Kann ich Google Analytics trotz DSGVO einsetzen?

von hauser@m-win.ch, Tel. +41 (52) 269 21 11

Wir geben einen Überblick über die neusten Hinweise der deutschen DSK.

Mit Beschluss vom 12.05.2020 hat die (deutsche) Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich herausgegeben. Es handelt sich dabei um eine Neubeurteilung, die von älteren Beurteilungen abweicht.

Personenbezogene Daten

Die DSK geht zunächst davon aus, dass beim Einsatz von Google Analytics immer personenbezogene Daten der Nutzer verarbeitet werden. Ausdrücklich wird darauf hingewiesen, dass es sich bei den mit Google Analytics verarbeiteten Daten (Nutzungsdaten und sonstige gerätespezifische Daten, die einem bestimmten Nutzer zugeordnet werden können) um personenbezogene Daten im Sinne der DSGVO handelt.

Beziehung zwischen Anwender/Website-Betreiber von Google Analytics und Google

Die DSK geht davon aus, dass die Verarbeitung im Zusammenhang mit Google Analytics keine Auftragsverarbeitung gemäss Art. 28 DSGVO darstellt. Eine Auftragsverarbeitung setzt voraus, dass der Auftragsverarbeiter die Daten ausschliesslich auf Weisung des Verantwortlichen verarbeitet. Der Verantwortliche hat über die Zwecke und Mittel der Verarbeitung auch selbst zu bestimmen.

Beim Einsatz von Google Analytics ist das aber nicht so. Der Anbieter bestimmt nicht allein über die Zwecke und Mittel der Datenverarbeitung, sondern diese werden vielmehr zum Teil ausschliesslich von Google vorgegeben. Die DSK schliesst daraus, dass Google insoweit auch selbst als Verantwortlicher anzusehen ist. Dies führt dazu, dass sowohl Google und als auch der Anwender, bzw. Website-Betreiber gemeinsam für die Datenverarbeitung verantwortlich sind, sodass die Anforderungen des Art. 26 DSGVO zu beachten sind.

Rechtsgrundlage

Die DSK führt weiter aus, dass Art. 6 Abs. 1 lit. b) DSGVO («vorvertraglich oder Erfüllung eines Vertrages») und Art. 6 Abs. 1 lit. f) DSGVO («berechtigtes Interesse») in der Regel nicht als Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten in Betracht kommen. Es wird davon ausgegangen, dass Google Analytics in der Regel nur mit einer Einwilligung der Webseitenbesuchenden gem. Art. 6 Abs. 1 lit. a), Art. 7 DSGVO rechtmässig genutzt werden kann.

Massnahmen

Die DSK empfiehlt folgende Massnahmen:

Einholung einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer
Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung: Beim Einsatz von Google Analytics muss stets ein einfach und immer zugänglicher Mechanismus zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein. Das Browser-Add-On von Google zur Deaktivierung von Google Analytics wird als nicht hinreichende Widerrufsmöglichkeit betrachtet.
Transparenz: Die Websitebesucher müssen durch die Anwender in der Datenschutzerklärung umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics informiert werden.
Kürzung der IP-Adresse: Die Anwender von Google Analytics sollten durch entsprechende Einstellungen die Kürzung der IP-Adressen veranlassen („_anonymizeIp()“). In der Datenschutzerklärung ist darüber zu informieren.

Sollten Sie Fragen haben oder Unterstützung benötigen, können Sie sich gerne an uns wenden.

Interessiert mich (Email an sekretariat@m-win.ch; wir melden uns)

weitere Beiträge

Verwendung von Dashcam-Bildern im Prozess

nDSG 2023 – (Besonders schützenswerte) Personendaten

Die DSGVO kommt am 25. Mai – bereiten Sie sich schnell vor