Google-Analytics – GA - datenschutzkonform zu nutzen war auch schon in der Vergangenheit wichtig, da bei nicht rechtskonformer Nutzung Bußgelder durch die Aufsichtsbehörde drohten.
Doch mit der Datenschutzgrundverordnung – DSGVO - ist die Nutzung von Google-Analytics ins Visier von Abmahnanwälten geraten, die in Goldgräberstimmung sind. Es gab bereits mehrere Fälle, in denen Unternehmen wegen der falschen Verwendung von GA – mangels Opt-In - abgemahnt und zur Zahlung von mehreren hundert EUR aufgefordert wurden.
Google-Analytics heute und gestern – Opt-In(DSGVO) vs. Opt-Out
Wieso – so fragt man sich – wird ein Webseitenbetreiber, der GA heute genauso verwendet wie vor dem 25. Mai 2018, nun plötzlich durch anwaltliche Schreiben aus seiner Ruhe gerissen…
Ich nutze GA schon immer datenschutzkonform
„Ich nutze Google-Analytics schon immer datenschutzkonform“ – die IP-Adresse wird anonymisiert, einen AVV mit Google habe ich abgeschlossen und in der Datenschutzerklärung wird auf GA hingewiesen sowie ein Opt-Out angeboten – so denkt der Webseitenbetreiber.
Die DSGVO stärkt die Rechte des Betroffenen
Datenschutz ist das Recht auf informationelle Selbstbestimmung – im Klartext, der Betroffene kann und soll entscheiden dürfen, wer wann zu welchem ZWECK seine personenbezogenen Daten erheben, verarbeiten und an Dritte weitergeben darf. Grundsätzlich regelt(e) das BDSG auf nationaler Ebene die Rechte wie die Verarbeitung und Auskunft, wobei die DSGVO noch einen Schritt weitergeht und z. B. das Recht auf Übertragbarkeit und Löschung definiert.
Datenverarbeitung ohne gesetzliche Regelung nur mit Einwilligung des Betroffenen
Personenbezogene Daten dürfen durch die verantwortliche Stelle nur verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt – ein Gesetz dies vorschreibt – oder der Betroffene der Verarbeitung seiner personenbezogenen Daten zustimmt.
Wenn man Google-Analytics auf seiner Website nutzt, werden neben technischen Informationen auch personenbezogene Daten des Besuchers erhoben und durch den Webseitenbetreiber an Google übertragen - explizit weitergegeben.
Diese Verarbeitung und vor allem die Weitergabe der personenbezogenen Daten bedürfen seit dem 25. Mai 2018 der ausdrücklichen Zustimmung des Betroffenen, da es seit diesem Tage keine nationale Rechtsgrundlage mehr gibt bzw. das TMG – laut Auffassung der DSK - nicht den Anforderungen der DSGVO entspricht.
Positionspapier der DSK zum Einsatz von Tracking-Tools wie Google-Analytics vs. DSGVO
Die „Datenschutzkonferenz“ kurz DSK – der Zusammenschluss der Datenschutzbeauftragten der Länder und der Bundesbeauftragten für den Datenschutz hat im April 2018 ein Positionspapier veröffentlicht, in dem es unter anderem um die Verwendung bzw. den Einsatz von Tracking-Tools wie Google-Analytics geht.
Die DSK kommt zu dem Schluss, dass sich Tracking-Tools nicht mit den Grundsätzen der DSGVO vereinbaren lassen, insofern der Betroffene der Nutzung nicht ausdrücklich zustimmt – kein Opt-In verwendet wird.
Das Positionspapier der DSK finden Sie hier.Google unterwürft sich der europäischen Gesetzgebung
Google selbst hat die neue Rechtssituation erkannt – ihre juristischen Berater sind ja nicht auf den Kopf gefallen – und gibt dem Webseitenbetreiber klare Handlungsempfehlungen bzgl. der Nutzung von Google-Analytics innerhalb des europäischen Rechtsraumes an die Hand.
Das diesbezügliche offizielle Papier hierzu kann man hier einsehen.
Nepper, Schlepper, Bauernfänger – die Abzocke mit der DSGVO
Neben der La-Ola-Welle im juristischen Lager gibt es ein Ameisenrennen unter den Webseitenbetreuern von der Nordseeküste bis zur österreichischen Grenze in Bezug auf die Erstellung von „abmahnsicheren Webseiten“, die der DSGVO entsprechen.
Wenn ein diesbezügliches Angebot einen Haftungsausschluss in sich birgt, wirf dies Fragen auf – und zu Recht, wie einzelfallbezogene Prüfungen ergeben haben. Google-Analytics ohne IP-Anonymisierung und obendrauf noch ein funktionsunfähiges Opt-Out entbehren jeglichem Kommentar.
Google-Analytics mit Opt-In oder Opt-Out – wo liegt der Unterschied?
Wo liegt eigentlich der Unterschied zwischen Opt-In und Opt-Out?
Kurz und knapp am Beispiel von Google-Analytics erklärt, bedeutet dies, dass der Webseitenbesucher im Fall des Opt-In beim Betreten der Webseite über den Umstand informiert wird, dass auf der Webseite GA verwendet wird und seine Zustimmung hierzu „notwendig ist“. Im Fall des Opt-Out gibt es diesen initialen Hinweis nicht und lediglich eine Abschaltung des Tracking mittels Opt-Out-Funktion in der Datenschutzerklärung würde das Tracking verhindern, wobei in diesem Fall bereits personenbezogene Daten erfasst und an Google übermittelt worden sind.
Fazit – was sollte man bzgl. der Nutzung von GA in Bezug auf die DSGVO beachten?
Grundsätzlich spricht NICHTS gegen die weitere Verwendung von Google-Analytics. GA ist in Bezug auf die DSGVO rechtskonform nutzbar, insofern man die Zustimmung des Betroffenen in Form der Opt-In Lösung einholt.
Eine wichtige abschließende Anmerkung – es gilt den Grundsatz der datenschutzfreundlichen Voreinstellungen – „Privacy by Default“ - zu beachten, weshalb eine voreingestellte „Ja ich stimme zu“-Lösung nicht rechtskonform ist, der Betroffene muss aktiv zustimmen (das Häkchen setzen).
Unser Angebot - Externer DSB und Datenschutzberatung von Berlin bis Hamburg
Seit 2010 beraten und unterstützen wir nicht-öffentliche und öffentliche Stellen von Berlin bis Hamburg bei der Umsetzung des Datenschutzes. Zu unseren Kunden zählen neben mehreren IT-Unternehmen, Media-Agenturen auch Steuerberater und Unternehmen der Sozialwirtschaft.
Gern können wir auch Sie bei der Umsetzung der gesetzlichen Vorgaben des Datenschutzes gemäß Datenschutzgrundverordnung - DS-GVO, Bundesdatenschutzgesetz - BDSG - sowie anderer Rechtsvorschriften fachkundig und kostengünstig unterstützen - kontaktieren Sie uns...
