Ausgelöst durch die Beschwerden der europäischen Datenschutzorganisation NOYB haben sich zahlreiche europäische Datenschutzbehörden zum Einsatz von Google Analytics geäußert. Die Beschwerden führen zu einer abgestimmten und einheitlichen Auffassung, wonach Zweifel an der Zulässigkeit mit Blick auf die Datenübermittlungen in die USA geäußert wurden.
Datenschutzbehörden in der gesamten EU haben bereits damit begonnen, Warnungen an Website-Betreiber zu senden und/oder Maßnahmen, jüngst in Form eines Bußgelds in Höhe von 1 Million Euro, gegen Website-Betreiber zu ergreifen, die Google Analytics verwenden. Diese Entwicklungen haben wir zum Anlass genommen, um die datenschutzrechtlichen Herausforderungen bei der Nutzung von Google Analytics zusammenzufassen und die Äußerungen der Aufsichtsbehörden auch im Kontext des neuen Angemessenheitsbeschlusses für die USA (EU-U.S. Data Privacy Framework, kurz „DPF“) zu beleuchten.
Zusammenfassung: Der Einsatz von Google Analytics ist auch nach in Krafttreten des EU-U.S.-Data Privacy Frameworks nicht ohne erhebliche Risiken möglich. Zwar haben sich durch den Angemessenheitsbeschluss einige der wesentlichen Kritikpunkte des Europäischen Datenschutzausschusses (kurz „EDSA“) und der Aufsichtsbehörden hinsichtlich der Datenübermittlungen in die USA (vorerst) erledigt, es bleiben aber rechtliche Unsicherheiten aufgrund der vertraglichen Rollenverteilung sowie der Ausgestaltung der Einwilligung, insbesondere der Umsetzung des Widerrufs und den damit verbundenen Löschpflichten.
Google Analytics im Überblick
Google Analytics ist ein Tool zur Analyse der Nutzung von Websites und (webbasierten) Apps, welches für den europäischen Markt von der Google Ireland Ltd. angeboten wird. Bei dem Einsatz kommt es zu Datenübermittlungen an zahlreiche Subunternehmer und Google-Unternehmen u.a. in den USA (Liste).
Bei der rechtlichen Bewertung muss zwischen den Anwendungen Google Universal Analytics und Google Analytics 4 (kurz „GA4„) unterschieden werden. Beide Versionen haben unterschiedliche Merkmale, die sich auf die Datenschutzbewertung auswirken können. Seit dem 01.07.2023 erfolgt keine Datenverarbeitung über Google Universal Analytics mehr (Google Blog Post). GA4 ist daher der Standard, mit dem Sie sich befassen müssen.
Google Analytics Universal vs. Google Analytics 4
Neu im Vergleich zu Google Universal Analytics sind v.a. folgende Punkte bei GA4:
- Anonymize-IP: Die Kürzung der IP-Adresse kann nicht mehr deaktiviert werden und soll laut Google nun ausschließlich auf EU-Servern erfolgen.
- Tracking ohne Cookies: Anders als Google Universal Analytics ist GA4 so konzipiert, dass es perspektivisch auch ohne Cookies funktionieren kann. Dies passt auch zur Roadmap von Google, wonach z.B. der hauseigene Chrome Browser in Zukunft keine 3rd-Party-Cookies mehr unterstützen soll.
- Einsatz von KI-Analysen: Vorhersagen über Nutzungsverhalten und eine Kundensegmentierung auf Basis des bisherigen Nutzungsverhaltens (wie bisher) sowie zusätzlich auf Basis von KI-Modellen (Lückenfüllung in den Datenbeständen, so dass Lücken in den Daten durch KI-Modelle geschlossen werden (z.B. weil sich Nutzer gegen Tracking entscheiden, sog. „blended data“). Dies setzt voraus, dass umfassende Nutzungsdaten vorliegen und ausgewertet werden, die Google zur Verbesserung der Modelle nutzt, mithin also Google ein Eigeninteresse an der Datenverarbeitung hat.
- Die Nutzer-Identifikation bei GA4 ist mehrstufig (z.T. NEU): Auch ohne User-ID versucht GA4 automatisch, den Nutzer über Google-Signals zu identifizieren. Dies setzt grundsätzlich ein manuelles Matching der Nutzer voraus, z.B. durch eine Kundenliste mit zugeordneten IDs. Über Google Signals erhält Google Zugriff auf Sitzungsdaten von Nutzern, die in ihrem Google-Konto angemeldet sind und personalisierte Werbung aktiviert haben.
- Domainübergreifendes Tracking über Cookies ist weiterhin möglich.
Während die alten Google-Analytics-Integrationen für das Tracking nahezu vollständig von Cookies abhängig sind, setzt GA4 (jedenfalls perspektivisch) auf andere Mechanismen, um das Tracking auch ohne Cookies zu ermöglichen. Nichtsdestotrotz laufen auch aktuelle GA4-Integrationen i.d.R. noch Cookie-basiert, so dass sich GA4 und Google Universal Analytics diesbezüglich ähneln.
Cookie-Tracking bei Google Analytics: Willigt der Nutzer in den Einsatz von Google Analytics über das Consent-Tool ein, werden verschiedenen Google-Cookies mit einer eindeutigen Cookie-ID auf dem Endgerät gespeichert. Hierdurch kann das Endgerät des Nutzers wiedererkannt werden. Ausgehend von dieser ID kommt es zur Übertragung unterschiedlicher Daten an Google-Server, um das Nutzungsverhalten auszuwerten. Dies erfolgt über sog. Server-Requests. Auf den folgenden Schaubildern haben wir den Ablauf schematisch dargestellt:
Die Rechtsfragen
Im Zusammenhang mit Google Analytics haben Aufsichtsbehörden in der gesamten EU über die Jahre diverse Dinge kritisiert.
(1) Ein zentraler Kritikpunkt der Aufsichtsbehörden ist die Übermittlung personenbezogener Daten in die USA und die Herausforderungen für Verantwortliche beim Einsatz von Google Analytics ein angemessenes Datenschutzniveau gemäß der Schrems-II-Rechtsprechung zu gewährleisten. Mit Blick auf das EU-U.S. Data Privacy Framework sind die Kritikpunkte jedoch weitgehend überholt (siehe Auswirkungen des neuen Angemessenheitsbeschluss: Alles wieder gut?).
(2) Teil der Drittlandübermittlungs-Problematik war immer wieder die Frage, ob eine Einwilligung in die Übermittlung personenbezogener Daten in die USA im Rahmen von Google Analytics überhaupt möglich ist. Die Aufsichtsbehörden haben bisher jedoch kaum das Zusammenspiel von TTDSG und DSGVO beleuchtet, dass für alle einwilligungsbedürftigen Analyse- und Marketing-Tools, die auf Cookies und ähnliche Technologien setzen, relevant ist (siehe dazu Einwilligung ist nicht gleich Einwilligung!).
(3) Nach den EuGH-Urteilen zur gemeinsamen Verantwortlichkeit mehrten sich zudem Zweifel an der datenschutzrechtlichen Vertragskonstruktion von Google Analytics (sowie ähnlichen Analyse- und Marketing-Diensten) als Auftragsverarbeitung (Details siehe Die datenschutzrechtliche Rollenverteilung).
Die Kernaussagen von Aufsichtsbehörden und Rechtsprechung
Seit 2022 wurden mehrere Entscheidungen gegen die Verwendung von Google Analytics von europäischen Aufsichtsbehörden und diesbezügliche Warnungen veröffentlicht. Zuletzt wurde sogar ein Bußgeld in Höhe von 1 Millionen Euro durch die schwedische Aufsichtsbehörde verhängt. Soweit erkennbar, basieren alle Entscheidungen auf den in den 27 EU-Mitgliedstaaten eingereichten 101 NOYB-Beschwerden. Die nationalen Aufsichtsbehörden haben dabei eine abgestimmte europäische Linie des EDSA verfolgt und die Entscheidungen und Warnungen auf der Grundlage einer gemeinsamen Analyse aller europäischen Datenschutzbehörden getroffen (siehe dazu auch die Bildung und Ergebnisse der entsprechenden Task Force des EDSA).
Übersicht der Entscheidungen und zum Einsatz von Google Analytics
Hinweis: Bitte beachten Sie, dass sich einige Ausführungen nur auf Google Analytics Universal beziehen, andere aber auch GA4 berücksichtigen, und alle vor Erlass des neuen DPF veröffentlicht wurden.
| Stelle | Kernaussagen |
| Österreich (Datenschutzbehörde)
Entscheidung vom Januar 2022 (abrufbar auf der Website von NOYB) |
Die von Google angebotenen Absicherungsmechanismen boten nach Ansicht der Behörde kein „angemessenes Schutzniveau“, um die „Überwachung und den Zugriff durch US-Geheimdienste“ gemäß dem „Foreign Intelligence Surveillance Act“ (FISA) zu verhindern. |
| Italien (Datenschutzbehörde) | Der Einsatz von Google Analytics ohne effektive Absicherungsmaßnahmen bei der Datenübermittlung in die USA ist unzulässig.
Google habe selbst bei einer Kürzung der IP-Adresse ausreichend Mittel und Wege, um einen Personenbezug herzustellen, insbesondere durch eine Anreicherung mit anderen Daten. |
| Frankreich (Datenschutzbehörde „CNIL“)
Stellungnahme und Anordnungen (aktuell nur über Archiv-Seiten abrufbar) |
Die CNIL hat mehrere Anordnungen gegen Website-Betreiber, die Google Analytics verwenden, erlassen und technische Hinweise zur rechtskonformen Umsetzung von Google Analytics unter Verwendung eines Proxy-Servers veröffentlicht (siehe Stellungnahme). |
| Dänemark (Aufsichtsbehörde „Datatilsynet“) | Die Datatilsynet ist der Ansicht, dass Google Analytics nicht datenschutzkonform nutzbar sei und spricht sich auch gegen eine Einwilligungslösung in die Drittlandübermittlung aus. Sie verweist zur Umsetzung auf die Empfehlung der französischen CNIL, einen Proxy-Server einzurichten.
Hinweis: Die FAQ wurden bislang nicht aktualisiert, enthalten aber eine Antwort dahingehend, dass die Bewertung mit Inkrafttreten des DPF anders ausfallen könne. |
| Schweden (Aufsichtsbehörde, IMY) | Die schwedische Datenschutzbehörde ist der Ansicht, dass die „zusätzlichen Maßnahmen“ von Google zur Gewährleistung eines angemessenen Datenschutzniveaus nicht ausreichen und verhängte Bußgelder i.H.v. 1 Million Euro und 300.000 Euro gegen zwei schwedische Unternehmen. |
| Deutschland (LG Köln) | Zusätzliche Maßnahmen von Google zur Gewährleistung eines angemessenen Datenschutzniveaus wurden für nicht ausreichend befunden. |
Zusammenfassung: Primäre Angriffspunkte der Entscheidungen und Warnungen sind die Datenübermittlungen in die USA im Lichte der Schrems II Rechtsprechung auf Basis der Standardvertragsklauseln oder auf Basis einer Einwilligungserklärung.
Auswirkungen des neuen Angemessenheitsbeschlusses: Alles wieder gut?
Der am 10.07.2023 erlassene Angemessenheitsbeschluss für die USA zum Data Privacy Framework (kurz „DPF“, siehe dazu unseren Beitrag inkl. FAQ) erleichtert in bestimmten Fällen die Übermittlung von Daten an Dienstleister, Konzerngesellschaften und sonstige Empfänger in den USA und stellt diese (vorerst) auf ein sicheres Fundament. Das DPF attestiert bei Datenübermittlungen an bestimmte zertifizierte Empfänger in den USA, zu denen Google ebenfalls gehört (siehe Zertifizierung, Stand 11.08.2023), ein angemessenes Datenschutzniveau.
Verwenden Verantwortliche daher künftig GA4 statt Google Universal Analytics (zu den Unterschieden siehe Technischer Umfang von Google Analytics) dürften sich mit dem DPF die Kritikpunkte wegen der Drittlandübermittlung an die USA vorerst wohl erledigt haben. Auf die Frage, ob eine Einwilligung bei einer Drittlandübermittlung bei Google Analytics möglich ist, kommt es hier aufgrund des Angemessenheitsbeschlusses nicht mehr an.
Hinweis: Wir gehen trotzdem nicht von einer vollständigen Datenschutzkonformität von Google Analytics allein aufgrund des DPF aus: Es bestehen weitere Rechtsunsicherheiten beim Einsatz von Google Analytics, welche die Aufsichtsbehörden in ihrem abgestimmten Vorgehen bislang nicht aufgegriffen haben (siehe nachfolgende Ausführungen). Zudem kann es auch zu Datenübermittlungen an andere Drittländer kommen.
Die datenschutzrechtliche Rollenverteilung
Google sieht sich selbst beim Betrieb von Google Analytics als Auftragsverarbeiter (Art. 28 DSGVO). Entsprechend schließen Website-Betreiber mit Google einen durch Google vorgegebenen Auftragsverarbeitungsvertrag. Es besteht jedoch der Verdacht, dass Google die erhobenen Daten zu eigenen Zwecken nutzt, z.B. Produktverbesserung und Optimierung der Analysen, und daher selbst ebenfalls von der Datenverarbeitung profitiert.
Daher sehen die Aufsichtsbehörden im Lichte der EuGH-Urteile „Zeugen Jehovas“ (Urteil vom 10.07.2018, Aktenzeichen C-25/17, Volltext, siehe dazu unseren Beitrag) und „Fashion ID“ (Urteil vom 29.07.2019, Aktenzeichen: C-40/17, Volltext, siehe dazu unseren Beitrag) den Einsatz von Google Analytics als gemeinsame Verantwortlichkeit von Google und dem Website-Betreiber gemäß Art. 26 DSGVO (Beschluss der DSK auf Seite 2 f.; Tätigkeitsbericht (2019) des HmbBfDI auf S. 126 f.).
Hinweis: Ein fehlender, nach Art. 26 Abs. 1 Satz 2 DSGVO aber zwingend erforderlicher, Vertrag bei gemeinsamer Verantwortlichkeit ist ein Verstoß gegen die DSGVO, den Aufsichtsbehörden mit Bußgeldern sanktionieren können. Sollte sich der Verdacht der Nutzung der Google Analytics Daten für eigene Zwecke von Google erhärten, spricht viel dafür, dass auch die Rechtsprechung von einer gemeinsamen Verantwortlichkeit ausgehen wird. Trotz der Gewährleistung eines angemessenen Datenschutzniveaus verbleiben daher Sanktions- und Bußgeldrisiken für Website-Betreiber.
Einwilligung ist nicht gleich Einwilligung!
Unabhängig von der Angemessenheit des Datenschutzniveaus und der Frage der Verantwortlichkeit muss die Datenverarbeitung durch Google Analytics auch gerechtfertigt sein. Der Nutzer muss vernünftigerweise nicht damit rechnen, dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden. Dies ist, je nach gewählter Einstellung (siehe Technischer Umfang von Google Analytics) bei Google Analytics häufig der Fall. Daher überwiegen regelmäßig die Interessen, Grundrechte und Grundfreiheiten der Nutzer die Interessen des Website-Betreibers (siehe Beschluss der DSK auf S. 3). Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO scheidet daher bei Google Analytics häufig – aber nicht immer – als Rechtsgrundlage aus. Mangels anderer Rechtsgrundlage bleibt dem Website-Betreiber daher nur das Einholen einer Einwilligung nach Art. 6 Abs. 1 Satz 1 Buchst. a, Art. 7 DSGVO. Da Google Analytics zum Erheben der Daten Cookies einsetzt, richtet sich die Einwilligung für das Speichern und Auslesen der Cookies (und ähnlichen Technologien) nach § 25 Abs. 1 TTDSG.
Zeitlich benötigt der Webseitenbetreiber also zunächst die Einwilligung nach dem TTDSG für das Setzen der Cookies und darauf aufbauend für die anschließende Verarbeitung der personenbezogenen Daten die Einwilligung nach der DSGVO. Da die Datenverarbeitung aber in der Regel direkt mit dem Setzen des Cookies einhergeht, handelt es sich lediglich um eine juristische Sekunde zwischen dem Setzen des Cookies und der Verarbeitung. Daher muss die Einwilligung in der Praxis vor dem Setzen des Cookies über ein Cookie-Consent-Banner eingeholt werden. Diese Consent-Banner werden über eine Consent Management Platform (CMP) oder ein anderes Consent-Management-Tool („Consent-Tool“) eingeholt.
Dabei wird aber häufig vergessen, die Folgen eines etwaigen Widerrufs bei der technischen Ausgestaltung der Einwilligungslösungen in Consent-Tools zu berücksichtigen. Denn der Widerruf der Einwilligung nach der DSGVO löst nach Art. 17 Abs. 1 Buchst. b DSGVO eine Löschpflicht der erhobenen personenbezogenen Daten aus. Dies wird aber bei den meisten Consent–Tools nicht umgesetzt, weil
- der Trigger aus dem Consent-Tool fehlt (keine Meldung, dass nun Daten gelöscht werden müssen, sondern i.d.R. nur ein „do not read“ Befehl für Cookies), und
- oftmals auch die Identifikation der Nutzer Probleme bereitet
Tipp: Sollen Cookie- und DSGVO-Einwilligung verknüpft werden, müssen Sie sorgfältig prüfen, ob Ihr Consent-Tool bzw. ihre angeschlossenen IT-Systeme Widerruf und Löschpflicht ausreichend abbilden können. Ist dies nicht umsetzbar, empfehlen wir, entweder (1) die Cookie-Einwilligung von der DSGVO-Einwilligung zu separieren, oder (2) zu prüfen, ob Google Analytics so konfiguriert werden kann, dass die Interessenabwägung i.S. des Art. 6 Abs. 1 S. 1 Buchst. f DSGVO zugunsten des Website-Betreibers ausfällt (siehe dazu auch unser Legal-Tech Tool zur Durchführung von Interessenabwägungen).
Wer sind ihre Ansprechpartner?
Wenn Sie von uns im Datenschutz bereits beraten werden, wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:
- Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV), sascha.kremer@kremer-recht.de
- Julia Christmann-Thoma, Rechtsanwältin,
julia.christmann-thoma@kremer-recht.de - Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV),
kristof.kamm@kremer-recht.de
- Daniela Köhnlechner, Rechtsanwältin, Datenschutzbeauftragte (TÜV), daniela.koehnlechner@kremer-recht.de
- Patrick Koetsier, LL.M., Rechtsanwalt,
patrick.koetsier@kremer-recht.de - Jana Lenzen, LL.M., Rechtsanwältin, Datenschutzbeauftragte (TÜV),
jana.lenzen@kremer-recht.de - Michael Matejek, LLM., Wirtschaftsjurist,
michael.matejek@kremer-recht.de - Malte Mennemann, Rechtsanwalt,
malte.mennemann@kremer-recht.de
- Dr. Judith Nink, Rechtsanwältin,
judith.nink@kremer-recht.de - Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV), nadine.schneider@kremer-recht.de
Alle Ansprechpartner/innen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt).
Wer sind KREMER RECHTSANWÄLTE?
KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät berät regelmäßig in auch internationalen Großprojekten, begleitet IT-, Datenschutz sowie HR-Projekte und erstellt passende Standardvertragswerke für ihre Mandanten.
Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Jurist:innen sowie Referendar:innen und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019, 2021 und 2023 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden, ebenso vom FOCUS 2021 als TOP Wirtschaftskanzlei Datenschutzrecht. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene, führende Kanzlei im IT- und Datenschutzrecht geführt.