Deutsche Datenschutzbehörden formulieren strenge Anforderungen für den Einsatz von Google Analytics
Die deutsche Datenschutzkonferenz (DSK), das gemeinsame Gremium der deutschen Aufsichtsbehörden für den Datenschutz, hat kürzlich neue Hinweise zum Einsatz von Google Analytics veröffentlicht, die Website-Betreiber ins Schwitzen bringen könnten.
In den am 12. Mai 2020 beschlossenen Hinweisen bekräftigen die Aufsichtsbehörden nicht nur gemeinsam die zuletzt schon von einzelnen Behörden verlautbarte Auffassung, dass der Einsatz von Google Analytics in den Standardeinstellungen im Regelfall nur auf Grundlage einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer zulässig sein soll.
Die Behörden formulieren vor allem auch spezifische Gestaltungshinweise für die Umsetzung der Anforderungen an eine solche Einwilligung und deren Widerruf. Unter anderem ist nach Auffassung der Behörden erforderlich, dass Nutzern deutlich gemacht werde, dass Daten in den USA gespeichert werden und sowohl Google als auch staatliche Behörden auf diese Daten Zugriff haben.
Zudem halten die Behörden trotz Einwilligung den Einsatz zusätzlicher Anonymisierungsmaßnahmen durch Kürzung der IP-Adresse für erforderlich.
Darüber hinaus lässt die DSK verlauten, dass der Einsatz von Google Analytics nach Auffassung der deutschen Behörden nicht als sog. Auftragsverarbeitung, sondern als gemeinsame Verantwortlichkeit von Google und dem jeweiligen Websitebetreiber einzuordnen sei. Demzufolge sei also auch nicht – wie von Google derzeit standardmäßig angeboten – ein Vertrag zur Auftragsverarbeitung (Art. 28 DS-GVO) erforderlich, sondern ein Vertrag über die gemeinsame Verantwortung (Art. 26 DS-GVO).
Wir empfehlen Website-Betreibern, die Google Analytics einsetzen, sorgfältig zu prüfen, ob ihr Einsatz des Tools den von der DSK formulierten Anforderungen genügt. Vor allem der Abschluss eines – soweit ersichtlich von Google derzeit (noch) nicht standardmäßig angebotenen – Vertrages über die gemeinsame Verantwortung dürfte sich dabei in der Praxis als größere Herausforderung darstellen.
Im Fall von Verstößen gegen Anforderungen der DS-GVO drohen bekanntermaßen empfindliche Bußgelder, die sich je nach Unternehmensgröße selbst bei leichteren Verstößen schnell im fünf- bis sechsstelligen Bereich bewegen können. Ob sich die von der DSK formulierten Anforderungen auch auf EU-Ebene etablieren und einer etwaigen gerichtlichen Überprüfung durch den Europäischen Gerichtshof (EuGH) standhalten, bleibt abzuwarten. Wir gehen allerdings davon aus, dass die deutschen Aufsichtsbehörden durchaus ins Auge gefasst haben, die Umsetzung der nun ausdrücklich formulierten Hinweise in der Zwischenzeit notfalls auch durch Sanktionen zu forcieren.
Weiterführende Links: