Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erteilte mittels Beschlusses vom 12.05.2020 neue Hinweise zum Einsatz von Google Analytics auf Websites und beschreibt datenschutzrechtliche Mindestanforderungen, die nach ihrer Auffassung zwingend einzuhalten seien. Dies dürfte jeden Einsatz von Google Analytics betreffen, wenn die derzeitigen Standardeinstellungen (Stand: 11.03.2020) unverändert blieben.
Zusammenfassend äußert die DSK die nachfolgenden Rechtsauffassungen:
- Datenverarbeitung über Google Analytics erfolgt nicht im Rahmen einer Auftragsverarbeitung im Sinne von Artikel 28 Datenschutz-Grundverordnung (DSGVO).
- Google und der Google-.Analytics-Nutzer seien vielmehr gemeinsam Verantwortliche im Sinne von Artikel 26 DSGVO, so dass die Anforderungen des Artikels 26 DSGVO zu erfüllen seien.
- Google Analytics könne in der Regel nicht auf den Rechtsgrund der Vertragserfüllung gestützt werden, vgl. Artikel 6 Absatz 1 Satz 1 b) DSGVO.
- In der Regel könne Google Analytics auch nicht aufgrund berechtigter Interessen eingesetzt werden, vgl. Artikel 6 Absatz 1 Satz 1 f) DSGVO.
- In der Regel könne Google Analytics nur aufgrund einer wirksamen Einwilligung des Websitebesuchers verwendet werden, vgl. Artikel 6 Absatz 1 Satz 1 f), Artikel 7 DSGVO.
Wir berichteten über die jüngere Rechtsprechung des EUGH (auch dort) und BGH, welche die Auffassungen der DSK stützen dürfte.
Hierauf basierend fordert die DSK bei dem Einsatz von Google Analytics konkrete Maßnahmen:
- Einholung einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer
- Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung
- Transparenz
- Kürzung der IP-Adresse
Zu den vorbenannten Punkten enthält der Beschluss des DSK weitere Erläuterungen.
Bereits die Anforderungen aus Artikel 28 DSGVO an eine gemeinsame Verantwortlichkeit und spätestens die Anforderungen an eine wirksame Einwilligung werden Websitebetreiber bei Verwendung von Google Analytics in den Standardeinstellung zur aktiven Suche nach Lösungen zwingen.
Selbstverständlich erklärt aber auch die DSK vorweg, dass ihre Auffassungen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss und der Rechtsprechung des EUGH stehen. Es ist davon auszugehen, dass entsprechend Verfahren in Zukunft auf einzelne Websitebetreiber zukommen werden, die nicht die benannten Maßnahmen ergreifen.
"Google Analytics: Datenschutz Aufsichtsbehörden fordern Maßnahmen der Websitebetreiber"
von Rechtsanwalt Jean Paul Bohne