Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar

Pressemeldung des Landesbeauftragten für Datenschutz und Informationsfreiheit des Landes Rheinland-Pfalz vom 14.11.2019

Website-Betreiber benötigen eine Einwilligung der die Website Besuchenden, wenn sie Dritt-Dienste einbinden wollen, bei denen der Anbieter personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt Google Analytics, wie Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI) betont.

Bereits im Frühjahr 2019 haben die Datenschutz-Aufsichtsbehörden die „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht und im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Website-Besucherinnen und -Besuchern zulässig ist. Trotzdem erhält der LfDI weiterhin eine Vielzahl von Beschwerden über Websites, die die Orientierungshilfe missachten.

Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls dann nur mit Einwilligung genutzt werden, wenn diese Dritten die Daten auch zu eigenen Zwecken verwenden. Gleiches gilt, wenn das Verhalten der Website-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig eingeordnet werden kann es demgegenüber, wenn eine Website-Betreiberin eine Reichweitenerfassung durchführt und dafür die Zahl der Besucherinnen und Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter darf allerdings die Daten nicht zu eigenen Zwecken verwenden, wie es sich mittlerweile der Anbieter von Google Analytics vorbehält.

LfDI Prof. Dr. Kugelmann: „Viele Website-Betreiber berufen sich bei der Einbindung von Google Analytics auf alte, längst überholte und zurückgezogene Veröffentlichungen wie die Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen. Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Website Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von Google Analytics erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt. Die meisten der sogenannten Cookie-Banner, die wir in der Praxis sehen, erfüllen die gesetzlichen Anforderungen nicht.“

Der LfDI fordert Website-Betreiber in Rheinland-Pfalz auf, ihre Website umgehend auf Dritt-Inhalte und Tracking-Mechanismen zu überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzerin oder der Nutzer der Datenverarbeitung eindeutig und informiert zustimmt. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Website oder Ähnliches eine Einwilligung bedeuten sollen, ist unzureichend. Dasselbe gilt für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung ist eindeutig, und der Europäische Gerichtshof hat sie in seinem Urteil vom 1. Oktober 2019 (EuGH, Urteil vom 1.10.2019 – C-673/17 – „Planet49“) ausdrücklich bestätigt.

Artikel 4 Nummer 11 der Datenschutz-Grundverordnung (DS-GVO) definiert die Einwilligung. Danach ist „‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Erwägungsgrund 32 DS-GVO lautet: „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.“

LfDI Prof. Dr. Kugelmann weist darauf hin, dass seiner Behörde bereits eine Vielzahl von Beschwerden und Hinweisen über die unzulässige Einbindung von Dritt-Inhalten vorliegen. Insbesondere liegt ein Hinweis vor, der nahe legt, dass auf rund 15.000 Websites von Verantwortlichen mit Sitz in Rheinland-Pfalz Google Analytics rechtswidrig eingesetzt wird. Der LfDI prüft diese und hat bereits Verfahren gegen Unternehmen eingeleitet. Diese Zahl wird sich künftig noch erheblich erhöhen, da der LfDI zukünftig gezielt Websites von Verantwortlichen mit Sitz in Rheinland-Pfalz überprüfen wird. Website-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DS-GVO für derartige Verstöße hohe Geldbußen androht.

Die Pressemitteilungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz können hier abgerufen werden.