DSGVO
Mehrere deutsche Aufsichtsbehörden veröffentlichten konzertiert Warnmeldungen für den Einsatz von „Google Analytics“ und anderen Tracking-Tools auf Webseiten. Als offensichtliche Reaktion auf die eingegangenen Massenbeschwerden wird in den Pressemitteilungen darauf hingewiesen, dass der Einsatz Google Analytics und andere Web-Analyse-Tools den Spielraum des Art. 6 Abs. 1 lit. f DSGVO überschreitet und damit nicht auf das berechtigte Interesse als Rechtsgrundlage gestützt werden kann. Vielmehr bleibt nur die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die den Vorgaben des Art. 7 DSGVO sowie den Leitlinien des Europäischen Datenschutzausschusses zur Einwilligung und des Urteils des EuGH im Verfahren „Planet 49“ entsprechen muss. Ferner wird auf die „Orientierungshilfe für Anbieter von Telemedien“ verwiesen, die von der DSK im März 2019 veröffentlicht wurde. Die Aufsichtsbehörden geben an, dass die herangetragenen Beschwerden und Kontrollanregungen verfolgt werden.
Wer Google Analytics weiterhin einsetzen möchte, wird ohne Zweifel hierfür eine Einwilligung von den Betroffenen einholen müssen. Um nicht mit Google als gemeinsamer Verantwortlicher im Sinne des Art. 26 DSGVO eingestuft zu werden, sollten sämtliche Optionen zur Datenfreigabe deaktiviert werden. Diese sind im Verwaltungsbereich von Google Analytics unter dem Menüpunkt Kontoeinstellungen zu finden. Dort muss auch der Vertrag zur Auftragsverarbeitung „Zusatz zur Datenverarbeitung“) abgeschlossen werden. Außerdem sollte die Anonymisierung der IP-Adressen konfiguriert werden und die Aufbewahrungszeit von Nutzer- und Ereignisdaten auf die kürzeste Zeitspanne gesetzt werden. Kritisch zu bewerten ist der Passus beim Datenzugriff. Hier schreibt Google zur Weitergabe von Daten: „Ausnahmen hiervon bestehen nur in bestimmten Fällen und sofern gesetzlich erforderlich.“ So lange diese bestimmten Fälle von Google nicht transparent gemacht werden, kann hierüber eine gemeinsame Verantwortung entstehen und den Vertrag zur Auftragsverarbeitung sowie die Einwilligungserklärungen der Betroffenen unwirksam machen.
Für viele Betreiber von Webanalyse-Tools erfüllen auch datensparsame Alternativen wie Matomo (in der Konfiguration ohne Cookie) die Anforderungen einer brauchbaren Reichweitenanalyse, deren Einsatz sich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage stützen lassen. Derartige Analysen punkten gegenüber einwilligungspflichtigen Analyseverfahren auch dadurch, dass alle Besuche analysiert werden können, während bei einwilligungspflichten Verfahren der Großteil der Besucher seine Zustimmung verweigern wird und im Ergebnis nur ein Bruchteil der Besuche analysiert werden können.