Zahlreiche Anhörungsverfahren wegen Google Analytics: Rechtsfehlerhafte Verwendung im Visier der Datenschutzbehörden

Zahlreiche Anhörungsverfahren wegen Google Analytics: Rechtsfehlerhafte Verwendung im Visier der Datenschutzbehörden
10.08.2020 | Lesezeit: 6 min

Seit dem Grundsatzurteil des EuGH aus dem vergangenen Jahr, bestätigt für Deutschland durch den BGH im Mai 2020, gilt unzweideutig, dass er Einsatz technisch nicht notwendiger Cookies auf Webseiten von einer vorherigen Nutzereinwilligung abhängig gemacht werden muss. Betroffen von der Einwilligungspflicht sind vor allem Tracking- und Analysetools, die über Cookies diverse Nutzungsdaten erheben. Wohl aufgrund seines hohen Marktanteils rückt nun die einwilligungslose Verwendung von Google Analytics ins Visier von Datenschutzbehörden. Der IT-Recht Kanzlei liegen Anhörungsschreiben der Datenschutzaufsichten verschiedener Bundesländer vor. Was Gegenstand dieser Schreiben ist und wie Seitenbetreiber sich vorbeugend schützen können, zeigen wir im folgenden Beitrag.

I. Einleitung behördlicher Anhörungsverfahren bei Verwendung von Google Analytics ohne Einwilligung

Datenschutzbehörden aus verschiedenen Bundesländern verfolgen seit geraumer Zeit rigoros potenzielle Datenschutzverstöße auf Webseiten und Online-Shops, die aus der Verwendung von Google Analytics ohne hinreichende Einwilligungsmechanismen herrühren.

Die föderalen Behörden vertreten zwar bereits seit geraumer Zeit die Ansicht, Google Analytics könne datenschutzkonform nur dann eingesetzt werden, wenn der Nutzer hierzu vorher eine ausdrückliche Einwilligung erteilt. Begründung war bislang, dass die Reichweite der über den Dienst angestoßenen Datenverarbeitungen gepaart mit der intransparenten Aufklärungspolitik Googles eine Einwilligung zwingend erforderlich machen würden. Insbesondere sei eine datenschutzrechtliche Rechtfertigung über berechtigte Interessen nicht möglich.

Nunmehr fühlen sich die Behörden aber durch die aktuellen Entwicklungen der Rechtsprechung zu Cookies bestärkt. Zunächst hatte der EuGH am 01.10.2019 (Az. C-673/13), dann am 28.05.2020 (Az. I ZR 7/16) auch der BGH bestätigt, dass technisch nicht notwendige Cookies nur bei einer entsprechenden ausdrücklichen Nutzereinwilligung gesetzt werden dürfen.

Technisch nicht notwendig sind all solche Cookies, die für den Betrieb einer Webseite und die Bereitstellung spezifischer Seitenfunktionen nicht zwingend erforderlich sind. Nicht notwendig in diesem Sinne sind insbesondere Cookies von Tracking- und Analysediensten wie Google Analytics. Diese bedürfen einer Einwilligung, bevor der Dienst sie setzen darf.

Die Datenschutzbehörden diverser Bundesländer fahnden derzeit gezielt im Netz nach Webseiten und Shops, die Google Analytics ohne die erforderliche Nutzereinwilligung verwenden.

Daraufhin leiten die Behörden zunächst ein Anhörungsverfahren ein und fordern eine Stellungnahme an.

Die Schreiben haben folgenden – mehr oder weniger standardisierten – Inhalt:

Einsatz von Google Analytics

Sehr geehrte Damen und Herren,

Anlass für unser Tätigwerden ist eine Eingabe bei uns.

Derzeit liegen uns folgende Sachverhaltsinformationen vor: Sie betreiben die Webseite www.xyz.de. Im Rahmen des Betriebs Ihrer Website setzen Sie sogenannte „Tracking-Tools“, insbesondere Google Analytics ein.
Zur rechtlichen Bewertung der Angelegenheit bitten wir Sie daher um die Bereitstellung folgender Informationen und Unterlagen:

Legen Sie uns bitte dar, wie Sie die Rechtmäßigkeit des Einsatzes von Tracking-Tools unter datenschutzrechtlichen Gesichtspunkten sicherstellen. Erörtern Sie dabei insbesondere, auf welchen Erlaubnistatbestand Sie die Verarbeitung personenbezogener Daten im Rahmen des Einsatzes von Tracking-Tools stützen und wie Sie gewährleisten, dass die Voraussetzungen des Erlaubnistatbestandes vorliegen. Sofern vorliegend, möchten Sie des Weiteren bitten, uns Ihnen vorliegende Dokumentationen zur rechtlichen Beurteilung Ihres Tracking-Tool-Einsatzes zu übermitteln.

Bei dem Schreiben handelt es sich rechtlich um ein sogenanntes Anhörungsschreiben, das dem Adressaten Gelegenheit zur Stellungnahme geben soll. Hierbei handelt es sich um ein öffentlich-rechtliches Erfordernis.

Die Anhörung des Adressaten ist Voraussetzung für die Einleitung eines behördlichen Ordnungsmittelverfahrens. Im Bereich von Datenschutzverfahren wird bei Feststellung eines Datenschutzverstoßes meist ein Bußgeldverfahren nach Art. 83 DSGVO eingeleitet. Zuständig für diese Verfahren sind in Deutschland die Landesdatenschutzbehörden.

Kostenfreies Bewertungssystem SHOPVOTE

II. Dem Problem vorbeugen: Rechtskonforme Einwilligung per Cookie-Consent-Tool

Nach mittlerweile gefestigter Rechtsprechung dürfen Tracking-Dienste wie Google Analytics auf einer Website nur verwendet werden, wenn der Nutzer hierzu seine ausdrückliche Einwilligung erteilt hat.
Hintergrund ist, dass Google Analytics ansonsten unaufgefordert diverse Cookies setzt.

Um die Einwilligung korrekt einzuholen, empfiehlt sich der Einsatz eines rechtskonformen Cookie-Consent-Tools.

Dieses legt sich als Overlay bei Seitenaufruf über die Website und fragt Cookie-Einwilligungen ab.

Um rechtskonform zu sein, muss das Tool sicherstellen, dass

  • das Setzen von technisch nicht notwendigen Cookies solange blockiert wird, wie der Nutzer die Cookie-Einwilligungen nicht erteilt,
  • Einwilligungen für jeden einzelnen relevanten Dienst (also auch für Google Analytics) individuell abgefragt werden und
  • Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen werden können, ein gesetztes Opt-In für einen Dienst also wieder entfernt werden kann und die Cookie-Setzung daraufhin automatisch blockiert wird.

Der Einsatz eines ordnungsgemäßen Cookie-Consent-Tools für die Verwendung von Google Analytics ist essentiell.

Ist kein Consent-Tool eingebunden oder ist ein Tool falsch oder unzureichend konfiguriert (vor allem, weil Google Analytics als Einwilligungsoption nicht auswählbar ist), wird gegen geltendes Datenschutzrecht verstoßen.

Dies ruft die Datenschutzbehörden erst auf den Plan.

Im Rahmen unserer Schutzpakete bietet die IT-Recht Kanzlei Mandanten entweder Gratis-Vollversionen oder Sonderkonditionen für eine Vielzahl von rechtskonformen Cookie-Consent-Lösungen an.

III. Schreiben erhalten – was nun?

Wer als Seitenbetreiber wegen der Verwendung von Google Analytics ein Schreiben der Datenschutzaufsicht erhalten hat, ist ins Visier der Behörde geraten.

Auf keinen Fall sollte der Betroffene untätig bleiben.

Vielmehr rät die IT-Recht Kanzlei dazu, wie folgt zu verfahren:

Prüfen Sie zunächst, ob Sie Google Analytics unter Einwilligungsvorbehalt über ein entsprechendes Consent-Tool verwenden.

Ist dies der Fall und ist das Tool auch in Bezug auf Google Analytics richtig konfiguriert, ist dies der Behörde mitzuteilen. In diesem Fall kann nach derzeitigem Stand davon ausgegangen werden, dass die Behörde das Anliegen nicht weiter verfolgt.

Wird der Einsatz von Google Analytics dahingegen nicht oder nicht richtig von der Nutzereinwilligung abhängig gemacht, ist die Vorschaltung einer Einwilligungslösung zunächst zwingend und unmittelbar nachzuholen, um weiteres datenschutzwidriges Verhalten zu vermeiden.

Sodann sollte der Behörde mitgeteilt werden, dass alle Seiteneinstellungen überprüft wurden und Google Analytics fortan nur noch verwendet wird, wenn der Nutzer hierfür auf Basis von Art. 6 Abs. 1 lit. a DSGVO seine ausdrückliche Einwilligung erteilt hat.

In diesem Fall kann es passieren, dass die Behörde wegen der zuvor datenschutzwidrigen Verwendung ein Bußgeldverfahren einleitet. Bei der Bemessung des Bußgeldes werden Bemühungen des Seitenbetreibers, das datenschutzwidrige Verhalten unmittelbar nach Mitteilung der Behörde abzustellen, aber begünstigend berücksichtigt.

IV. Fazit

Die Verwendung von Google Analytics ohne entsprechende Nutzereinwilligung wird aktuell zum Gegenstand diverser Verwaltungsverfahren der Landesdatenschutzaufsichten. Per Anhörungsschreiben werden Seitenbetreiber aufgefordert, zu ihren datenschutzrechtlichen Berechtigungen beim einwilligungslosen Einsatz von Google Analytics Stellung zu beziehen.

Google Analytics darf auf Webseiten nur eingebunden sein, wenn der Nutzer über ein entsprechendes Consent Tool hierfür seine individuelle Einwilligung erteilt. Ist kein Consent-Tool eingebunden oder ist dieses falsch konfiguriert (und berücksichtigt so Google Analytics nicht), können die Landesdatenschutzbehörden nach der Anhörung Bußgeldverfahren einleiten.

Die behördliche Intervention und sensible Bußgelder sind vermeidbar, wenn vorab auf die datenschutzrechtlichen Voraussetzungen beim Betrieb von Google Analytics Rücksicht genommen wird.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

M
Martin Ögg 27.08.2020, 22:49 Uhr
.
Spätestens seit den "Cookie-Urteilen" herrscht – aus meiner Sicht verständlicherweise – Einigkeit darüber, dass Tracking-Tools, die Cookies absetzen, nur noch mit Zustimmung des Besuchers verwendet werden dürfen. Obwohl sich, wie auch in diesem Beitrag, fast alle Analysen dazu auf Google-Analytics beziehen, betrifft dies wohl auch Dienste wie "Matomo", egal ob selbst, oder von einem Dienstleister gehostet.

Nun besteht aber bei Matomo die Möglichkeit, das Tracking ohne Cookies durchzuführen. Für die meisten Websites von Unternehmen reicht dies oft aus. Gibt es dazu bereits Gerichtsentscheide oder zumindest rechtliche Einschätzungen, ob cookieloses Tracking, bei dem IP-Adressen etc. anonymisiert werden, nach wie vor ohne Zustimmung zulässig ist?

Weitere News

Österreichische Datenschutzbehörde: Die Verwendung von Google Analytics ist unzulässig
(31.05.2022, 16:13 Uhr)
Österreichische Datenschutzbehörde: Die Verwendung von Google Analytics ist unzulässig
Österreichische Datenschutzbehörde: Nutzung von Google Analytics ist datenschutzwidrig
(14.01.2022, 11:49 Uhr)
Österreichische Datenschutzbehörde: Nutzung von Google Analytics ist datenschutzwidrig
Google Analytics 4 möglichst datenschutzkonform nutzen: Handlungsanleitung der IT-Recht Kanzlei + neue Datenschutzklauseln
(18.08.2021, 11:58 Uhr)
Google Analytics 4 möglichst datenschutzkonform nutzen: Handlungsanleitung der IT-Recht Kanzlei + neue Datenschutzklauseln
LfDI Rheinland-Pfalz: Google Analytics nur mit Einwilligung zulässig, Untersagungsanordnungen wurden bereits erlassen!
(08.04.2020, 09:16 Uhr)
LfDI Rheinland-Pfalz: Google Analytics nur mit Einwilligung zulässig, Untersagungsanordnungen wurden bereits erlassen!
Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse
(25.10.2019, 08:24 Uhr)
Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse
LG Dresden: Betrieb von Google Analytics ohne "anonymizeIP" ist datenschutzrechtswidrig
(04.07.2019, 11:54 Uhr)
LG Dresden: Betrieb von Google Analytics ohne "anonymizeIP" ist datenschutzrechtswidrig
© 2004-2024 · IT-Recht Kanzlei