Datenschutzkonferenz bewertet den Einsatz von Google Analytics unter der DSGVO neu

DSK revidiert frühere Auffassung

Mit Beschluss vom 12. Mai 2020 hat die DSK ihre Auffassung zum Einsatz von Google Analytics revidiert. Dies geschah vor dem Hintergrund des neuen Rechtsrahmens der EU-Datenschutzgrundverordnung (DSGVO), welche seit dem 25. Mai 2018 gilt. Das Trackingtool Google Analytics dient der Datenverkehrsanalyse von Websites und untersucht die Herkunft der Websitebesucher, deren Verweildauer auf einzelnen Seiten sowie die Suchmaschinennutzung. Google Analytics erlaubt damit u.a. eine Messung der Effektivität von Werbekampagnen.

Dieses statistische Auswertungstool wird von der grossen Mehrheit aller Website-Betreiber verwendet, weshalb erheblicher Beratungsbedarf bezüglich dessen Einsatz besteht. Die DSK weist darauf hin, dass ihre Auffassung zum Einsatz von Google Analytics unter dem Vorbehalt einer in Zukunft abweichenden Auslegung durch den Europäischen Datenschutzausschuss (EDSA) und der Rechtsprechung des EuGH stehe. Ferner betont die DSK, dass die Hinweise lediglich Konstellationen abdeckten, in denen der Anwender von Google Analytics nicht von den empfohlenen Einstellungen abweicht und/oder ergänzende Funktionen – wie beispielsweise Google Analytics 360 – einsetzt oder Google die Verarbeitungsvorgänge von Google Analytics bzw. deren Vertragsgrundlage ändert. Für solche Fälle verweist die DSK auf weitere veröffentlichte Orientierungshilfen der deutschen Datenschutzbehörden. Schliesslich weist die DSK darauf hin, dass die Hinweise zum Einsatz von Google Analytics nur, aber immerhin, die häufigsten Fragestellungen beim Einsatz von Google Analytics im Sinne von datenschutzrechtlichen Mindestanforderungen darstellen.

Vorliegen personenbezogener Daten

Einleitend hält die DSK fest, dass beim Einsatz von Google Analytics immer personenbezogene Daten der Nutzer verarbeitet würden. Sie widerspricht damit der Auffassung von Google. Denn in den Google Analytics-Hilfen ist festgehalten, dass Nutzungsdaten aus Google Analytics keine «personenidentifizierbaren Informationen» seien. Dies ist insofern widersprüchlich, als in den Google Analytics-Hilfen weiter zu lesen ist, dass Daten, die Google nicht als «personenidentifizierbare Informationen» einstuft, im Rahmen der DSGVO u.U. als personenbezogene Daten gelten können. Deshalb weist die DSK für den Einsatz von Google Analytics ausdrücklich darauf hin, dass es sich bei den Nutzungsdaten und sonstigen gerätespezifischen Daten, die einem bestimmten Nutzer zugeordnet werden können, um personenbezogene Daten im Sinne der DSGVO handle.

Gemeinsame Verantwortlichkeit zwischen Google und dem Google Analytics-Anwender

Im Zuge der Weiterentwicklung von Google Analytics wurde die anfänglich ausschliessliche Funktion der statistischen Analyse stark ausgebaut. Mittlerweile stehen dem Anwender von Google Analytics neben der statistischen Analyse eine Vielzahl von weiteren Funktionen zur Verfügung, mit denen der Anwender eine Fülle von unterschiedlichen Zwecken verfolgen kann. Zur datenschutzrechtlichen Qualifizierung der involvierten Parteien muss erörtert werden, wer diese Zwecke sowie die Mittel der Datenverarbeitung vorgibt. Sofern nur der Anwender von Google Analytics die Zwecke und Mittel vorgibt, könnte eine Auftragsverarbeitung durch Google vorliegen (Art. 28 DSGVO).

Aus Sicht der DSK ist das aber nicht der Fall, weil der Website-Betreiber nicht alleine über den Zweck und die Mittel der Verarbeitung bestimme. Vielmehr werden die Zwecke und Mittel der Verarbeitung «zum Teil ausschliesslich von Google vorgegeben, sodass Google insoweit selbst verantwortlich ist«. Google selbst bietet den Google Analytics-Anwendern zwar einen Auftragsverarbeitungsvertrag an, stellt aber in den dazugehörigen Geschäftsbedingungen selbst klar, dass sowohl Google als auch der Google Analytics-Anwender für bestimmte Verarbeitungen getrennt verantwortlich sind. Aus den Nutzungsbedingungen von Google gehe sodann zudem klar hervor, dass Google die Daten (auch) für eigene Zwecke verarbeite. Deshalb vertritt die DSK unter Berücksichtigung der Rechtsprechung des EuGH (vgl. MLL-News vom 17.6.2018) neu die Auffassung, dass Google und der Google Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich sind und die Anforderungen von Art. 26 DSGVO beachtet werden müssen.

Einsatz von Google Analytics nur mit rechtsgültiger Einwilligung

Die DSK geht in ihren Hinweisen weiter auf die möglichen Rechtsgrundlagen (sog. Erlaubnistatbestände) für den Einsatz von Google Analytics nach der DSGVO ein. Dabei schliesst sie prima vista den Erlaubnistatbestand der Vertragserfüllung aus, weil der Einsatz von Google Analytics für die Vertragserfüllung zwischen dem Website-Betreiber und dem User nicht erforderlich sei. Vor dem Hintergrund der Verarbeitungsschritte, welche durch Google Analytics erfolgen, könne der Einsatz von Google Analytics in der Regel auch nicht auf ein überwiegendes berechtigtes Interesse gestützt werden (Art. 6 Abs. 1 lit. f DSGVO). Grund dafür sei, dass der Nutzer nicht mit der umfassenden Auswertung und Verknüpfung zum Zwecke des personalisierten Marketings und der ggf. damit einhergehenden Weitergabe der Daten an Dritte rechnen müsse. Gemäss der DSK ginge dies weit über das im Rahmen des Erlaubnistatbestands des überwiegenden berechtigten Interesses zulässige Mass hinaus. Im Übrigen verweist sie auf die Orientierungshilfe für Anbieter von Telemedien, worin auch festgehalten wird, inwiefern der Einsatz von Cookies auf diesen Erlaubnistatbestand abgestützt werden kann (vgl. MLL-News vom 27.4.2019).

Nach Auffassung der DSK ist ein rechtmässiger Einsatz von Google Analytics in der Regel nur durch eine wirksame Einwilligung der Webseite-Besucher möglich (Art. 6 Abs. 1 lit. a DSGVO und Art. 7 DSGVO). Für die Beurteilung der Rechtmässigkeit des Einsatzes von Google Analytics komme es gerade nicht auf die vertragliche Vereinbarung zwischen Google und dem Anwender an – auch wenn Google in gewissen Konstellationen den Website-Betreiber dazu verpflichte, eine Einwilligung der Nutzer einzuholen – sondern einzig und alleine auf das Gesetz.

Empfohlene Massnahmen beim Einsatz von Google Analytics

Die DSK empfiehlt Website-Betreibern, welche nicht auf andere, datensparsamere Google Analytics-Alternativen setzen möchten, folgende Massnahmen:

• Einholen einer rechtsgültigen Einwilligung

Der Website-Betreiber ist angehalten, eine nach der DSGVO gültige Einwilligung einzuholen. Dazu ist eine informierte, freiwillige, aktive und vorherige Einwilligung in eine konkrete Verarbeitungstätigkeit notwendig. In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, welche Daten verarbeitet werden und dass die Daten nicht anonym sind. Des Weiteren muss erklärt werden, dass Google die Daten für beliebige eigene Zwecke, wie z.B. zur Profilbildung, nutzen und mit anderen Daten verknüpfen kann. Gemäss der DSK wäre demnach der blosse Hinweis «Diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern» beispielsweise ungenügend.

Nutzer müssen ferner aktiv in die Datenverarbeitung einwilligen (z.B. durch Anklicken eines Buttons). Folglich wird ein aktives Tun verlangt. Die Zustimmung darf somit nicht ohne Zutun des Nutzers voreingestellt sein.

Die Einwilligung muss zudem freiwillig erfolgen und der Nutzer muss diese auch verweigern können, ohne dadurch benachteiligt zu werden. Eine Koppelung der Zustimmung an die Nutzung einer weiteren Dienstleistung könnte zur Verneinung der Freiwilligkeit führen. Zudem müsse der Widerruf der Einwilligung gewährleistet sein

• Konkrete Gestaltungshinweise zur Einholung der Einwilligung

Die Hinweise auf den Einsatz von Google Analytics müssen klar und eindeutig sein. Gemäss der DSK sind dazu insbesondere Überschriften zu verwenden, welche nicht irreführend sind. Zudem dürfen Links zu wesentlichen weiteren Informationen, wie z.B. zur Datenschutzerklärung, nicht verschleiert werden. Diesbezüglich führt die DSK insbesondere an, dass der Zugriff auf das Impressum und die Datenschutzerklärung weder eingeschränkt noch verhindert werden darf. Schliesslich muss den Nutzern die relevante Information sowie der Gegenstand der Einwilligung im Zusammenhang mit Google Analytics klar verdeutlicht werden.

• Umsetzung des Widerrufs durch technische Vorkehrungen

Die DSK fordert zudem im Einklang mit der DSGVO, dass der Einsatz von Google Analytics immer und einfach zugänglich widerrufen werden kann – beispielsweise durch einen entsprechenden Button. Der Widerruf der Einwilligung sollte in derselben Art und Weise möglich sein, wie die Erteilung der Einwilligung. Gemäss der DSK genüge die Deaktivierung von Google Analytics durch das von Google zur Verfügung gestellte Browser-Add-On diesen Anforderungen nicht. Nach dem Widerruf der Einwilligung (sowie bis zur rechtsgültigen Einwilligung) müsse der Website-Betreiber technisch sicherstellen, dass das Google Analytics Skript nicht nachgeladen oder ausgeführt werde.

• Transparente Information

Der Website-Betreiber müsse die Nutzer in ihren Datenschutzbestimmungen vollumfänglich über die Verarbeitung personenbezogener Daten durch Google Analytics aufklären, so die DSK.

• Aktivierung der IP-Adressen-Kürzung

Eine weitere notwendige Massnahme stelle die Kürzung der IP-Adressen dar. Dies erfolge durch die entsprechende Einstellung und mit der Einbindung der Funktion «_anonymizeIp()». Die Aktivierung dieser Funktion soll den Nutzer zusätzlich schützen. Die DSK weist jedoch darauf hin, dass die IP-Kürzung nicht dazu führe, dass die Datenverarbeitung vollständig anonymisiert erfolge. Vielmehr handle es sich um eine Massnahme zur Einhaltung des Grundsatzes der Privacy by Design. Die DSGVO bleibe deshalb auch nach der Aktivierung dieser Funktion vollumfänglich anwendbar.

Auswirkung der DSK-Hinweise auf Unternehmen in der Schweiz

Die DSGVO kann bekanntlich auch für Website-Betreiber in der Schweiz gelten, wenn diese das Nutzerverhalten von Personen mit Aufenthaltsort in der EU oder dem EWR tracken. Auch wenn die Empfehlungen der DSK für die Gericht nicht rechtsverbindlich sind, sollten diese deshalb auch durch Schweizer Website-Betreiber befolgt werden, sofern sie die Website-Zugriffe von Personen in der EU bzw. im EWR durch Google Analytics auswerten. Daran ändert auch die weniger strenge Rechtslage in der Schweiz nichts. Gilt es doch in diesem Fall die Vorschriften beider Rechtsordnungen zu beachten. Ginge es alleine nach Schweizer Recht, wäre eine explizite Einwilligung für die Nutzung von Google Analytics zurzeit nicht notwendig. Die Unternehmen in der Schweiz, auf welche die DSGVO nicht anwendbar ist, müssten nur, aber immerhin, transparent über den Einsatz von Google Analytics informieren und den Nutzern eine Opt-out-Möglichkeit zur Verfügung stellen (Art. 45c FMG).

Fazit und Anmerkungen

Für die Praxis zeigen die Hinweise der DSK auf, dass die Voraussetzungen an die Verarbeitung von personenbezogenen Daten durch Google Analytics streng sind. Allerdings sind die neuen Empfehlungen vor dem Hintergrund der aktuellen Rechtsprechung des EuGH in Bezug auf Cookies (MLL-News vom 22.10.2019) und die gemeinsame Verantwortlichkeit (MLL-News vom 10.8.2019) wenig überraschend. Der Website-Betreiber und Google gelten nach der Auffassung der DSK insofern als gemeinsam Verantwortliche nach Art. 26 DSGVO und der Einsatz des Tools ist nur durch rechtsgültige Einwilligung des Website-Nutzers zulässig. Dabei muss der Besucher mit einem klaren Hinweis auf die Verwendung und die Datenverarbeitung durch Google hingewiesen werden. Der Widerruf der Einwilligung muss eben so simpel erfolgen können, wie dies bei der Erteilung der Einwilligung möglich ist.

Zurzeit befindet sich ferner die Revision des Schweizer Datenschutzgesetzes in den letzten Zügen. Neben einer Informationspflicht mit vorgegebenem Mindestinhalt, wird das revidierte DSG noch weitere neue Pflichten für die Verantwortlichen vorsehen, so zum Beispiel auch den Grundsatz des Privacy by Design (ausführlich dazu MLL-News vom 15.6.2020 und MLL-News vom 29.5.2020). Demgegenüber wird die Regelung zum Einsatz von Cookies im Grundsatz gleichbleiben. Auch wenn in der Schweiz künftig keine explizite Einwilligung für die Nutzung von Google Analytics notwendig sein dürfte, stellen die Hinweise der DSK wichtige Rahmenbedingungen an transparente Datenverarbeitung dar, welche auch die Schweizer Behörden zur Auslegung heranziehen könnten.

Weitere Informationen:

• Datenschutzkonferenz DSK: Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich
• Google Analytics-Hilfen
• MLL-News vom 17.6.2018: «EuGH bejaht datenschutzrechtliche Mitverantwortung des Betreibers einer Facebook-Fanpage»
• MLL-News vom 15.6.2020: «DSG-Revision: FAQ Teil 1»
• MLL-News vom 29.5.2020: «DSG-Revision: Zwischenstand in der Differenzbereinigung»