Google Analytics & die aktive Einwilligung - Datenschutz­konformer Umgang mit Cookies

Die Meinungen zum Einsatz von Google Analytics-Cookies gehen weit auseinander. Die einen möchten ihn ganz unterbinden, die anderen finden es mit Opt-in noch zulässig, wiederum andere sehen keine datenschutzrechtlichen Gefahren in der Benutzung. Doch mit welcher Ansicht ist man datenschutzkonform aufgestellt? Dieser Blogbeitrag widmet sich ausführlich der gesamten Rechtsproblematik und dem korrekten Einsatz von Cookies.

Am 14. November letzten Jahres ging alles auf einmal ganz schnell. 13 Aufsichtsbehörden (Berlin, Brandenburg, Hamburg, Hessen, Niedersachsen, NRW, Rheinland-Pfalz, Saarland, Sachsen, Schleswig-Holstein, Thüringen, Bayern und der Bundesbeauftragte für Datenschutz und Informationsfreiheit) veröffentlichten inhaltlich übereinstimmende Presseerklärungen zu Tracking- & Analyse-Tools. Insbesondere wurde der Einsatz von Google Analytics bewertet. Die Presseerklärungen der einzelnen Aufsichtsbehörden unterschieden sich um Nuancen. Es handelte sich also explizit nicht um eine gemeinsame Veröffentlichung, dennoch verfolgten die Erklärungen ein gemeinsames Ziel:
Google Analytics sei nur noch mit aktiver Einwilligung zu implementieren.

Die Aussage der Aufsichtsbehörden haben wir bewusst in den Konjunktiv gesetzt, denn unserer Meinung nach, kann solch eine pauschale Antwort nicht ohne weitere Betrachtung der konkreten Gegebenheiten getroffen werden.

Tracking, Cookies, Einwilligung – worüber wird eigentlich diskutiert?

Bevor wir Ihnen die Rechtsproblematik und die verschiedenen vorherrschenden Meinungsstände aufzeigen und näherbringen, möchten wir Sie kurz in die wichtigsten Begriffe der Materie einführen.

Cookie

Ein Cookie ist eine kleine Textdatei, die beim Besuch der Webseite lokal auf dem Rechner des Users gespeichert wird. Ein Cookie richtet auf Ihrem Endgerät keinen Schaden an, es enthält keine Viren, Trojaner oder sonstige Schadsoftware. Diese kleine Textdatei kann aufgrund unterschiedlicher Zielabsichten implementiert werden. Demzufolge gibt es verschiedene, einzusetzende Cookies.

• Technisch notwendige/unbedingt erforderliche Cookies
  Unter technisch notwendig versteht man ein Cookie, ohne dessen die Datenverarbeitung aufgrund des vertraglichen, vorvertraglichen oder vertragsähnlichen Verhältnisses nicht durchgeführt werden kann. Der Webseiten-Inhaber kann seinen Pflichten ohne das Implementieren des Cookies nicht nachkommen. Ein klassisches Beispiel für einen technisch notwendigen Cookie ist der Login-Cookie. Dieser Cookie speichert lediglich die Information, dass der User aktuell eingeloggt ist, ab und fordert diesen nicht beim Aufrufen einer Unterseite zum erneuten Eingeben der Login-Daten auf. Nach Auffassung der Art. 29-Datenschutzgruppe sind für die Funktion der Webseite technisch notwendige Cookies ohne weiteres zulässig.
• Komfort- und Statistik-Cookies
  Wie es der Name schon verrät, erhöhen Komfort-Cookies die Bequemlichkeit der Webseite. Statistik-Cookies beschreiben solche, die primär statistischen Auswertungen dienen. Darunter zählt beispielsweise das Auswerten der jeweiligen Verweildauer auf einer bestimmten Unterseite der Webseite oder das Aufzeichnen von Nutzerinteraktionen. Diese Cookies sind nicht mehr zwingend notwendig und unterliegen deshalb strengeren Anforderungen. Der Webseiten-Betreiber führt eine Interessensabwägung durch, die zu seinen Gunsten ausfallen muss. In solchen Fällen kann dieser sich auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO stützen. In anderen Fällen ist eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO unabdingbar.
• Werbe- und Tracking-Cookies
  Werbe- und Tracking-Cookies werden zur Analyse des Nutzerverhaltens und zu Werbezwecken eingesetzt. Diese Cookies ermöglichen eine „Identifikation“ des Users, eine Analyse seines Verhaltens sowie die Bildung eines exakten Benutzerprofils. Diese Cookies können nicht auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, da die schützwürdigen Interessen des Users regelmäßig überwiegen. Eine andere Rechtsgrundlage greift nicht. Sie müssen sich bei Werbe- und Tracking-Cookies eine aktive Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO des Nutzers einholen.

Doch wo lässt sich jetzt Google Analytics mit seinen umfassenden Funktionsmechanismen einordnen? Und wie sieht so eine notwendige Einwilligung aus?

Auch hier: Wie alles begann…

Da die Einführung in die Rechtsdogmatik des letzten Blogbeitrages bei Ihnen sehr gut ankam, möchten wir nun öfter solche Einführungshinweise geben. Noch bevor die DSGVO zur Anwendung kam, veröffentlichte die Datenschutzkonferenz (ein Gremium der unabhängigen deutschen Datenschutz­aufsichts­behörden des Bundes und der Länder) ein Positionspapier zum Thema Tracking. Doch so richtig schlau, wie man jetzt in Bezug auf Google Analytics und andere Tracking-Mechanismen vorgehen soll - gerade vier Wochen vor Anwendung der DSGVO -, konnte man aus diesem Positionspapier nicht werden. Es wurden Verhaltensweisen angeordnet und Thesen aufgestellt, die zum einen durch Auslegung des Gesetzes schon ersichtlich und zum anderen, insbesondere Nr. 9 des Papieres, einfach fehlerhaft sind.

Genau ein Jahr später veröffentlichte die Datenschutzkonferenz erneut ein Positionspapier. Dieses Mal führte sie an, dass der Einsatz von Analyse-Tools wie beispielsweise Google Analytics bei einer Interessensabwägung zugunsten des Verantwortlichen (Webseiten-Betreibers) auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgen kann. Allerdings darf es sich bei dem Tool nicht um ein geräteübergreifendes Tracking handeln oder eine Datenübermittlung an Dritte außerhalb einer Auftragsverarbeitung getätigt werden. In solchen Fällen dürften diese Tools aufgrund des Art. 6 Abs. 1 lit. f DSGVO nicht implementiert werden. Vereinfacht gesagt: Bei Komfort- und Analyse-Cookies haben Sie ein berechtigtes Interesse, bei Werbe- und Tracking-Cookies hingegen nicht.

Im Oktober 2019 sorgte das EuGH-Urteil Planet49 zum Thema Cookies für Aufsehen. Zusammenfassend wurde hier entschieden, dass unbedingt erforderliche Cookies ohne Einwilligung des Nutzers gesetzt werden können. Kein Cookie war nun mehr unbedingt erforderlich und plötzlich poppten immer mehr dieser mysteriösen Cookie-Bannern auf. Oftmals jedoch wäre ein solcher Cookie-Banner gar nicht notwendig und wurde lediglich aus Vorsicht im Hinblick auf eine mögliche Abstrafung implementiert.

Nach dem Urteil des EuGHs kommen wir nun zum obigen Ausgangspunkt der Pressemitteilungen der Aufsichtsbehörden.

Presseerklärung Datenschutzbehörden

Noch einmal zusammenfassend: In den am 14. November 2019 veröffentlichten Pressemitteilungen erklärten die jeweiligen Aufsichtsbehörden, dass eine Nutzung von Google Analytics nicht mehr ohne Einwilligung verwendet werden darf. Google bestätigte, dass sie die Daten auch zu eigenen Zwecken nutzen, um entsprechende Nutzerprofile zu erstellen. Das Nutzen der Daten durch einen Dritten (vorliegend Google) zu eigenen Zwecken widerspricht einer datenschutzkonformen Verwendung.

Kritik

Keine der angesprochenen Erklärungen geht auf die verschiedenen Konfigurationsmöglichkeiten von Google Analytics ein. Dabei hat gerade Google im Hinblick auf den Datenschutz einige Mechanismen erlassen, die unserer Meinung nach einen Einsatz von Google Analytics auch ohne Einwilligung ermöglichen. Interessant ist in diesem Zusammenhang auch, dass die BayLDA in ihrem jüngst veröffentlichten Tätigkeitsbericht plötzlich davon spricht, dass Google Analytics auch datenschutzkonform eingesetzt werden kann. Voraussetzung dafür ist, dass der Webseiten-Betreiber neben der erforderlichen Information auch die notwendigen Konfigurationen vornimmt. Die Begriffe der „erforderlichen Information“ und „notwendigen Konfiguration“ werden aber nicht weiter konkretisiert.

Nachfolgend möchten wir Ihnen kurz aufzeigen, wie unserer Meinung nach der datenschutzkonforme Gebrauch von Google Analytics möglich ist. Dafür müssen aber folgende zwei Bedingungen gleichermaßen erfüllt werden:

• Bei der Interessenabwägung muss das berechtigte Interesse des Webseiten-Betreibers dem des schutzwürdigen Interesses des Nutzers überwiegen
• Google Analytics muss datenminimiert implementiert sein

Datenschutzfreundliche Implementierung von Google Analytics

Wie bereits angesprochen, gibt es mehrere Möglichkeiten Google Analytics zu implementieren. Oben haben wir Ihnen die beiden Voraussetzungen für eine datenschutzkonforme Implementierung von Google Analytics vorgestellt.

Fragen Sie sich bitte zunächst immer, ob Sie den Nutzen von Google Analytics wirklich für das Voranbringen Ihres Unternehmens benötigen. Arbeiten Sie tatsächlich mit den Daten der Auswertungen oder haben Sie es einfach implementiert, da man es Ihnen vor Jahren empfohlen hatte? Machen Sie sich Gedanken über Ihre Ziele und wägen Sie Ihr Interesse mit dem Schutzgut des Users ab. Fällt die Interessensabwägung zu Ihren Gunsten aus, können Sie mit der datenminimierten Implementierung von Google Analytics beginnen.

Wir erklären Ihnen nachfolgend anhand von wenigen Schritten die datenminimierte Implementierung des Dienstes Google Analytics.

1. Implementierung der „anonymizeIP“
2. Implementierung des Deaktivierungs-Add-On
3. Implementierung des Disabling-Tracking
4. Keine Aktivierung der User-ID
5. Jeglichen Zugriff auf die Daten durch Google untersagen
1. Produktverknüpfungen ausschalten
2. Datenfreigabe ausschalten
6. Schließen Sie einen Auftragsverarbeitungsvertrag mit Google Inc. ab.
   Den Vertrag können Sie ganz einfach online abschließen. Dazu müssen Sie sich bei Ihrem Google Business Konto anmelden und unter dem Aspekt Kontoeinstellungen finden Sie den Zusatz „Datenverarbeitung“. Folgen Sie den Hinweisen von Google und geben Sie alle notwendigen Informationen an.
7. Abschließend müssen Sie Ihre betroffenen Personen ausführlich über den Einsatz von Google Analytics in Ihrer Datenschutzinformation informieren. Dieses Recht der Betroffenen ergibt sich aus Art. 13, 14 DSGVO.

Diese datenminimierte Implementierung verhindert, dass Google ausführliche Nutzerprofile des jeweiligen Webseiten-Betreibers und Users erstellen kann und bewirkt gleichzeitig den Schutz vor Weitergabe der personenbezogenen Daten an Dritte. Ist zwischen Google Inc. und dem Webseiten-Betreiber ein Auftragsverarbeitungsvertrag geschlossen, handelt es sich bei Google nicht um einen Dritten im Sinne der DSGVO. Google ist dann Auftragsverarbeiter.

Bei Fragen zur datenminimierten Implementierung von Google Analytics und dem generellen rechtskonformen Einsatz von Cookies helfen wir Ihnen gerne weiter. Kontaktieren Sie uns, gemeinsam finden wir Ihre optimale Lösung zum datenschutzkonformen Einsatz von Cookies.

Risikobewertung der unterschiedlichen Implementierungen

Bitte beachten Sie, dass es sich bei diesem Beitrag um unsere Rechtsauffassung handelt. Ebenso haben wir die Rechtsauffassung der Datenschutzbehörden dargestellt. Es kommt auf die gerichtliche Entscheidung an. Wir möchten Ihnen nachfolgend noch folgende Risikobewertungen mit auf den Weg geben.

• Sie holen eine Einwilligung des Users ein. Der User muss über die Dienste ausführlich informiert werden und es dürfen im Vorfeld noch keine Daten an die Dienste übertragen werden. Die Einwilligung können Sie sich mittels Opt-in einholen. Hier besteht kein Risiko, da die Verarbeitung der Einwilligung erfolgt. Der User erklärt sich mit dem Setzen von Cookies einverstanden. Bitte beachten Sie dazu noch die Tatbestände einer Einwilligung.
• Sie informieren den User mittels Cookie-Banner über das Setzen von Cookies, verzichten aber auf eine aktive Einwilligung. Hier besteht ein mittleres Risiko.
• Sie informieren den User lediglich in der Datenschutzinformation über das Setzen von Cookies, insbesondere Google Analytics und seine daraus resultierenden Rechte. Hier besteht ein hohes Risiko. Es besteht die Möglichkeit, dass eine der oben genannten Aufsichtsbehörden Ihnen bezüglich dieser Verwendung ein Bußgeld ausspricht.

Aktuell verhandelt der BGH seit dem 30.01.2020 auf Grundlage des EuGH-Urteils Planet49. Das Urteil steht noch aus und wird zum 28.05.2020 erwartet. Wir warten mit Spannung auf die Entscheidung und werden Sie informieren, sobald ein Urteil vom BGH gesprochen wurde.

Anmerkung vom 22.06.2020

Am 28. Mai war es dann soweit. Der BGH sprach sein Urteil im Fall Planet49. Die aktuellen Entwicklungen lesen Sie in unserem Blogbeitrag Planet49-Urteil.