Google-Analytics ist aufgrund seines Funktionsumfangs sehr beliebt, kostenfrei nutzbar und findet entsprechend häufig Verwendung. Da verwundert es nicht, dass sich auch immer häufiger Aufsichtsbehörden mit dem Dienst auseinandersetzen. Dabei wurde in mehreren Fällen ein datenschutzwidriger Einsatz von Google Analytics festgestellt. Es drängt sich daher die Frage auf, ob man Google‑Analytics überhaupt datenschutzkonform verwenden kann und welche Maßnahmen ggf. bei der Verwendung beachten müssen.
Ist Google Analytics datenschutzkonform einsetzbar?
Die Antwort lautet kurz und bündig: Ja, aber man muss einiges beachten und es bleibt ein gewisses Restrisiko. Zwar wurde Google-Analytics jüngst von verschiedenen Aufsichtsbehörden, etwa der schwedischen Aufsichtsbehörde, der französischen CNIL, der österreichischen Datenschutzbehörde und der Datenschutzstelle in Liechtenstein, negativ bewertet. Jedoch betreffen die verschiedenen Entscheidungen stets Einzelfallkonstellationen, die nicht den Einsatz generell ausschließen.
Bei der Verwendung von Google Analytics bleibt jedoch ein Restrisiko. Denn Google bietet aktuell keinen sog. Vertrag zur Verarbeitung durch gemeinsam Verantwortliche gem. Art. 26 DSGVO an (sog. Joint-Controller-Agreement – JCA). Manche Aufsichtsbehörden, insbesondere diejenigen aus Deutschland, halten einen solchen Vertrag jedoch für erforderlich. Sie sehen in dem Zusammenwirken von Google und einem Websitebetreiber eine gemeinsame Verantwortlichkeit für die verarbeiteten personenbezogenen Daten. Google ist jedoch der Auffassung, dass sie die Daten lediglich im Auftrag des Websitebetreibers verarbeiten, und sieht sich daher in der Rolle eines Auftragsverarbeiters im Sinne Art. 28 DSGVO und bietet mit den Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte auch einen entsprechenden Vertrag an.
Bisher scheint der Einsatz von Google-Analytics ohne einen Vertrag gem. Art. 26 DSGVO aber allenfalls mit einem geringen Risiko einherzugehen. Denn einerseits wird die Rolle von Google als Auftragsverarbeiter auch von anderen Aufsichtsbehörden, z. B. der aus Österreich bekräftigt. Andererseits ist bisher nicht bekannt, dass gegen einen Websitebetreiber, der Google Analytics ohne einen Vertrag der gemeinsamen Verantwortlichkeit verwendet, Maßnahmen seitens der deutschen Aufsichtsbehörden ergriffen wurden oder ein Bußgeld verhängt wurde.
Was muss bei der Verwendung von Google-Analytics beachten werden?
Die Verwendung von Google-Analytics bedarf der Einwilligung der Websitebesucher:innen. Denn zum einen setzt Google Analytics Cookies ein, für deren Verwendung gem. § 25 TTDSG zwingend eine Einwilligung vorliegen muss. Zum anderen werden durch Google Analytics die IP-Adresse und weitere personenbezogene Daten verarbeitet, was nach der Auffassung der Aufsichtsbehörden nur auf der Grundlage einer Einwilligung in rechtmäßiger Weise erfolgen kann. Diese Einwilligung lässt sich regelmäßig praktikabel über eine Consent-Management-Plattform („Consent-Banner“) einholen. Um hierbei auf der sicheren Seite zu sein, sollten bei der Gestaltung des Banners verschiedene Dinge beachtet werden. Wie Sie Consent-Banner richtig gestalten, lesen Sie in einem anderen Blogbeitrag von uns.
Eine wirksame Einwilligung setzt voraus, dass Websitebesucher:innen vorher ausreichend über die Verwendung von Google-Analytics aufgeklärt wurden. Dies ist in der Gestaltung, aber auch in der Formulierung der Consent-Management-Plattform zu beachten. Daneben muss in der Datenschutzerklärung die Datenverarbeitung durch Google-Analytics ausführlich beschrieben werden.
Gibt es keine Probleme mit dem Datentransfer in die USA?
Für die Funktionsfähigkeit von Google-Analytics werden Daten durch die Google LLC in den USA verarbeitet. Die Übermittlung der Daten in die USA war zuletzt insbesondere der österreichischen und der schwedischen Datenschutzbehörde ein Dorn im Auge. Die Datenschutzbehörden stellten fest, dass kein angemessenes Schutzniveau im Sinne von Art. 44 DSGVO für die übermittelten personenbezogenen Daten gegeben war. Die schwedische Behörde hat aufgrund dessen im Juli 2023 sogar zwei Unternehmen mit Bußgeldern belegt. Hierzu muss aber gesagt werden, dass sich die Bewertungen der beiden Behörde auf ältere Versionen von Google Analytics bezogen.
Google hat seitdem jedoch reagiert und seine Datenverarbeitung bzw. die angebotenen Verträge geändert. Die Bedenken der beiden Behörden können daher nicht aufrechterhalten werden. Denn fortan werden die Daten nicht mehr direkt vom Websitebetreiber (Verantwortlichen) an Google in die USA übermittelt, sondern an die Google Ireland Limited in Irland (Auftragnehmer). Diese Übermittlung ist ohne weiteres möglich, da Irland zur EU gehört. Erst die Weiterleitung der Daten von der Google Ireland Limited an die Google LLC in den USA (Unterauftragnehmer) gilt als Drittlandtransfer und bedarf daher der besonderen Voraussetzungen im Sinne von Art. 45 DSGVO, da es sich bei den USA insoweit um ein Drittland handelt.
Die Übermittlung von personenbezogenen Daten in die USA ist regelmäßig nur rechtmäßig, wenn zwischen Datenexporteuer (Google Ireland Limited) und dem Datenimporteuer (Google LLC) Standardvertragsklauseln abgeschlossen wurden und eine Risikoabwägung durchgeführt wurde (Transfer Impact Assessment).
Auch wenn der Websitebetreiber als Verantwortlicher primär nur für den Übermittlungsvorgang an seinen Auftragnehmer – also Google Ireland Limited in Irland – verantwortlich ist, muss er dennoch bei der Auswahl der Auftragnehmer auf ein angemessenes Datenschutzniveau achten. Ist eine Weitergabe personenbezogener Daten in ein Drittland erkennbar, ist es daher empfehlenswert, die durch die Google Ireland Limited mit der Google LLC abgeschlossenen Standardvertragsklauseln auch selbst zu speichern und sich die Durchführung eines Transfer Impact Assessment durch Google bestätigen zu lassen.
Welche Einstellungen muss ich bei Google-Analytics machen?
Bei der Auswahl der Einstellungen sind die Anforderungen zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen aus Art. 25 Abs. 1, 2 DSGVO zu beachten. Daher ist eine Verarbeitung personenbezogener Daten so weit wie möglich zu beschränken.
Deshalb ist beispielsweise sicherzustellen, dass für die Dauer der Datenaufbewahrung in Google Analytics der geringste mögliche Wert (2 Monate) festgesetzt ist. Zusätzlich ist die Option „Bei neuer Aktivität zurücksetzen“ zu deaktivieren. Dies kann in den Analytics-Steuerelementen zur Datenaufbewahrung eingestellt werden.
Um eine Verknüpfung personenbezogener Daten zu reduzieren, sollte zudem die Funktion Datenfreigabe für „Google-Produkte und -Dienste“ nicht verwendet werden.
Nach Möglichkeit sollte im Rahmen der Werbefunktionen nicht die Funktion Google Signale genutzt werden bzw. sollte diese Funktion deaktiviert werden. Um dem Grundsatz der Datenminimierung zu genügen, ist außerdem auf die Erhebung von Standort- und Gerätedaten für einzelne Regionen nach Möglichkeit zu verzichtet. Das Gleiche gilt für die Verwendung der User-ID.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.