Das Aus für Google Analytics …. und andere Google Dienste!?

Fazit:
Der Einsatz von Google Analytics und anderen Google Diensten ist auf den eigenen Internetseiten ab dem 25. Mai 2018 nach heutigem Stand nicht mehr zu empfehlen. Denn nach den aktuellen Verträgen von Google muss eine Einwilligung eingeholt werden.

Achtung:

Dieser Beitrag ist keine Rechtsberatung und beansprucht auch nicht, eine rechtsverbindliche, abschließende Empfehlung zu sein! Es ist außschließlich meine persönliche Meinung und Einschätzung zu diesem Thema, zu welchem ich mich gerne weiter austausche.

Update:
Hier weitere und interessante Hinweise dazu (und auch das es anders sein könnte als ich geschrieben habe)

http://www.rechtzweinull.de/archives/2553-ist-tracking-nach-25-mai-2018-nur-noch-mit-einwilligung-bewertung-der-stellungnahme-der-datenschutzbehoerden-zu-tracking-targeting-co.html

https://diercks-digital-recht.de/2018/05/der-rechtskonforme-einsatz-von-google-analytics-bzw-universal-analytics-unter-der-dsgvo-teil-12-zur-eu-dsgvo-cookies-und-tracking/

Am 25. Mai 2018 kommt die EU Datenschutzgrundverordnung (DSGVO) ausnahmslos zur Anwendung und die zweijährige „Übergangsfrist“ ist vorbei. Damit gehört dann die in § 15 Abs. 3 TMG stehende Ausnahmeregelung für pseudonymisierte Daten der Vergangenheit an. Das steht zwar durchaus noch zur Diskussion, diese kann aber, wie man im späteren Verlauf sehen wird, für die Einbindung der Google Anwendungen als belanglos angesehen werden.
Die DSGVO unterscheidet nicht zwischen personenbezogenem Datum und Pseudonym. Es ist ein wichtiger Unterschied, ob ein Datum anonym oder pseudonym ist.

Bei der Verarbeitung (Erhebung) von Daten setzt die DSGVO, wie auch heute schon das Bundesdatenschutzgesetz (BDSG), grundsätzlich eine Rechtsgrundlage voraus, wenn eine Personenbeziehbarkeit besteht.

Eine solche Rechtsgrundlage kann ein Vertragsverhältnis mit dem Betroffenen, eine Einwilligung oder eine andere Rechtsgrundlage wie §15 (3) TMG sein.

Nutzt man Trackingdienste auf Grundlage des §15 TMG und fällt diese Möglichkeit weg (bspw. wegen der Vorrangigkeit der DSGVO oder weil keine ausreichende Pseudonymisierung vorliegt), ist statt des bisherigen Opt-outs, also Widerspruchs, in Zukunft ein Opt-in, also eine Einwilligung, notwendig.

Die meisten Nutzer werden ihre Zustimmung wohl spätestens dann verweigern, wenn sie lesen, dass ihre Daten zur Auswertung an Dritte weitergegeben werden. Schon heute muss darauf in der Datenschutzerklärung hingewiesen werden.

Einen eigentlich guten Ausweg bietet die Rechtsgrundlage „berechtigtes Interesse“ aus Art. 6 Abs. 1 Satz 1 f der DSGVO.

Dort wird die Verarbeitung personenbezogener Daten für zulässig erklärt, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Da jedes nicht rechtswidrige, ideelle oder wirtschaftliche Interesse ein berechtigtes Interesse darstellt, wäre auch das Tracking durch Google Analytics ohne ausdrückliche Zustimmung erlaubt geblieben, sofern die Einbindung rechtskonform erfolgt und die (schriftlich zu erstellende) Abwägung zu einem positiven Ergebnis kommt sowie in der Datenschutzerklärung dargestellt wird.

Zu den Maßnahmen die dazu führen, dass die Betroffenenrechte nicht überwiegen gehören: die Anonymisierung der IP und die Verwendung des Google Analytics Standard Codes. Damit ein übergreifendes Tracking (Profilbildung) vermieden wird.

Damit die Datenverarbeitung dann noch durch einen Dritten (hier Google) für den Auftragsverarbeiter (Seitenbetreiber) erfolgt, ist ein Vertrag zur Auftragsdatenverarbeitung(ADV) mit Google erforderlich.

Solange das Unternehmen das Interesse verfolgt, Statistiken zur Nutzung der Website erheben zu wollen, benötigt es kein vorheriges Einverständnis (Einwilligung) zur Datenverarbeitung, wenn es sich auf §15 TMG oder auf ein berechtigtes Interesse nach Art. 6 Abs. 1 Satz 1 f stützt.

Bis hier hätte man also mit einer guten Abwägung und entsprechenden, technischen Vorkehrungen zur Risikominimierung für die Betroffenen Google Analytics weiterhin einsetzen können.

Allerdings scheint Google eine Verwendung des einfachen Google Analytics Codes nicht mehr auszuliefern:

https://support.google.com/analytics/answer/4457764?hl=de

Bei Universal Analytics sind dann weitere Einstellungen, die teils erst ab dem 25. Mai 2018 wirksam werden bzw. zur Verfügung stehen, umzusetzen. Das betrifft die Verknüpfung weiterer Datenquellen, die Löschung/Aufbewahrung der Daten, Berichte zu demografischen Merkmalen und Interessen.

 

„Vorzüge von Universal Analytics

Daten von mehreren Geräten, Sitzungen und Interaktionen mit der User ID verknüpfen“

https://support.google.com/analytics/answer/2790010?hl=de

 

Die übergreifende Profilbildung wird im Artikel 22 der DSGVO explizit mit einer Pflicht zum Einholen einer Einwilligung versehen.

 

Art 22

  1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

 

Art 4

  1. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

 

Ebenso hat Google nun selbst eine Richtlinie erlassen, welche die Seitenbetreiber auffordert, eine Einwilligung einzuholen.

Ob es sich hier um einen Übersetzungsfehler handelt und mit Einwilligung eigentlich „Rechtsgrundlage“ gemeint ist, kann derzeit offenbleiben. Stand heute steht dort „Einwilligung“.

Nochmal: Für die Nutzung von Google Diensten auf einer Internetseite ist zukünftig eine Einwilligung (Opt-in) erforderlich. Eine Einwilligung muss protokolliert werden. Es müssen eine Auskunft und ein Widerspruch möglich sein.

Google hat seine Nutzer hierüber per E-Mail informiert:

https://www.google.com/about/company/user-consent-policy.html

Google hat in diesem Zuge auch die meisten Dienste als Auftragsdatenverarbeitung definiert, für welche der Seitenbetreiber verantwortlich ist.

 

„Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“

 

Besonders für Agenturen ist der dort einleitende Absatz wichtig:

„Wenn Sie diese Datenverarbeitungsbedingungen stellvertretend für den Kunden abschließen, versichern Sie, dass Sie

(a) rechtlich vollumfänglich dazu befugt sind, für den Kunden diese Datenverarbeitungsbedingungen stellvertretend abzuschließen,

(b) diese Datenverarbeitungsbedingungen gelesen und verstanden haben und

(c) für den von Ihnen vertretenen Kunden die Annahmeerklärung zum Abschluss dieser Datenverarbeitungsbedingungen abgeben.

Wenn Sie rechtlich nicht dazu befugt sind, für den Kunden rechtsverbindliche Erklärungen abzugeben, schließen Sie diese Datenverarbeitungsbedingungen bitte nicht ab.“

Diese/r Regelung/Vertrag gilt für:

Dies gilt für https://privacy.google.fr/businesses/adsservices/

  • Ads Data Hub
  • AdWords Kundenabgleich
  • AdWords Ladenverkäufe (direkter Upload)
  • DoubleClick Bid Manager
  • DoubleClick Campaign Manager
  • DoubleClick Search
  • Google Analytics
  • Google Analytics 360 (frühere Bezeichnung: Google Analytics Premium)
  • Google Analytics für Firebase
  • Google Attribution
  • Google Attribution 360
  • Google Data Studio
  • Google Optimize
  • Google Optimize 360
  • Google Tag Manager
  • Google Tag Manager 360

Google behält sich vor, die Liste zu erweitern. Und wird dies sicherlich auch tun.

Ebenso sollte man sich den Absatz 7.3.1. – neben dem ganzen Vertrag – besonders sorgfältig durchlesen:

„7.3.1 Verantwortlichkeit des Kunden für Sicherheit. Unbeschadet der Verpflichtungen für Google gemäß Ziffern 7.1 (Sicherheitsmaßnahmen und Hilfestellung von Google) und 7.2 (Datenvorfälle):

(a) trägt der Kunde die alleinige Verantwortung für die Nutzung der Auftragsverarbeiterdienste, ….“

Unternehmen tun nun gut daran, ihre Datenstrategien im Internet zu evaluieren. Die DSGVO beruht auf dem Prinzip der Datensparsamkeit, d.h. es sollten nur die Informationen erfasst werden, die auch tatsächlich begründet benötigt werden. Eine Datenweitergabe muss den rechtlichen Bedingungen der Übermittlung oder der Auftragsdatenverarbeitung standhalten.

Alternativen zur Umsetzung von (Online)Marketingstrategien zur Auswertung von Kampagnen, zur Einbindung externer Dienste (Maps, Videos, CDN, Fonts) und zu möglichen Risikobewertungen sollten nun kurzfristig angedacht werden.

Sollte die Einbindung auf Grundlage einer positiven Prüfung des „berechtigten Interesses“ erfolgen, sollte diese Prüfung dokumentiert (https://www.werning.com/2018/04/vorlage-zur-dokumentation-des-berechtigten-interesses-nach-art-6-f-dsgvo/) und in der Datenschutzerklärung genannt werden.

Beispiel für Google Maps und YouTube (mit deaktivierten Tracking im Code):

„Wir verwenden Google Maps für das Einbetten von Karten und YouTube für das Einbetten von Videos (Rechtsgrundlage gemäß DSGVO: Art. 6 Abs. 1 lit. f mit dem Betrieb unserer Website und der Berücksichtigung der Interessen der Betroffenen durch Deaktivierung der Trackingfunktionen im YouTube-Code). Die Google LLC in den USA hat sich verpflichtet, einen angemessenen Datenschutz gemäß dem amerikanisch-europäischen und dem amerikanisch-schweizerischen Privacy Shield zu gewährleisten. Weitere Informationen dazu finden sich in der ausführlichen Datenschutzerklärung von Google.“

Ergänzt werden müssen hier natürlich noch die weiteren Angaben der Datenschutzerklärung und der Betroffenenrechte.

Wichtig dabei: Eine Anwendung ist nicht dadurch datenschutzkonform weil diese in der Datenschutzerklärung genannt wird.

Es muss eine Rechtsgrundlage geben für die Verarbeitung. Dann ist die Verarbeitung in der Datenschutzerklärung zu nennen.

Hierfür empfiehlt sich eine 3-stufige Prüfung:

  • Warum ist die Datenverarbeitung für einen selbst erlaubt? (Zweck, Erforderlichkeit, Rechtsgrundlage)
  • Wenn die Datenverarbeitung grundsätzlich erlaub ist: Welche (vertraglichen) Garantien für eine sichere Auftragsverarbeitung gibt es? (EU-Standardvertrag, privacy shield)
  • Wenn Dritte die Daten im Auftrag verarbeiten dürfen: Welche vertraglichen Vorgaben machen diese? (Einholung Einwilligung, Ausschluss der Datenerhebung bei Kindern)