Die meisten Websitebetreiber setzen Tracking-Tools ein, um besser zu verstehen, wie ihre Website genutzt wird („Webanalyse“). Das meistverbreitete Tool hierfür ist Google Analytics. Nach Einschätzung der deutschen Datenschutzbehörden bestehen aber erhebliche Zweifel, ob Google Analytics datenschutzkonform eingesetzt werden kann. Websitebetreiber sollten daher sorgfältig prüfen, ob und in welcher Form Google Analytics weiter eingesetzt werden soll und jedenfalls die nachfolgend dargestellten Hinweise beachten.
Hintergrund, Problem und Sanktionsrisiko
Die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutz-Aufsichtsbehörden des Bundes und der Länder, hat aktuelle Hinweise zum Einsatz von Google Analytics veröffentlicht (Hinweise als PDF). Danach handele es sich bei der Einbindung von Google Analytics entgegen der bisherigen Einschätzung nicht um eine Auftragsverarbeitung, sondern um eine gemeinsame Verantwortlichkeit zwischen Google und dem Websitebetreiber. Folglich müsste eine sogenannte Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 EU-Datenschutzgrundverordnung (DSGVO) abgeschlossen werden. Eine solche Vereinbarung bietet Google allerdings bislang nicht an. Es ist auch nicht zu erwarten, dass Google – wie eigentlich erforderlich – mit Websiteanbietern individuelle Vereinbarungen nach Art. 26 DSGVO treffen wird. Die Anforderungen der DSGVO können daher beim Einsatz von Google Analytics aktuell nicht sicher erfüllt werden.
Ferner werden beim Einsatz von Google Analytics die personenbezogenen Daten der Websitenutzer in den USA verarbeitet. Die Vertragsbedingungen für Google Analytics umfassen daher seit dem 12. August 2020 die EU-Standardvertragsklauseln für die Auftragsverarbeitung in Drittstaaten. Nach der EuGH-Rechtsprechung (Fall „Schrems II“) sind allerdings unter
Umständen zusätzliche Garantien erforderlich. Die DSK hat sich bisher nicht konkret dazu geäußert, wie solche Garantien für einen Datentransfer in die USA aussehen können (Pressemitteilung der DSK als PDF). Fehlen die erforderlichen Garantien, so könnte der Datentransfer noch auf eine Einwilligung der Nutzer gestützt werden – dafür ist aber auf die besonderen Risiken einer Übertragung in die USA hinzuweisen, was regelmäßig nicht geschieht. Somit birgt Google Analytics auch unter diesem Aspekt das konkrete Risiko von Datenschutzverstößen.
Zusätzliche Brisanz ergibt sich aus der Ankündigung der Aufsichtsbehörden, Tracking-Technologien wie Google Analytics auf Websites verstärkt zu prüfen (Pressemitteilung der Aufsichtsbehörde Baden-Württemberg). Die Prüfung soll länderübergreifend erfolgen und zu-
nächst Presse- und Medienportale betreffen. Es ist davon auszugehen, dass in der Folge Onlineangebote weiterer Branchen im Fokus stehen werden. Im Ergebnis bringt der Einsatz von Google Analytics daher das Risiko von Datenschutzverstößen und im ungünstigsten Fall von Bußgeldern mit sich. Sicher auszuschließen sind diese Risiken nur, wenn auf den Einsatz von
Google Analytics insgesamt verzichtet wird. Wer bereit ist, diese Risiken einzugehen, sollte zumindest die nachfolgenden Hinweise zur Risikoverringerung beachten.
Empfehlungen der DSK beim Einsatz von Google Analytics
Trotz grundsätzlicher Kritik an Google Analytics gibt die DSK in ihren aktuellen Hinweisen Empfehlungen zum Einsatz dieses Webanalyse-Tools. Das sollte aber nicht als Freibrief für den Einsatz von Google Analytics missverstanden werden, sondern als Mindestanforderung zur Konfiguration, wenn Google Analytics trotz der datenschutzrechtlichen Bedenken eingesetzt werden soll. Die folgenden Empfehlungen gibt die DSK:
- Einwilligung: Für den Einsatz von Google Analytics, aber auch andere Tracking-Tools ist eine Einwilligung der Nutzer erforderlich. Diese kann über ein Cookie-Banner oder PopUp eingeholt werden, sofern die darüber abgegebene Erklärung eindeutig und aktiv ist. Opt-Out-Verfahren, vorangekreuzte Auswahlkästchen oder der Hinweis, dass „Weitersurfen“ Zustimmung bedeute, erfüllen diese Voraussetzungen nicht. Die Einwilligung muss zudem informiert erfolgen. Mit Blick auf die gegenwärtigen Unsicherheiten beim Datentransfer in die USA empfehlen wir, auf die sich daraus ergebenden Risiken hinzuweisen (Stichwort: möglicher Zugriff durch US-Behörden) und die Einwilligung auch hierauf zu erstrecken.
- Widerrufsmechanismus: Ein einfacher und stets zugänglicher Mechanismus zum Widerruf der Einwilligung muss implementiert sein. Es genügt nicht, auf das von Google bereitgestellte Browser-Add-On zur Deaktivierung von Google Analytics zu verweisen; das Add-On setzt nämlich voraus, dass weitere Programme nachgeladen werden, was den Nutzern nicht zumutbar ist. Stattdessen kann etwa eine Schaltfläche für den Widerruf in der Datenschutzerklärung platziert werden.
- Informationspflicht: Website-Betreiber müssen die Nutzer in den Datenschutzerklärungen umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics und anderen Tracking-Tools informieren.
- Anonymisierung von IP-Adressen: Website-Betreiber sollten außerdem die Kürzung der IP-Adresse veranlassen. Dazu ist auf jeder Internetseite mit einer Google Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen (Link für weitere Hinweise).
Darüber hinaus empfehlen wir folgende Maßnahmen:
- Aufbewahrungsdauer: Die Aufbewahrungsdauer der Daten sollte festgelegt werden. Die Voreinstellung von Google Analytics sieht vor, dass die Nutzer- und Ereignisdaten standardmäßig 26 Monate gespeichert werden. Auch ist der Button „Bei neuer Aktivität zurücksetzen“ standardmäßig aktiviert. Der Button sollte deaktiviert und die Aufbewahrungsdauer auf 14 Monate (kürzeste mögliche Einstellung) begrenzt werden. Eine Anleitung hierzu finden Sie auf den Support-Seiten von Google (Link).
- Keine Freigabe der Daten für Google: Unter den Kontoeinstellungen für Google Analytics lässt sich einstellen, ob Google die für die Webanalyse gesammelten Daten auch zu eigenen Zwecken wie Produktoptimierung und Benchmarking verarbeiten darf. Wir raten dazu, alle „Datenfreigabeeinstellungen“ zu deaktivieren (Link für weitere Hinweise).
Google Analytics 360 und weitere Funktionen
Die vorstehenden Hinweise gelten nur für die Standardversion von Google Analytics. Der Einsatz von Google Analytics 360 (Teil der Google Marketing Platform) ist in der Regel mit einer weitergehenden Datenverarbeitung verbunden. Hierfür ist eine nähere datenschutzrechtliche Prüfung im Einzelfall erforderlich.
Ausblick und Handlungsempfehlung
Websitebetreiber sollten zeitnah prüften, ob Tracking-Tools und insbesondere Google Analytics auf der Webseite zwingend eingesetzt werden müssen. Viele Unternehmen setzen zwar Google Analytics ein, werten die Daten aber kaum aus. Das schafft unnötige Datenschutz-
und Bußgeldrisiken. Wer nicht auf den Einsatz von Google Analytics verzichten möchte oder kann, sollte sich bestehender Risiken bewusst sein und die oben beschriebenen Empfehlungen der DSK rasch umsetzen.