DSK beschließt Mindestanforderungen zum Einsatz von Google Analytics

Dr. Carlo Piltz

Jüngst veröffentlichte die DSK einen Beschluss zum Einsatz von Google Analytics ("GA") im nicht öffentlichen Bereich. Dieser Beschluss soll eine Ergänzung der im März 2020 ebenfalls von der DSK verabschiedeten "Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien" darstellen. Zudem sollen ältere Stellungnahmen zu GA aufgrund des durch die DSGVO geänderten Rechtsrahmens nicht mehr gelten, um auf diesem Weg die Linie der DSK hinsichtlich des Einsatzes von GA zu vereinheitlichen.

Trotz des Wortes "Hinweise" im Titel stellt die DSK ausdrücklich klar, dass es sich um die Mindestanforderungen für den datenschutzkonformen Einsatz von GA handelt. Erfüllt ein Verantwortlicher diese Anforderungen nicht, so steigt die Gefahr, im Fall einer behördlichen Prüfung sanktioniert zu werden. Interessant ist schließlich, dass die DSK den Beschluss unter den Vorbehalt einer abweichenden Auslegung durch den Europäischen Datenschutzausschuss und den EuGH stellt. Vom BGH, der vor kurzem im Fall "Planet49" (vorangekreuztes Häkchenfeld für eine wirksame Einwilligung nicht ausreichend) entschieden hat, war dagegen keine Rede.

Nach Ansicht der DSK hat der Website-Betreiber beim Einsatz von GA keine ausschließliche Entscheidungsbefugnis hinsichtlich der Zwecke und Mittel der Datenverarbeitung(en). Vielmehr habe (teilweise) ausschließlich Google die Entscheidungsbefugnis hinsichtlich der stattfindenden Datenverarbeitung(en). Daher handele es sich nicht um eine Auftragsverarbeitungslage i. S. v. Art. 28 DSGVO. Der ggf. zwischen dem Verantwortlichen und Google abgeschlossene Auftragsverarbeitungsvertrag ist also nach Ansicht der DSK beim Einsatz von GA nicht (mehr) anwendbar.

Beim Einsatz von GA seien die stattfindenden Datenverarbeitungen (= Datenverarbeitung und -übermittlung von der Website des Nutzers an Google-Server, Verarbeitung auf Google-Servern für GA-Zwecke und für andere Zwecke) außerdem als einheitlicher Lebenssachverhalt zu betrachten, weshalb der Nutzer und Google nicht zwischen Verantwortlichem und Auftragsverarbeiter wechseln können sollen. Dies ist u. a. deshalb bemerkenswert, da der EuGH in seinem FashionID-Urteil entschieden hatte, dass mehrere Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein können. Die DSK sieht indes zwischen Google und dem GA-Nutzer eine gemeinsame Verantwortlichkeit i. S. v. Art. 26 DSGVO. Ob Google deshalb eine Vereinbarung zur gemeinsamen Verantwortlichkeit für den Einsatz von GA bereitstellt, bleibt abzuwarten. Als Rechtsgrundlage sieht die DSK das zwingende Erfordernis einer aktiven Einwilligung des Betroffenen nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Die berechtigten Interessen des Nutzers oder von Google als Drittem scheiden nach Ansicht der DSK vor allem deshalb aus, da die Betroffenen nicht ahnen könnten, dass ihre "personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden". Zukünftig ist der Einsatz von GA ohne ausdrückliche, d. h. aktive Einwilligung des Website-Besuchers ein rechtliches Risiko, das zur Sanktionierung durch die Aufsichtsbehörde führen kann.

Daneben nennt die DSK folgende Mindestanforderungen zum datenschutzkonformen Einsatz von GA:

  • Einwilligung in die konkrete Verarbeitungstätigkeit (was bemerkenswert ist, da nicht abschließend geklärt ist, welche personenbezogenen Daten GA im Einzelnen verarbeitet);
  • klare und deutliche Beschreibung im Einwilligungstext, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt;
  • Website-Besucher muss aktiv in die Verarbeitung durch GA einwilligen (vorangekreuzte Häkchenfelder sind (nunmehr auch nach Ansicht des BGH) nicht ausreichend, ebenso wenig wie eine Widerspruchslösung (= "Wenn Sie weitersurfen, gehen wir davon aus, dass Sie dem Einsatz von GA zustimmen."); und
  • Nutzer muss die Wahl haben, ob er in die Verarbeitung durch GA einwilligen will oder nicht (Freiwilligkeit) (Kopplung der Einwilligung (für GA) an eine insoweit nicht erforderliche Dienstleistung kann zum Ausschluss der Freiwilligkeit der Einwilligung (für GA) führen).

[Juni 2020]