Google Analytics: Datenschutzbehörden warnen Websitebetreiber vor Webtracking ohne Einwilligung

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Datenschutzbehörden der Bundesländer Bayern, Berlin, Brandenburg, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland, Sachsen, Schleswig-Holstein und Thüringen haben übereinstimmende Erklärungen zur datenschutzrechtlichen Zulässigkeit von Tracking-Diensten veröffentlicht. Hauptsächlich betreffen die Veröffentlichungen den wohl bekanntesten Tracking-Dienst Google Analytics, allerdings gilt die mit der Veröffentlichung verbundene Warnung auch für ähnliche Analyse-Dienste, mit denen die Reichweite der Nutzerzugriffe und das Nutzerverhalten erfasst und analysiert werden kann.

Keine Auftragsverarbeitung, Einwilligung zur Übermittlung erforderlich

Die Datenschutzbehörden stellen zunächst fest, dass Google Analytics die erhobenen Daten zu eigenen Zwecken nutze bzw. sich dieses Recht vorbehalte und daher nicht mehr als Auftragsverarbeiter anzusehen sei. Die Übermittlung der Daten vom Website-Betreiber zu Google sowie die damit verbundene Verarbeitung personenbezogener Daten muss daher ihrerseits gerechtfertigt werden. Nach Ansicht der Datenschutzbehörde soll diese Übertragung und die Verarbeitung der personenbezogenen Daten bei Google nur durch eine Einwilligung der Nutzer gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO gerechtfertigt werden können.

Die Veröffentlichungen der Datenschutzbehörden verweisen dabei auf die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, die im März 2019 von der Datenschutzkonferenz veröffentlicht wurde. Darin heißt es, dass Tracking-Dienste, die eine website-übergreifende Nachverfolgung des individuellen Nutzerverhaltens ermöglichen, regelmäßig nur mit der Einwilligung des Nutzers zulässig sein sollen.

Auch wenn es juristisch hinterfragt werden kann, ob eine Rechtfertigung im Einzelfall nicht auch durch Art. 6 Abs. 1 Satz 1 lit. b) oder lit. f) DSGVO gegeben sein könnte, sollten sich die Betreiber von Internetseiten jedenfalls auf die nun veröffentlichte strengere Ansicht der Datenschutzbehörden einstellen.

Cookie-Banner alleine stellen keine Einwilligung dar

Für eine Einwilligung soll die Anzeige eines sogenannten Cookie-Banner, mit dem der Nutzer darüber informiert wird, dass auf der Internetseite Cookies genutzt werden, nicht ausreichen. Art. 4 Nr. 11 DSGVO setzt für eine wirksame Einwilligung vielmehr eine „unmissverständlich abgegebene Willensbekundungen in Form einer Erklärung“ oder eine sonstige eindeutige bestätigende Handlung voraus, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten ausdrücklich einverstanden ist.

Opt-Out-Verfahren sollen hierfür nicht ausreichen, wie Erwägungsgrund 32 DSGVO klarstellt, da ein „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ keine Einwilligung darstellen. Auch in dem Weitersurfen des Nutzers soll nach Ansicht der Datenschutzbehörden daher keine (konkludente) Einwilligung zu sehen sein.

Zukünftige Gestaltung: Cookie-Consent-Tools und alternative Statistik-Tools

Um die strengere Ansicht der Datenschutzbehörden zukünftig umzusetzen, muss also ein Opt-in-Verfahren genutzt werden, mit dem von jedem Besucher der Internetseite eine ausdrückliche Einwilligung eingeholt wird.

Den Webseitenbetreibern stehen hierfür verschiedene Lösungswege zur Verfügung. Neben individuellen Lösungen können hierbei auch sogenannte Cookie-Consent-Tools eingebunden werden, mit deren Hilfe die Einwilligung der Nutzer eingeholt werden kann.

Zudem sollte die Veröffentlichung der Datenschutzbehörden auch zum Anlass genommen werden, die eigene Datenverarbeitung zu überprüfen und neu zu strukturieren. Mittlerweile gibt es am Markt einige Tools, die ohne Cookies auskommen und trotzdem hilfreiche (und in vielen Fällen ausreichende) Statistiken bieten. Dennoch ist auch bei alternativen Diensten Vorsicht geboten, da die Datenschutzbehörden klargestellt haben, dass sich die veröffentlichte Ansicht nicht auf Google Analytics beschränkt, sondern auch für ähnliche Dienste gilt. Welche Dienste jedoch ähnlich zu Google Analytics sein sollen, verraten die Veröffentlichungen nicht.

Für die Webseitenbetreiber bedeutet dies, dass sämtliche eingesetzten Tools auf der Internetseite geprüft werden sollten, welche Daten in den Tools in welchem Umfang erfasst und verarbeitet werden. Ob eine Einwilligung dabei notwendig ist oder nicht, gleichermaßen muss auch die Datenschutzerklärung an die eingesetzten Tools angepasst werden, damit der Nutzer transparent und vollumfänglich über die Verarbeitung personenbezogener Daten informiert wird.

Weitere Artikel zum Thema