Website-Betreiber, die auf Tools von Google zurückgreifen, sollten ihre Websites zeitnah auf DSGVO-Konformität überprüfen. Das „Google-Richtlinienteam“ prüft derzeit Websites auf einen Zustand den Google für datenschutzrechtlich zulässig hält. Hierbei prüft Google nicht nur die Einbindung der eigenen Tools, sondern auch der Software von anderen Anbietern sowie ggf. die Verwendung eines Cookie Consent-Tools. Anbietern, die keinen von Google als akzeptabel empfundenen Zustand schaffen, droht die Sperrung des Accounts.
Was ist passiert?
Eine Mandantin aus dem E-Commerce hat uns folgenden Vorfall geschildert: Die Mandantin betreibt mehrere Webshops in verschiedenen Sprachen / Lokalisierungen, auf denen sie unter anderem Website-Anlysedienste von Google einsetzt. Durch das Google-Richtlinienteams wurde sie per E-Mail auf mutmaßliche datenschutzrechtliche Missstände hingewiesen. Im Auszug liest die E-Mail sich wie folgt:
„Wir haben festgestellt, dass die in der angehängten Datei aufgeführten Websites oder Apps nicht unserer Richtlinie entsprechen, weil
- keine Einwilligung der Nutzer eingeholt wird und/oder
- nicht genau offengelegt wird, welche Drittanbieter (einschließlich Google) auch Zugriff auf die Nutzerdaten haben, die Sie auf Ihrer Website bzw. in Ihrer App entsprechend den in der Produktoberfläche konfigurierten Google-Einstellungen für Anzeigentechnologie-Anbieter erheben.“
[…]
Wir prüfen Ihre Antwort, beobachten Ihr Konto und ergreifen gegebenenfalls Maßnahmen, wenn Sie das Problem nicht bis zum XX.XX.XXXX behoben haben.“
Sollte eine Verständigung über angemessene Maßnahmen binnen der knappen Frist nicht möglich sein, sprich: sollte Google mit dem Ergebnis nicht zufrieden sein, wird letztlich die Deaktivierung des Google-Kontos in Aussicht gestellt.
Dieser Vorgang ist, gemessen an der bisherigen Wahrnehmung von Google im Datenschutz, zumindest überraschend. Verständlich wird er jedoch vor den jüngsten Stellungnahmen diverser Datenschutzbeauftragter, die sich mehrheitlich kritisch zu Google, insb. dem Produkt Analytics, geäußert haben (u.a. HIER HIER HIER).
Hintergründe
Hintergrund für die auffällig konsequente Vorgehensweise, die letztlich Google selbst Kunden kosten kann, dürfte die zusehends kritische Wahrnehmung (s. oben) sein. Insgesamt geraten Tracking-Tools (z.B. Google Analytics, Facebook Pixel, Matomo, HubSpot) vermehrt in den Fokus der Datenschutzaufsichtsbehörden. Damit gelangt allmählich in der Praxis an, was der Europäische Gerichtshof (EuGH) mit seiner „Fashion ID“-Entscheidung (Rs. C-40/17, vollständige Auswertung mit Erläuterungen zur gemeinsamen Verantwortlichkeit hier) in Gang gesetzt hat. Durch die Konstellation der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO besteht zudem die Gefahr, dass Google und Website-Betreiber auch für die Datenschutzverstöße des jeweils anderen haften. Auch das mag Google dazu veranlassen, sich selbst in der Außenwirkung selbst als Datenschützer zu geben. Entsprechend deutlich kommuniziert Google die Erwartungshaltung an die eigenen Nutzer:
„Die Richtlinie zur EU-Nutzereinwilligung beschreibt Ihre Verantwortlichkeiten als Nutzer unserer Anzeigentechnologie:
- Sie sind verpflichtet, von Endnutzern im EWR eine Einwilligung für die folgenden Aktivitäten einzuholen:
- Einsatz von Cookies oder anderen Formen der lokalen Datenspeicherung, sofern die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist
- Erhebung, Weitergabe und Nutzung personenbezogener Daten zur Personalisierung von Werbeanzeigen
- Sie sind verpflichtet, alle Dritten anzugeben, die infolge Ihrer Verwendung von Google-Produkten personenbezogene Daten von Endnutzern erheben, erhalten oder nutzen können.
- Außerdem müssen Sie den Endnutzern deutlich sichtbar und leicht zugänglich Informationen bereitstellen, aus denen hervorgeht, wie diese Dritten die personenbezogenen Daten verwenden.“
Rechtliche Einordnung: Transparenz und Einwilligung
Grundsätzlich ist es zu begrüßen, wenn Anbieter den Datenschutz ernst nehmen (wozu sie Art. 25 DSGVO auch bereits bei der Produktentwicklung verpflichtet) und auf dessen Einhaltung hinwirken. In der Sache ist Google jedenfalls teilweise zuzustimmen:
Gemäß Art. 13 Abs. 1 Buchst. c, e DSGVO sind betroffene Personen (= Website- oder Shop-Besucher) bei der Verarbeitung personenbezogener Daten über deren Zwecke und zumindest die Kategorien der Empfänger zu informieren – was regelmäßig in der Datenschutzerklärung erfolgt (die im Übrigen auch unsere Mandantin bereits hatte). Aber: Wenn das Google-Richtlinienteam fordert, dass auch darüber informiert werden müsse „wie diese Dritten die personenbezogenen Daten verwenden“, geht die Forderung in dieser Pauschalität über die Vorgaben der Artt. 13, 14, 21 DSGVO hinaus. Der Verantwortliche (= Website-Betreiber) schuldet Auskunft nur über die eigene (ggf. auch gemeinsame) Datenverarbeitung. Website-Betreiber stellt dies vor das Problem, Informationen zu beschaffen, die von den meisten Anbietern schlichtweg nicht zu erhalten sind.
Nicht zu beanstanden ist hingegen die Aufforderung, eine Einwilligung für die Verarbeitung der personenbezogenen Daten zu Tracking- bzw. Marketing-Zwecken einzuholen. Wie dies geschieht ist rechtlich zwar dem Website-Betreiber überlassen. Rein tatsächlich sind Cookie Consent-Tools bzw. Consent-Banner hier derzeit die einzige praktikable Lösung. Dabei ist darauf zu achten, dass die Vorgaben der DSGVO und des EuGH (s. unsere Bewertung der „Planet 49“-Entscheidung) umgesetzt werden.
Wie können Sie reagieren?
Sollten Sie wie hier beschrieben vom Google-Richtlinienteam angeschrieben werden, sollten Sie wegen der knappen Frist zeitnah tätig werden. Bislang ist unklar, ob Google deaktivierte Konten zu einem späteren Zeitpunkt wieder aktiviert und was mit vorhandenen Daten geschieht. In einem ersten Schritt, sollten Sie die folgenden Punkte prüfen:
- Datenschutzerklärung: Haben Sie alle verwendeten Tools bzw. Dienste mit den Informationen nach Artt. 13, 14, 21 DSGVO aufgeführt?
- Consent Management: Holen Sie bei Aufruf Ihrer Website eine Einwilligung der Nutzer zur Verwendung von Tracking- bzw. Marketingtools ein und dokumentieren diese? Erfüllt diese Umsetzung die Vorgaben der DSGVO an die Informiertheit, Freiwilligkeit und Widerrufbarkeit – gerade bei gebündelten („allen zustimmen“) Einwilligungen?
- Technische Umsetzung: Werden ohne Einwilligung tatsächlich nur solche Cookies gesetzt oder ausgelesen bzw. Zugriffe auf den Speicher des Endgeräts durchgeführt, die für den Betrieb der Website unbedingt erforderlich sind, sprich: Passen Einwilligungs-Konzept und Realität zusammen?
Erforderlichenfalls getroffenen Maßnahmen sollen Google mitgeteilt werden. Hierzu verweist Google auf ein bereitgestelltes Formular. Nach unserem Kenntnisstand ist seitens Google danach nur eine Prüfung vorgesehen, ob stückweise „nachgebessert“ werden darf ist unklar. Unklarheiten sollten daher aufgeklärt werden, bevor das Ergebnis Google zur Prüfung vorgelegt wird. Hierbei unterstützen wir Sie gerne.
Wer sind Ihre Ansprechpartner?
Sind Sie Adressat einer solchen E-Mail geworden oder haben Fragen zu diesem Thema? Wenn Sie von uns im Datenschutz bereits beraten werden wenden Sie sich bitte an die/den Sie betreuende Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:
- Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV), sascha.kremer@kremer-recht.de
- Daniela Köhnlechner, Rechtsanwältin, Datenschutzbeauftragte (TÜV), daniela.koehnlechner@kremer-recht.de
- Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV), kristof.kamm@kremer-recht.de
Alle Ansprechpartner erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt).
Wer sind KREMER RECHTSANWÄLTE?
KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber, darunter DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups, hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Die Sozietät hat in verschiedenen Branchen- und Dachverbänden an der Umsetzung der DSGVO durch die jeweiligen Mitglieder mitgewirkt und selbst mehrere Großprojekte zur Umsetzung der DSGVO erfolgreich geführt oder begleitet. Die Rechtsanwältinnen und Rechtsanwälte veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Juristinnen und Juristen sowie Referendaren und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 als von Unternehmensjuristinnen und -juristen empfohlene Kanzlei im IT- und Datenschutzrecht geführt. Mehr auf dieser Website.