Google-Analytics ist aufgrund seines Funktionsumfangs sehr beliebt und findet häufig Verwendung, sodass sich auch immer häufiger Aufsichtsbehörden mit dem Dienst auseinandersetzen. Die Reaktionen fallen leider überwiegend negativ aus, sodass sich die Frage aufdrängt, ob man Google‑Analytics überhaupt datenschutzkonform verwenden kann und was man ggf. bei der Verwendung beachten muss.

Glaskuppel Bundestag

Ist Google Analytics datenschutzkonform einsetzbar?

Die Kurzform lautet: Ja, aber man muss einiges beachten und es bleibt ein gewisses Restrisiko. Zwar wurde Google-Analytics jüngst von verschiedenen Aufsichtsbehörden, etwa der französischen CNIL, der österreichischen Datenschutzbehörde und Datenschutzstelle in Liechtenstein, negativ bewertet. Jedoch betreffen die verschiedenen Entscheidungen stets Einzelfallkonstellationen, die nicht den Einsatz generell ausschließen.

Bei der Verwendung von Google Analytics bleibt jedoch ein Restrisiko, denn Google bietet keinen sog. Vertrag der gemeinsamen Verantwortlichkeit für die Verarbeitung personenbezogener Daten an (Art. 26 DSGVO). Manche Aufsichtsbehörden, insbesondere diejenigen aus Deutschland, halten einen solchen Vertrag jedoch für erforderlich. Sie sehen in dem Zusammenwirken von Google und einem Websitebetreiber eine gemeinsame Verantwortlichkeit für die verarbeiteten personenbezogenen Daten. Google ist jedoch der Auffassung, dass sie die Daten lediglich im Auftrag des Websitebetreibers verarbeiten, und sieht sich daher in der Rolle eines Auftragsverarbeiters im Sinne Art. 28 DSGVO.

Bisher scheint der Einsatz von Google-Analytics gem. Art. 26 DSGVO allenfalls mit einem geringen Risiko einherzugehen. Denn einerseits wird die Rolle von Google als Auftragsverarbeiter auch von anderen Aufsichtsbehörden, z. B. der aus Österreich bekräftigt. Andererseits ist bisher nicht bekannt, dass gegen einen Websitebetreiber, der Google Analytics ohne einen Vertrag der gemeinsamen Verantwortlichkeit verwendet, Maßnahmen seitens der deutschen Aufsichtsbehörden ergriffen wurden oder ein Bußgeld verhängt wurde.

Was muss bei der Verwendung von Google-Analytics beachten werden?

Die Verwendung von Google-Analytics bedarf der Einwilligung der Websitebesucher:innen. Denn zum einen setzt Google Analytics Cookies ein, für deren Verwendung gem. § 25 TTDSG zwingend eine Einwilligung vorliegen muss. Zum anderen werden durch Google Analytics die IP-Adresse und weitere personenbezogene Daten verarbeitet, was nach der Auffassung der Aufsichtsbehörden nur auf der Grundlage einer Einwilligung in rechtmäßiger Weise erfolgen kann. Diese Einwilligung lässt sich regelmäßig praktikabel über eine Consent-Management-Plattform („Consent-Banner“) einholen. Um hierbei auf der sicheren Seite zu sein, sollten bei der Gestaltung des Banners die entsprechenden Vorgaben und Empfehlungen der Aufsichtsbehörden beachtet werden.

Eine wirksame Einwilligung setzt voraus, dass Websitebesucher:innen vorher ausreichend über die Verwendung von Google-Analytics aufgeklärt wurden. Dies ist in der Gestaltung, aber auch in der Formulierung der Consent-Management-Plattform zu beachten. Daneben muss in der Datenschutzerklärung die Datenverarbeitung durch Google-Analytics ausführlich beschrieben werden.

Gibt es keine Probleme mit dem Datentransfer in die USA?

Für die Funktionsfähigkeit von Google-Analytics werden Daten durch die Google LLC in den USA verarbeitet. Die Übermittlung der Daten in die USA war zuletzt insbesondere der österreichischen Datenschutzbehörde ein Dorn im Auge. Die Datenschutzbehörde stellte fest, dass kein angemessenes Schutzniveau im Sinne von Art. 44 DSGVO für die übermittelten personenbezogenen Daten gegeben war.

Google hat jedoch reagiert und seine Datenverarbeitung bzw. die angebotenen Verträge geändert. Die Bedenken der österreichischen Datenschutzbehörde können daher nicht aufrechterhalten werden. Denn fortan werden die Daten nicht mehr direkt vom Websitebetreiber (Verantwortlichen) an Google in die USA übermittelt, sondern an die Google Ireland Limited in Irland (Auftragnehmer). Diese Übermittlung ist ohne weiteres möglich, da Irland zur EU gehört. Erst die Weiterleitung der Daten von der Google Ireland Limited an die Google LLC in den USA (Unterauftragnehmer) gilt als Drittlandtransfer und bedarf daher der besonderen Voraussetzungen im Sinne von Art. 45 DSGVO, da es sich bei den USA insoweit um ein Drittland handelt.

Die Übermittlung von personenbezogenen Daten in die USA ist regelmäßig nur rechtmäßig, wenn zwischen Datenexporteuer (Google Ireland Limited) und dem Datenimporteuer (Google LLC) Standardvertragsklauseln abgeschlossen wurden und eine Risikoabwägung durchgeführt wurde (Transfer Impact Assessment).

Auch wenn der Websitebetreiber als Verantwortlicher primär nur für den Übermittlungsvorgang an seinen Auftragnehmer – also Google Ireland Limited in Irland – verantwortlich ist, muss er dennoch bei der Auswahl der Auftragnehmer auf ein angemessenes Datenschutzniveau achten. Ist eine Weitergabe personenbezogener Daten in ein Drittland erkennbar, ist es daher empfehlenswert, die durch die Google Ireland Limited mit der Google LLC abgeschlossenen Standardvertragsklauseln auch selbst zu speichern und das Transfer Impact Assessment bei Google anzufragen und auf Plausibilität zu prüfen.

Welche Einstellungen muss ich bei Google-Analytics machen?

Bei der Auswahl der Einstellungen sind die Anforderungen zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen aus Art. 25 Abs. 1, 2 DSGVO zu beachten. Daher ist eine Verarbeitung personenbezogener Daten soweit wie möglich zu beschränken.

Deshalb ist beispielsweise sicherzustellen, dass die Funktion zur Anonymisierung von IP-Adressen in Google Analytics aktiviert ist und für die Frist zur Datenaufbewahrung in Google Analytics der geringste Wert festgesetzt ist.

Um eine Verknüpfung personenbezogener Daten zu reduzieren, sollte zudem die Funktion Datenfreigabe für „Google-Produkte und -Dienste“ nicht verwendet werden und es ist sicherzustellen, dass im Rahmen der Werbefunktionen nicht die Funktion Google Signale genutzt wird oder dass diese Funktion deaktiviert wird.

Marinus J. Stehmeier ist Rechtsanwalt/Senior Associate und spezialisiert auf alle rechtlichen Themen rund um Datenschutz, Datenökonomie und E-Commerce. Als zertifizierter Datenschutzbeauftragter berät er Unternehmen bei der praktischen Umsetzung der DSGVO.

Dr. Christoph Aust
Rechtsanwalt