Zurück
Zurück zur
Blog-Übersicht
December 13, 2022

Ist der Einsatz von Google Analytics rechtlich zulässig?

Ist der Einsatz von Google Analytics rechtlich zulässig?


„Google Analytics“ ist wohl das am häufigsten eingesetzte Tool zur Analyse einer Website. Doch es stellt sich die Frage: Ist deren Einsatz rechtlich zulässig? Mehr dazu in diesem Artikel:

Meinungsstand:



Soweit ersichtlich, liegt bis zum aktuellen Zeitpunkt keine gerichtliche oder behördliche Entscheidung vor, ob und in welcher Form der Einsatz von „Google Analytics“ rechtskonform möglich ist. Anhaltspunkte geben jedoch der Beschluss „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ vom 12.5.2020 (in der Folge „BESCHLUSS“) sowie das Papier „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ vom März 2019. Zu beachten ist weiters, dass die Entscheidung des EuGH vom 16.7.2020 in der Sache „Schrems II“ auch auf diese Thematik Auswirkungen hat.


Ist eine Einwilligung erforderlich?



Die springende Frage ist zunächst, ob der Einsatz von Google Analytics einer Einwilligung (im Sinne des Art 6 Abs 1 lit a DSGVO) der betroffenen Person bedarf, ob aber, ob mit einem überwiegend berechtigten Interesse (im Sinne des Art 6 Abs 1 lit f DSGVO) des Unternehmens argumentiert werden kann. Dem BESCHLUSS kann auf Seite 3 entnommen werden, dass das berechtigte Interesse nicht einschlägig ist – im Umkehrschluss es also einer Einwilligung bedarf.

Diese Einwilligung muss über den Cookie-Banner eingeholt werden und muss den Kriterien einer informierten Einwilligung standhalten. Cookie-Banner à la „Wir informieren Sie, dass wir Cookies einsetzen – Ok“ genügen diesem Kriterium, wie bereits mehrfach ausgesprochen wurde (vgl ua „Planet49“), nicht. Zudem wird betont, dass die Nutzer die Möglichkeit haben müssen, die Einwilligung zu verweigern, ohne dadurch Nachteile zu erleiden.

Gemeinsame Verantwortlichkeit zwischen Google und dem Unternehmer




Während die Notwendigkeit einer Einwilligung wenig überrascht, ist die Ansicht interessant, wonach Google und der Websitebetreiber eine gemeinsame Verantwortlichkeit im Sinne des Art 26 DSGVO hinsichtlich der Verarbeitung der Daten begründen.

Dies ist auch insofern interessant, als Google in ihren Vertragsbedingungen davon ausgeht (Link), dass es sich bei Google Analytics um eine Auftragsverarbeitung handelt.

Auswirkungen des Schrems II-Urteils:



Bis zum 16.7.2020 hat sich Google (Alphabet) hinsichtlich der Datenübermittlung in die USA auf das Vorliegen eines Privacy-Shield-Zertifikates berufen. Mit der Entscheidung „Schrems II“ ist diese Argumentation allerdings obsolet geworden. Vielmehr bedarf es – zumindest – des Abschlusses von Standarddatenschutzklauseln nach Art 46 Abs 2 lit c DSGVO. Google hat als Reaktion die Standardvertragsklauseln beigefügt und verweist darauf.

Zusammenfassung und Handlungsempfehlung:



Unternehmen ist dringend zu empfehlen, Google Analytics ausschließlich auf Basis einer (informierten) Einwilligung im Sinne des Art 6 Abs 1 lit a DSGVO umzusetzen. Aus dem Gesichtspunkt der Rechtssicherheit sollte weiters eine Joint-Controllership-Vereinbarung sowie der Abschluss von Standarddatenschutzklauseln forciert werden.

Ob dies alles „rechtlich korrekt“ ist, steht auf einem anderen Papier. Schließlich sprechen gute Argumente dafür, dass im Zuge von Google Analytics Daten dermaßen aggregiert werden, dass ein Personenbezug – unter Berücksichtigung des ErwGr 26 DSGVO – nicht mehr möglich ist. Die Konsequenz wäre, dass von einer Anonymisierung auszugehen ist, sodass die DSGVO erst gar nicht zur Anwendung gelangen würde.

Zurück
Zurück zur
Blog-Übersicht