HmbBfDI: Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar

Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 14.11.2019.

Website-Betreibende benötigen eine Einwilligung der Website-Besuchenden, wenn sie Dritt-Dienste einbinden wollen, bei denen der Anbieter personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt Google Analytics.

Bereits im Frühjahr haben die Datenschutz-Aufsichtsbehörden die „Orientierungshilfe für Anbieter von Telemedien“ (https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf) veröffentlicht und im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Website-Besuchenden zulässig ist. Trotzdem erhält der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) weiterhin eine Vielzahl von Beschwerden über Websites, die die Vorgaben der Orientierungshilfe nicht erfüllen. Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls dann nur mit Einwilligung genutzt werden, wenn diese Dritten die Daten auch zu eigenen Zwecken verwenden. Grundsätzlich gilt Gleiches, wenn das Verhalten der Website-Besuchenden im Detail nachvollzogen werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig eingeordnet werden kann es demgegenüber, wenn Website-Betreibende eine Reichweitenerfassung durchführen und dafür die Zahl der Besucherinnen und Besucher pro Seite, die Geräte und die Spracheinstellungen erheben, auch wenn ein Auftragsverarbeiter dies erledigt. Die Anforderungen von Art. 28 Datenschutzgrundverordnung (DSGVO) sind dabei ggf. zu beachten. Ein Auftragsverarbeiter darf die Daten allerdings nicht zu eigenen Zwecken verwenden, wie es sich Google, der Anbieter von Google Analytics, vorbehält.

Viele Website-Betreibende berufen sich bei der Einbindung von Google Analytics auf alte, längst überholte und zurückgezogene Veröffentlichungen wie die „Hinweise des HmbBfDI zum Einsatz von Google Analytics“. Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich Google als Anbieter das Recht ein, die Daten auch zu eigenen Zwecken zu verwenden. Die Einbindung von Google Analytics erfordert daher eine Einwilligung, die den Anforderungen der Datenschutzgrundverordnung genügt. Die meisten der sogenannten Cookie-Banner erfüllen derzeit die gesetzlichen Anforderungen nicht.

Website-Betreibende in Hamburg sollten ihre Websites umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Dienste nutzt, die eine Einwilligung erfordern, muss die Einwilligung dafür einholen oder sie entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Website-Besuchenden der Datenverarbeitung eindeutig und informiert zustimmen. Die einwilligungsbedürftige Datenverarbeitung darf zudem erst dann begonnen werden, nachdem die Einwilligung erteilt wurde. Ein reines Weitersurfen z.B. im Rahmen eines Cookie-Banners stellt keine wirksame Einwilligung dar. Dasselbe gilt für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutzgrundverordnung ist eindeutig, und der Europäische Gerichtshof hat sie in seinem Urteil vom 1. Oktober 2019 (EuGH, Urteil vom 1.10.2019 – C-673/17 – „Planet49“) ausdrücklich bestätigt.

Artikel 4 Nummer 11 der DSGVO definiert die Einwilligung. Danach ist „‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. In Erwägungsgrund 32 DSGVO heißt es: „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.“

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Uns liegt eine Vielzahl von Beschwerden und Hinweisen über die unzulässige Einbindung von Dritt-Inhalten auf Websites in Hamburg vor. Wir prüfen diese und haben bereits Verfahren gegen Verantwortliche eingeleitet. Website-Betreibende, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass nach der DSGVO für derartige Verstöße Geldbußen festgesetzt werden können.“

Die Pressemitteilungen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.