Wie der Datenschutz-Aktivist Christian Bennefeld auf seinem Blog berichtet, sehen sich die Aufsichtsbehörden mehrerer Bundesländer mit einer regelrechten Beschwerdeflut konfrontiert. Hintergrund ist der nicht datenschutzkonforme Einsatz von Google Analytics auf Unternehmenswebsites.
Der Inhalt im Überblick
Beschwerde umfasst über 200.000 Anwender
So heißt es, dass ein einzelner Beschwerdeführer für den Raum Hamburg 20.000 Unternehmenswebsites gelistet hat, die allesamt in unzulässiger Weise das Trackingtool Google-Analytics nutzen. Eine noch höhere Anzahl soll bei der zuständigen Behörde in Nordrhein-Westfallen mit 70.000 beanstandeten Websites zu Bearbeitung anhängig sein. Der Fall betrifft wohl noch weitere Behörden. Auf der Herbstkonferenz des BvD berichtete Kristin Benedikt, Referatsleiterin im Bayerischen Landesamt für Datenschutzaufsicht, von insgesamt bundesweit sage und schreibe 200.000 Fällen.
Das Ringen um Google Analytics
Google Analytics ist das derzeit wohl populärste Webanalyse-Tool weltweit. Der kostenlose Dienst von Google kann für seine Nutzer die statistische Auswertung ihrer Seite übernehmen und untersucht unter anderem die Herkunft der Besucher, ihre Verweildauer auf einzelnen Seiten, und Bereiche, in denen der Benutzer am meisten klickt. Damit ist es Google möglich, ein umfassendes Benutzerprofil von Besuchern einer Webseite zu erzeugen.
Datenschutzrechtlich ist das Tool seit jeher umstritten. Best-Practice-Lösung beim Einsatz von Google Analytics war bis jetzt die aktive IP-Anonymisierung und die Möglichkeit eines Opt-Outs (Widerspruchsmöglichkeit). Der Einsatz von Tracking erfolgte aufgrund der berechtigten Interessen der Websitebetreiber gem. Art. 6 Abs. 1 lit. f DSGVO. Es wurde von allen Seiten gemahnt, gedroht und immer wieder auf rechtskonforme und rechtswidrige Umsetzungsmöglichkeiten hingewiesen. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, etwa vertrat länger die Auffassung, dass ein datenschutzkonformer Einsatz von Google-Analytics & Co ohne eine vorherige Einwilligung der Webseitenbesucher grundsätzlich nicht möglich ist. Die Rechtslage war schwierig und nicht eindeutig. Mitunter wurden die Nerven von Betreibern, eine praktische, wirtschaftliche sowie rechtlich vertretbare Lösung zu implementieren auf eine harte Probe gestellt.
Die Pistole auf der Brust
Auf eines konnten sich die Betreiber jedoch verlassen: Wenn es um strittige Rechtsfragen zur DSGVO ging, hielten sich die Behörden bei der Verhängung von Bußgeldern in der Vergangenheit meist zurück. Das könnte sich jetzt ändern. Es gab zwar teilweise (noch) die Ansicht, dass § 15 Abs. 3 TMG weiterhin als Rechtsgrundlage für Opt-Out Webtracking dienen könne. Allerdings ist durch die Cookie-Entscheidung des EuGH, auch für die Aufsichtsbehörden, in das Thema neuer Schwung gekommen. Nationale Gerichte, wie der BGH, bei dem der Fall zu Planet 49 nun wieder liegt, und Behörden werden beim Webtracking langfristig nicht diametral entgegen des Unionsrechts und dessen Auslegung durch den EuGH entscheiden oder agieren. Ein Tracking ohne vorherige Einwilligung der Nutzer wird in Zukunft wohl nicht mehr anstandslos hingenommen werden.
Betroffene haben ein Recht auf Beschwerde
Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Aus dem Klagerecht des Art. 78 Abs. 2 DSGVO folgt, dass eine betroffene Person zumindest die Befassung bzw. eine Mitteilung über den Stand des Verfahrens oder dessen Ergebnis von den Behörden verlangen kann.
Einsatz von Analysetools wie bisher wird risikoreicher
Die Aufsichtsbehörden werden nicht anders können, als sich mit der Massenbeschwerde und den tausenden Betreibern in irgendeiner Art und Weise zu befassen. Fakt ist, dass der Unionsgesetzgeber im Erwägungsgrund 129 zur DSGVO Aufsichtsbehörden konstatiert, ihre Befugnisse insbesondere im Fall von Beschwerden natürlicher Personen auszuüben. Welche aufsichtsbehördlichen Maßnahmen künftig auf Betreiber zukommen werden, lässt sich nur schwer vorhersagen. Mit geschliffener Rechtslage und einem standardisierten Modell zur Berechnung von Bußgeldern wird jedoch auch die Bereitschaft steigen, diese zu verhängen.
Webseitenbetreiber werden künftig beim Einsatz von Google Analytics und anderen Marketing- und Tracking-Cookies nicht mehr ohne die Abfrage einer vorherigen Einwilligung auskommen können. Wer auf Nummer sicher gehen möchte, wird daher zeitnah auf Opt-In umstellen!
Na ja, richtig kostenlos ist Google Analytics ja nicht ;o)
Jedes Unternehmen das GA einsetzt macht sich zum Datenhehler für Google, ohne Kenntnis derer deren Daten an Google verschachert werden. Deshalb gibt es ja die Forderung, dass das nur noch mit informierter freiwilliger Einwilligung durch die Besucher einer Webseite möglich sein soll. Man darf nun mit Spannung darauf warten, was die Aufsicht mit den 200.000 gemeldeten Webseiten unternehmen wird.
Bitte nicht alle Analysetools in einen Topf werfen. Und man muss zwischen den zwei verschiedenen Sachverhalten unterscheiden, die einwilligungspflichtig sein können. Gemäß EuGH-Urteil und Cookie-Richtlinie ist das Setzen von Cookies, sofern nicht unbedingt erforderlich, einwilligungspflichtig. Daneben gibt es noch die DSGVO, die besagt, dass die Verarbeitung von personenbezogenen Daten einwilligungspflichtig ist, sofern das berechtigte Interesse nicht greift (bspw. wenn die Daten auch Dritten zur Verfügung gestellt, mit weiteren Daten verknüpft oder vom Verarbeiter zu eigenen Zwecken verwendet werden).
Im Hinblick auf den Einsatz von etracker Analytics ist das Setzen von etracker Cookies einwilligungspflichtig, das Tracking selber aber nicht. Das heißt, wenn Nutzer dem Setzen von etracker Cookies nicht zustimmen, kann nach wie vor mit etracker ohne Einsatz von Cookies getrackt werden (nur die Genauigkeit der Besucherwiedererkennung leidet ein wenig). Im Gegensatz hierzu besteht beim Einsatz von Google Analytics sowohl eine Einwilligungspflicht für Cookies als auch für das Tracking. Ohne Zustimmung der Nutzer dürfen also keinerlei Daten mit Google Analytics verarbeitet werden, was zu einem deutlichen Datenverlust und möglicherweise unbrauchbarer Analyse führt.
„Gemäß EuGH-Urteil und Cookie-Richtlinie ist das Setzen von Cookies, sofern nicht unbedingt erforderlich, einwilligungspflichtig. Daneben gibt es noch die DSGVO, die besagt, dass die Verarbeitung von personenbezogenen Daten einwilligungspflichtig ist, sofern das berechtigte Interesse nicht greift (bspw. wenn die Daten auch Dritten zur Verfügung gestellt, mit weiteren Daten verknüpft oder vom Verarbeiter zu eigenen Zwecken verwendet werden).“
Wie kommen Sie darauf, dass es sich dabei um zwei unterschiedliche Sachverhalte handelt? Und wieso soll der Einsatz des von Ihnen hier beworbenen Tracking-Tools bei dem von Ihnen beschrieben Umfang nicht einwilligungspflichtig sein?
M.E. wird bei GA der Nutzungsumfang nicht ausreichend differenziert. Soweit Google Signals nicht aktiv ist, sondern die reine, anonyme Reichweitenmessung mittels Google als Auftragsverarbeiter und eben nicht Dritter, sehe ich kein Problem. Zumindest bis das TMG nicht an die EU-RL angepaßt wurde, die ja in jedem Fall eine Einwilligung vorsah.
Das Reichweitenmessung auf lit.f gestützt werden „darf“, hielt auch die DSK in der OH Telemedien S.13 fest.
Ich bitte da um mehr Sachlichkeit in der Debatte.
„Im Gegensatz hierzu besteht beim Einsatz von Google Analytics sowohl eine Einwilligungspflicht für Cookies als auch für das Tracking.“
Das würde ich als Konkurrent auch erstmal behaupten, aber in Wirklichkeit bietet Google Analytics in den „Data Sharing Settings“ sehr granulare Einstellungen, und mit Sitz in der EU schaltet man da eben alles aus und arbeitet dann DSGVO-konform.
Das ist auch glaubwürdig, denn für Google lohnt sich die Rechnung trotzdem: Anonymisierte (und daher nicht einwilligungspflichtige) Nutzungsdaten zum Großteil des Internets helfen schließlich dabei, Suche und dadurch implizit Ads zu optimieren. (Nur falls ein Konkurrent behauptet, für Google würde sich der Service nur durch Profiling lohnen.)
Aus Sicht verantwortungsvoller Website-Betreiber müssten die DSB also erstmal den Nachweis führen, dass Google Analytics gegen die DSGVO verstößt, anstatt hier mit blindem Aktionismus einem Gespenst hinterherzujagen. Momentan gibt es nur unbelegte Unterstellungen; nach dem Motto „Google macht das *bestimmt*, weil Google es ja *kann*!“
Bei Google gibt es (abseits von Analytics) sicher einige Probleme, aber dafür muss man nicht dem Blogger von nebenan an den Kragen gehen.
90% der Webseitenbetreiber sind nicht an personenbezogenen Daten interessiert und möchten keine Nutzer verfolgen – möchten/ müssen aber wissen, was auf ihrer Website funktioniert und was nicht und am besten wieso, um gezielt aktiv werden zu können. Wenn das nicht mehr halbwegs einfach möglich ist (Einwilligungsvoraussetzung ist keine Lösung mangels aussagekräftiger Datengrundlage), können wir das wirtschaftliche Internet gleich abschalten.
Das muss doch lösbar sein, diesen Missbrauch wie in den beiden zitierten Fällen einzudämmen und die 90% der Webseitenbetreiber weiterhin ein bewusstes Arbeiten zu ermöglichen.
Mit „funktionieren“ ist hier wohl die Attraktivität gemeint. Dazu reicht es, wenn jede besuchte Seite einen Counter erhöht, meinetwegen auch noch mit einem temporären Cookie oder temporärem Speichern der IP-Adresse, damit Doppelzählungen vermieden werden. Wer der Besucher ist, ist für den Betreiber der Website uninteressant.
Es ist leicht möglich, komplett anonyme Statistiken zu erstellen – was übrigens in Zeiten vor Google auch gemacht wurde. Nur nutzen die Google nichts, und das ist wohl das Problem.
„Es ist leicht möglich, komplett anonyme Statistiken zu erstellen“
Da ich gerne ein wenig dazulernen würde:
Wir erstellt man eine komplett anonyme Statistik mit Aussagen wie
– Durchschnittliche Sitzungsdauer
– Anzahl Sitzungen
– Anzahl Besucher
– Durchschnittliche Anzahl Seitenaufrufe / Sitzung
– Anzahl wiederkehrender Besucher
– Geographische Verteilung der Sitzungen
ohne dabei mehrere Zugriffe einer Sitzung zuordnen zu können, d.h. den Browser über mehrere HTTP-Anfragen hinweg identifizieren zu können?
Mit mir bekannten Tools wie awstats oder Webalizer wäre dies jedenfalls meiner Kenntnis nach nicht möglich, denn diese verarbeiten zumindest die IP-Adresen.