Cookies und Tracking
Die Verarbeitung von Nutzungsdaten im Internet unterliegt den Vorschriften der Datenschutz-Grundverordnung und telemedienrechtlicher Spezialvorschriften wie der ePrivacy-Richtlinie bzw. deren Umsetzung in nationales Recht. Die Verarbeitung durch einen Verantwortlichen selbst und auch Übermittlungen an Dritte in Form von eingebundenen Elementen in Websites, Apps oder internetfähigen Geräten sowie das Speichern und/oder Auslesen von Informationen auf Endgeräten bedürfen daher einer Rechtsgrundlage. Für zahlreiche, in die Privatsphäre von Nutzerinnen und Nutzern eingreifende Verarbeitungen und Speicherungen bedarf es einer expliziten und informierten Einwilligung. Die nachfolgenden Inhalte geben hinsichtlich des rechtlichen Rahmens Orientierung für Verantwortliche. Betroffenen steht es frei, im Zweifelsfall bei der Sächsischen Datenschutz- und Transparenzbeauftragten eine Beschwerde über das Formular einzureichen.
Google Analytics ist ein Trackingtool des US-amerikanischen Unternehmens Google LLC, das der Datenverkehrsanalyse von Webseiten (Webanalyse) dient. Sowohl die Analyse von Besucherinnen und Besuchern einer Webseite, die dabei stattfindende Übermittlung personenbezogener Daten als auch das Setzen von Cookies und Speicherobjekten bedürfen einer Rechtsgrundlage nach der Datenschutz-Grundverordnung (DSGVO).
Betreiber und Betreiberinnen von Webseiten berufen sich zur Rechtfertigung der Verarbeitung häufig auf Artikel 6 Absatz 1 Buchstabe f DSGVO („Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten“). Das berechtigte Interesse muss jedoch mit „Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern“, einer Abwägung unterworfen werden. Eine solche Interessenabwägung fällt bei einer individuell gestalteten Webanalyse von Besuchern der Webseite zu Gunsten des Besuchers aus, weil die zielgerichtete und tiefgreifende Überwachung des Verhaltens einen starken Eingriff in die Privatsphäre des Webseitenbesuchers darstellt. Zusätzlich gelangen personenbezogene Daten in den Einflussbereich der Firma Google.
Google gehört weltweit zu den größten Datenerfassern. Das Geschäftsmodell und damit das Eigeninteresse von Google besteht aus der kommerziellen Verwertung von personenbezogenen Daten (siehe https://policies.google.com/privacy). Diese Verarbeitung läuft den objektiven Interessen von Besuchern der Website entgegen. Nach Ansicht der Aufsichtsbehörde ist eine Interessenabwägung daher für Analysedienste wie Google Analytics stets zu Gunsten der Nutzer einer Website anzunehmen. Eine auf Dauer angelegte und tiefgreifende Beobachtung individuellen Verhaltens und die Sammlung dieser Daten über eine Vielzahl von Apps und Websites widerspricht den vernünftigen Erwartungen von Webseitenbesuchern hinsichtlich des Umfangs der fraglichen Verarbeitung und deren Auswirkungen. Aufgrund dieser überwiegenden Interessen der Besucher der Webseite ist ein Betrieb von Google Analytics auf der Grundlage eines berechtigten Interesses des Webseitenbetreibers aus Sicht der Aufsichtsbehörde nicht möglich.
Für das Setzen und Auslesen von Cookies und Storage-Objekten ist § 25 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) einschlägig. Grundsätzlich ist für solche Verarbeitungen eine klare und umfassende Information sowie eine Einwilligung erforderlich, es sei denn die Ausnahmetatbestände aus § 25 Absatz 2 Ziffer 2 sind einschlägig. Dies heißt, dass die Speicherung und das Auslesen unbedingt erforderlich sind, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann. Dies ist im Fall von Google Analytics eindeutig nicht der Fall. Der Dienst ist als zusätzlicher Analysedienst ohne erkennbare Erforderlichkeit klar einwilligungsbedürftig.
Im Ergebnis muss eine Einwilligung sowohl nach DSGVO als auch ggf. nach TDDDG eingeholt werden. Diese Einwilligungen dürfen bei klarer Benennung der Rechtsgrundlagen und der Verarbeitungen gekoppelt, also in einem Schritt, eingeholt werden. Erfolgt dies nicht oder wird der Dienst gar nicht benötigt, ist Google Analytics zu deaktivieren, und rechtswidrig gesammelte Daten sind zu löschen.
Wird Google Analytics ohne Einwilligung verwendet, ist ein Datenschutzverstoß gegeben, welcher durch die zuständige Aufsichtsbehörde mit aufsichtsrechtlichen Maßnahmen bis hin zu einem Bußgeld geahndet werden kann. Hinweise zur datenschutzrechtskonformen Ausgestaltung von Websites und Apps finden Sie in der Orientierungshilfe für Anbieter von digitalen Diensten der Datenschutzkonferenz des Bundes und der Länder.
- Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich (PDF-Datei auf der DSK-Website; Hinweis: Das Hinweispapier stammt aus dem Jahr 2020. Einige der konkret genannten Produkte werden von Google in dieser Form nicht mehr angeboten, die rechtlichen Bewertungen sind jedoch in weiten Teilen noch zutreffend.)
- Orientierungshilfe der Aufsichtsbehörden für Anbieter von digitalen Diensten (PDF-Datei auf der Website der Datenschutzkonferenz)
- Pressemitteilung der DSK zur Orientierungshilfe Telemedien (PDF-Datei auf der Website der Datenschutzkonferenz)