Datenschutz Spezial: Rechtliche Gefahren beim Einsatz von Google Analytics in Deutschland und in der EU

Rechtsgrundlage und rechtliche Stolperfallen beim Einsatz von Web Analyse-Lösungen

Für Deutschland sind das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG) die vorrangige Rechtsnorm im Hinblick auf Web Analyse. Weiterhin sollten Website-Betreiber mit dem Beschluss des Düsseldorfer Kreises vom 27. November 2009 über die „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ vertraut sein. Ab dem 25. Mai 2018 gilt in Europa die neue EU-Datenschutz-Grundverordnung (EU-DSGVO). Mit dieser werden sich die bestehenden „Spielregeln“ jedoch nicht grundlegend ändern, baut sie doch auf bewährte Grundsätze zur Einwilligung, Zweckbindung und Datensparsamkeit auf.

Die häufigsten Stolperfallen vermeiden Sie, wenn Sie…

1. in einer Datenschutzerklärung auf der Website auf die Datenerhebung und -verarbeitung sowie auf die Möglichkeit zum Widerspruch der Datenerfassung (Opt-out) hinweisen.
2. Daten nur anonymisiert oder pseudonymisiert erfassen, d.h. unter anderem IP-Adressen mindestens um den letzten Block kürzen und Web Analyse-Daten nicht ohne Einwilligung mit personenbezogenen Daten zusammenführen.
3. mit Ihrem Anbieter (Auftragnehmer) eine Auftragsdatenvereinbarung (ADV) entsprechend den Anforderungen nach §11 des BDSG abgeschlossen haben.

Besondere Herausforderungen beim Einsatz von Google Analytics

Auch wenn Website-Betreiber die Hinweise hinsichtlich Widerspruchsrecht, IP-Kürzung und ADV bei der Einbindung von Google Analytics beachten, bleiben folgende drei Herausforderungen bestehen:

1. Bei Nutzung der Google Analytics-Werbefunktionen ist eine explizite Einwilligung des Nutzers erforderlich. Zu den Werbefunktionen gehören Remarketing mit Google Analytics, Berichte zu Impressionen im Google Displaynetzwerk, Berichte zur Leistung nach demografischen Merkmalen und Interessen sowie integrierte Dienste, für die in Google Analytics Daten mit Hilfe von Cookies für Anzeigenvorgaben und Kennungen gesammelt werden.
2. Für öffentliche Stellen gelten gesonderte und strengere Anforderungen als für den nicht-öffentlichen Bereich. Hierzu zählt je nach Bundesland, dass einem Auskunftsersuchen des Landesbeauftragten für den Datenschutz angemessen entsprochen werden muss und Dienstleister sich verpflichten, sich dieser Kontrolle zu unterwerfen. Nach Auskunft der Hessischen Aufsichtsbehörde will Google diese Anforderungen nicht erfüllen.
3. Bei Datenübermittlung außerhalb der EU – und weniger anderer Staaten – ist eine Auftragsdatenvereinbarung nicht ausreichend, um ein angemessenes Datenschutzniveau zu gewährleisten. Laut der Google Analytics-Bedingungen kann eine ausschließliche Speicherung von Kundendaten innerhalb von Mitgliedstaaten der  Europäischen  Union  nicht garantiert werden (siehe Ziffer 4.7 der Anlage 1 „Regelungen zur Auftragsdatenverarbeitung“ der Google Analytics-Bedingungen).

Vorsicht bei Datenübermittlung in die USA

Die USA gilt nach Europäischem Datenschutzrecht als unsicheres Drittland. Werden Dienste genutzt, die Daten Ihrer Kunden und Nutzer in die USA übertragen, so ist eine explizite Einwilligung der Nutzer oder die Sicherstellung eines angemessenen Datenschutzniveaus erforderlich.

Im Hinblick auf die Sicherstellung eines angemessenen Datenschutzniveaus berief sich Google bis Oktober 2015 auf die Safe Harbor-Vereinbarung zwischen EU und US-Handelsministerium. Am 6. Oktober 2015 erklärte der Europäische Gerichtshof das Safe-Harbor-Abkommen für unwirksam, da es den in der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleiste. Seitdem heißt es auf der Website des zuständigen Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit (HambBfDI): „Die Angemessenheit des Datenschutzniveaus kann auf dieser Grundlage rechtlich nicht mehr sichergestellt werden. Dies wirkt sich unmittelbar auf den Einsatz des Dienstes aus. Eine Überprüfung der von uns empfohlenen Maßnahmen ist eingeleitet, allerdings noch nicht abgeschlossen. Wir stehen dabei auch im Gespräch mit dem Unternehmen Google.“ (Stand Juni 2016).

Im Sommer letzten Jahres schickte sich Privacy Shield (EU-US-Datenschutzschild) an,  die Stelle von Safe Harbor zu übernehmen. Dieses ist eine freiwillige, jährliche Selbstverpflichtung von Unternehmen außerhalb der EU zur Sicherstellung eines angemessenen Datenschutzniveaus bei der Übermittlung von personenbezogenen Daten aus der EU in die USA. Voraussetzung für die Feststellung eines gleichwertigen Datenschutzes waren Zusicherungen der Beschränkung der Überwachung sowie das umkämpfte Klagerecht von EU-Bürgern, welches im Dezember 2016 ausgehandelt wurde. Mit der von Präsident Trump am 25. Januar 2017 unterzeichneten Anordnung (Executive Order) zur „Verbesserung der öffentlichen Sicherheit“ könnte damit jedoch schon Schluss sein. Demnach sind Behörden nicht mehr daran gebunden, die Daten von EU-Bürgern zu schützen.

Stand Februar 2017

Seit dem 26. September 2016 ist Google als Privacy Shield-zertifiziert ausgewiesen. Dennoch wurde die rechtssichere Nutzung von Google Analytics durch den zuständigen Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit (HambBfDI) nicht wieder erklärt. Mit der neuesten Anordnung von Präsident Trump sind die Chancen auf eine Einigung zwischen Google und dem Hamburgischen Datenschutzbeauftragten mit Sicherheit nicht gestiegen. Außerdem wird die EU-Kommission spätestens in diesem Sommer prüfen, ob die Voraussetzungen für den Privacy Shield-Beschluss noch gegeben sind. Sollte die Einigung widerrufen werden, dürfte dies das endgültige Aus für das legale Tracking mit Google Analytics in der EU bedeuten – es sei denn, Google ließe sich auf den Abschluss von sogenannten EU-Standardvertragsklauseln ein oder könnte eine Speicherung auf EU-Servern garantieren.

Wir dürfen daher gespannt sein, wie es in Sachen legalem Datentransfer in die USA weitergeht. Auf jeden Fall stellt Präsident Trumps sogenannte Executive Order ein eklatantes Risiko für die Zukunft des EU-US Privacy Shield dar. Und damit setzen sich Unternehmen, die Google Analytics in Deutschland einsetzen ebenfalls einem hohen Risiko aus. Denn sie werden im Falle eines Falles haftbar gemacht. Die Europäische Datenschutz-Grundverordnung (EU-DS-GVO) sieht ab nächstem Jahr vor, dass Unternehmen, die gegen die Datenschutzregeln verstoßen, bis zu vier Prozent ihres Jahresumsatzes als Strafe zahlen müssen.

Was Sie weiterhin noch Bedenken sollten

Neben rechtlichen Konsequenzen und der Frage der Vertrauenswürdigkeit Ihres Unternehmens sollten Sie die Einschränkungen bei der Aussagekraft und Datenhoheit bedenken, wenn Sie Google Analytics (Standard) einsetzen. Google wirbt für seinen kostenpflichtigen Premium-Dienst unter anderem mit folgenden Vorteilen gegenüber dem kostenlosen Service (Stand Januar 2017):

• Präzise Analyse dank Daten ohne Stichproben
• Verarbeitung: maximal 4 Stunden (in 98 % der Zeit)
• Vereinbarungen zu den Eigentumsrechten an den Daten und Kontrolle darüber, wie die Daten geteilt werden

Als Standard Google Analytics-Nutzer müssen Sie folglich mit unpräzisen Daten bei der Reportsegmentierung leben, die schlimmstenfalls zu falschen Rückschlüssen und kostspieligen Fehlentscheidungen führen.  Teuer kann es auch sein, wenn Sie Analyse-Daten immer erst frühestens am Folgetag erhalten und im Falle eines Falles erst dann eingreifen können.

Darüber hinaus wird Ihnen der Zugriff auf Ihre Rohdaten sowie gespeicherten Nutzerprofildaten verwehrt. So besteht keine Möglichkeit, weitergehende Analysen mit eigenen Statistikprogrammen und den dafür notwendigen Timestamps und User-IDs durchzuführen oder die Daten in Echtzeit für eine gezieltere Ansprache auf der Website oder per E-Mail zu nutzen. Hier entgehen Ihnen wichtige Potentiale zum gezielten Ausbau Ihres Online-Business.