzerklärung kann bei Google abgerufen werden. - Beschränkung der Speicherdauer:
Die Speicherdauer der Daten sollte in den Einstellungen auf das Mindestmaß (14 Monate) beschränkt und die Funktion „bei neuer Aktivität zurücksetzen“ deaktiviert werden.
Weiterhin beachtenswert sind auch die Best Practices von Google zur Vermeidung des Versands von personenbeziehbaren Daten.
Diese Einstellungsmöglichkeiten sind letztlich auch empfehlenswert, wenn man den Einsatz von Google Analytics auf eine Einwilligung des Betroffenen stützt, um insbesondere dem datenschutzrechtlichen Grundsatz der Datensparsamkeit zu entsprechen.
Fazit und Ausblick
Erst wenn die vorgenannten Maßnahmen umgesetzt wurden, besteht zumindest die Möglichkeit, dass einzelne Aufsichtsbehörden (beziehungsweise im Streitfall die Gerichte) ein berechtigtes Interesse im Rahmen der Interessenabwägung des Art. 6 Abs. 1 S. 1 lit. f DSGVO anerkennen. Da jedoch auch weiterhin ein Cookie gesetzt wird und der Großteil der Aufsichtsbehörden eine sehr strenge Auffassung vertritt, ist der Einsatz von Google Analytics ohne vorherige Einwilligung nach wie vor mit einem gewissen Risiko verbunden.
In diesem Zusammenhang mit Spannung zu erwarten ist vor allem das für den 28. Mai angekündigte Urteil des BGH zu Planet49 (I ZR 7/16). In dem Urteil wird der BGH die vom EuGH beantworteten Vorlagefragen (Urteil vom 1. Oktober 2019, C-673/17) aufnehmen und entscheiden, wann und in welchen Fällen eine Einwilligung in die Speicherung von Cookies tatsächlich aktiv und freiwillig erfolgt und den Anforderungen der DSGVO genügt.
Der Schlüssel zu deinem Unternehmenserfolg ist, deine Kund:innen zu verstehen. Lerne in unserem Guide, wie du mit Customer Insights erfolgreicher wirst!
Jetzt lesen!Letztlich könnte vor allem auch die E-Privacy-Verordnung für Klarheit sorgen. Erst kürzlich hat der Rat der Europäischen Union einen neuen Vorschlag zur Anpassung des Entwurfs der E-Privacy-Verordnung vorgelegt. Danach soll unter anderem der Art. 8 E-Privacy-VO, der vor allem den Einsatz von Tracking-Tools regelt, überarbeitet werden. Darin soll die im Rahmen der DSGVO bekannte Interessenabwägung nun als alternative Rechtsgrundlage übernommen werden. Ob diese Änderungsvorschläge allerdings auch in der finalen Fassung vorhanden sein werden und ob es überhaupt zu einer finalen Version kommt, ist derzeit noch mehr als fraglich.
Die Frage der Einwilligung zu Cookies gilt es zusätzlich zu berücksichtigen. Hierbei gibt es definitiv kein berechtigtes Interesse.
Über die Einstellungen der Opt-In-Pflicht zu entkommen entgegen der ausdrücklichen Maßgabe der Behörden erscheint mir extrem riskant. Wir sind lieber zu etracker gewechselt – reibungslos und nachweislich ohne Einwilligungspflicht.
Was ich ein bisschen schade finde, ist, dass bei dem Artikel gar nicht in Frage gestellt wird, ob Google Analytics überhaupt sein muss. Aus Erfahrung nutzen viele Nutzer*innen es gar nicht in seiner ganzen Komplexität – und es gäbe viel einfacherer und sympathischere Möglichkeiten, basic Nutzerinfos zu erhalten.
GA hat viele Probleme, z.B. ist es eine Datenkranke und Energiefresser noch dazu (hier ganz gut erläutert: https://allcodesarebeautiful.com/google-analytics-vorteile-nachteile/)
Spannend könnte übrigens auch folgendes angeblich datenschutzfreundliches Tool sein (ich habe aber nichts damit zu tun und es noch nicht testen können), da es auch den ökologischen Fussabdruck mitdenkt: withcabin.com/
Fazit: In vielen Fällen – ausser man liest wirklich alle Daten regelmäßig und gewissenhaft aus und zieht daraus Konsequenzen – kann man sich den nervigen Datenschutzkram rund um Google Analytics einfach sparen ;)