Offizielle Empfehlungen und Rechtsprechung
Bis zum aktuellen Zeitpunkt liegt – soweit ersichtlich – keine gerichtliche oder behördliche Entscheidung vor, ob und in welcher Form der Einsatz von Google Analytics rechtskonform möglich ist.
Anhaltspunkte geben jedoch
- der Beschluss Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich vom 12.5.2020 sowie
- das Papier Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom März 2019.
- Außerdem hat die Entscheidung des EuGH vom 16.7.2020 in der Sache Schrems II auch auf diese Thematik Auswirkungen.
Bedarf es einer datenschutzrechtlichen Einwilligung?
Spannend ist zunächst die Frage, ob der Einsatz von Google Analytics einer Einwilligung (im Sinne des Art 6 Abs 1 lit a DSGVO) der betroffenen Person bedarf, oder aber, ob mit einem überwiegend berechtigten Interesse (im Sinne des Art 6 Abs 1 lit f DSGVO) des Unternehmens argumentiert werden kann.
Dem Beschluss kann auf Seite 3 entnommen werden, dass das berechtigte Interesse nicht heranzuziehen ist – im Umkehrschluss es demnach einer Einwilligung bedarf.
Diese Einwilligung muss über das Cookie-Banner eingeholt werden und muss die Kriterien einer informierten Einwilligung erfüllen. Cookie-Banner wie Wir informieren Sie, dass wir Cookies einsetzen – Einverstanden genügen diesem Kriterium, wie bereits mehrfach judiziert wurde (vgl. u.a. Planet49), nicht. Weiters wird hervorgehoben, dass die Nutzer die Möglichkeit haben müssen, die Einwilligung abzulehnen, ohne dadurch Nachteile zu erleiden.
Gemeinsame Verantwortlichkeit von Google und dem Betreiber
Während die Notwendigkeit einer Einwilligung wenig überrascht, ist die Ansicht interessant, wonach Google und der Websitebetreiber eine gemeinsame Verantwortlichkeit im Sinne des Art 26 DSGVO hinsichtlich der Verarbeitung der Daten darstellen.
Dies ist auch insofern interessant, als Google in seinen Vertragsbedingungen davon ausgeht, dass es sich bei Google Analytics um eine Auftragsverarbeitung handelt.
Konsequenzen des Schrems II-Urteils für Google Analytics
Bis zum 16.7.2020 hat sich Google (Alphabet) hinsichtlich der Datenübermittlung in die USA auf das Vorliegen eines Privacy-Shield-Zertifikates berufen. Mit dem Urteil Schrems II ist diese Argumentation allerdings hinfällig geworden. Vielmehr bedarf es – zumindest – des Abschlusses von Standarddatenschutzklauseln nach Art 46 Abs 2 lit c DSGVO. Google hat als Reaktion die Standardvertragsklauseln beigefügt und verweist darauf.
%MEDIUM-RECTANGLES%
Einschätzung und Handlungsempfehlung
Unternehmen ist dringend zu empfehlen, Google Analytics ausschließlich auf Basis einer (informierten) Einwilligung im Sinne des Art 6 Abs 1 lit a DSGVO umzusetzen. Aus dem Gesichtspunkt der Rechtssicherheit sollte weiters eine Joint-Controllership-Vereinbarung sowie der Abschluss von Standarddatenschutzklauseln forciert werden. Diese Verpflichtung liegt sowohl beim Daten-Exporteur (dem Unternehmen) als auch dem Daten-Importeur (Google).
Ob dies alles rechtlich korrekt ist, steht auf einem anderen Papier. Schließlich sprechen gute Argumente dafür, dass im Zuge von Google Analytics Daten dermaßen aggregiert werden, dass ein Personenbezug nicht mehr möglich ist.
Die Konsequenz wäre, dass von einer Anonymisierung auszugehen ist, sodass die DSGVO erst gar nicht zur Anwendung gelangen würde.
%MEETFOX%
Weiterlesen: Datenschutz: Wann gelten Daten im Sinne der DSGVO als anonymisiert?
Weiterlesen: Wie reagieren Unternehmen richtig auf das Ende des EU-Privacy-Shield?
Weiterlesen: Datenschutz & Google Analytics: So geht's!
Weiterlesen: Künstliche Intelligenz und DSGVO: Wann Geschäftsideen rechtlich halten
Kommentare ( 0 )