Viele unklare oder gar widersprüchliche Nachrichten in den letzten Wochen und Monaten verunsichern zunehmend viele Webseiten-Betreiber: Wie ist denn nun die Rechtslage? Ist Google Analytics in Deutschland rechtswidrig? Oder ist das Analyse-Tool doch erlaubt? Kann es wirklich sein, dass eine Software, die einen Marktanteil von X % hat, gegen geltendes Recht verstößt? Der Aufsatz versucht so neutral wie möglich, die aktuelle Situation darzustellen. Eines vorab: Eine klare Antwort wird es nicht geben, da es bislang an einer höchstrichterlichen Rechtsprechung fehlt. Eines ist jedoch klar: Anders als viele behaupten, ist Google Analytics in der aktuellen Fassung keineswegs automatisch rechtswidrig.
Was denn nun? Ist Google Analytics nun rechtswidrig oder nicht?
Teil 1: Das Ausgangsproblem
Die Diskussion, ob Google Analytics mit deutschem Recht vereinbar ist, wird seit vielen Jahren kontrovers geführt. Umso erstaunlicher ist es, dass es bis dato nur vereinzelt überhaupt gerichtliche Entscheidungen zu dieser Problematik gibt.
In der letzten Zeit häufen sich jedoch behördliche Stellungnahmen zu diesem Problemkreis.
Dazu nachfolgend ein paar Beispiele:
1. Die Ansicht der deutschen Datenschutzbehörden:
Die Datenschutzkonferenz hat Mitte 2020 eine erste ausführlichere Stellungnahme abgegeben.1 Die Datenschutzkonferenz ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Die Stellungnahmen haben keinen verbindlichen Rechtscharakter, offenbaren aber, in welche Richtung die Behörden die DSGVO auslegen werden. Ob die Interpretation dann richtig oder falsch ist, können die Gerichte entscheiden.
Nach der damals veröffentlichten Ansicht war Google Analytics rechtskonform einsetzbar, jedoch nur, wenn eine ausdrückliche Einwilligung des Users vorlag. Ein Rückgriff auf die sogenannten berechtigten Interessen sollte nicht möglich sein.
In der Praxis bedeutete dies, dass das Tool zwar theoretisch einsetzbar war, in der praktischen Anwendung aber scheiterte. Denn für eine wirksame Einwilligung muss der Webseitenbetreiber klar und deutlich und hinreichend konkret vorab über Art und Umfang der Verarbeitung informieren. Und eben dies war bei Google Analytics nicht möglich, weil der Anwender selbst nicht wusste, was Google alles so mit den übermittelten Daten macht. Bedeutete: theoretisch rechtmäßig, praktisch rechtswidrig.
Ende 2019 haben die deutschen Datenschutzbehörden dann nach jahrelanger Duldung begonnen, gegen Webseitenbetreiber vorzugehen. Inzwischen laufen erste Untersagungsanordnungen und auch Gerichtsverfahren.
2. Österreichische und französische Datenschutzbehörden:
Anfang 2022 war es dann so weit: Die österreichische Datenschutzbehörde stellte in einer aktuellen Entscheidung fest, dass Google Analytics datenschutzwidrig ist, da für den Datentransfer in die USA kein ausreichendes Datenschutz-Niveau vorliegt. 2
Kurze Zeit später schloss sich auch die französische Datenschutzbehörde an und vermeldete ebenso, dass sie die Verwendung für verboten hält. 3
Viele Webseitenbetreiber sind spätestens seit diesen Einschätzungen der österreichischen und französischen Datenschutzbehörden verunsichert und wissen überhaupt nicht mehr, was sie nun glauben sollen: Ist Google Analytics erlaubt? Oder ist das Tool datenschutzwidrig und verboten?
Teil 2: Die Probleme im Einzelnen
Bei Google Analytics treten drei rechtliche Probleme auf, die in Darstellungen häufig durcheinandergeworfen werden und nur noch zu viel mehr Verunsicherung in der breiten Öffentlichkeit führen. Es ist daher besonders wichtig, jeden dieser Bereiche getrennt voneinander zu verstehen.
1. Problem: Datentransfer in die USA
Die erste Rechtsfrage ist der Datentransfer in die USA. Der Europäische Gerichtshof hat in den letzten Jahren mehrfach entschieden, dass ein Transfer personenbezogener Daten in die USA grundsätzlich nicht möglich ist, da dort kein ausreichendes Datenschutzniveau nach der DSGVO besteht.
Da bei Google Analytics die amerikanische Google LLC bis vor Kurzem Vertragspartner war, war bereits aus diesem Grunde die Benutzung datenschutzwidrig.
2. Problem: Reichweite der Analyse
Die zweite Rechtsfrage betrifft den Punkt, ob und in welchem Umfang Google Analytics personenbezogene Daten speichert und für welchen Zweck diese Informationen verwendet werden.
Es geht also um das ganz grundsätzliche Problem: Wofür genau benutze ich die gespeicherten Daten?
Als Rechtsgrundlage kommen hier zwei Möglichkeiten in Betracht: einmal die hinlänglich bekannte Einwilligung und einmal die sogenannten berechtigten Interessen.
Verwendet ein Webseitenbetreiber die gespeicherten Informationen lediglich für den Betrieb und die Ausgestaltung seiner eigenen Webseite, ist die überwiegende Meinung der Ansicht, dass dies auch von den berechtigten Interessen abgedeckt ist. Die rechtliche Problematik fängt dort an, wo ein Webseitenbetreiber noch andere Dinge mit den Daten tut, z. B. die Information an Dritte weitergibt (Retargeting) oder mit sonstigen Informationen abgleicht. Eine solche weitergehende, umfangreichere Analyse soll nach Meinung der deutschen Datenschutzbehörden nicht mehr von den berechtigten Interessen abgedeckt sein, sondern nur durch eine Einwilligung erlaubt sein.
3. Setzen von Cookies
Die dritte Rechtsfrage war die Tatsache, dass bei der Verwendung von Google Analytics grundsätzlich Cookies gesetzt wurden.
Eine solche Cookie-Setzung ist jedoch nur mit Einwilligung erlaubt, es sei denn, es handelt sich um ein technisch notwendiges Cookie. Dabei ist es wichtig zu verstehen, dass diese Problematik rein gar nichts mit dem Datenschutzrecht zu tun hat. Denn dieses Verbot greift unabhängig davon, ob personenbezogene Daten gespeichert werden oder nicht. Soll heißen: Immer dann, wenn ein Cookie gesetzt wird, benötige ich eine Zustimmung des Users. Einzige Ausnahme ist, wenn der Einsatz technisch zwingend notwendig ist, zum Beispiel im Rahmen eines Online-Shops ein Session-Cookie.
Da der Einsatz von Google Analytics ganz sicher nicht zu den zwingend technisch notwendigen Cookies gehört, bedarf es hierfür also immer einer Einwilligung.
Teil 3: Die rechtliche Bewertung
Nachdem wir nun die Probleme der einzelnen Teilbereiche dargestellt haben, wird vielleicht auch nachvollziehbar, warum ein solches Chaos bei der rechtlichen Bewertung von Google Analytics herrscht. Hier werden die einzelnen Punkte häufig durcheinandergeworfen und miteinander vermischt.
1. USA-Datentransfer
Auf den ersten Blick scheint die Äußerung der französischen und österreichischen Datenschutzbehörden klar: Da bei Google Analytics ein USA-Datentransfer erfolgt, ist dies datenschutzwidrig.
Ganz einfach ist die rechtliche Bewertung jedoch nicht. Denn sowohl die Franzosen als auch die Österreicher bewerteten die Sachlage aus den Jahren 2019 und 2020. Vertragspartner war zum damaligen Zeitpunkt die Google LLC aus den USA.
Das ist heute aber nicht mehr Fall. Denn Google hat vor einiger Zeit, nämlich zu Ende April 2021, die Vertragsparteien ausgetauscht, sodass der Webseiten-Betreiber nunmehr mit Google Ireland den Analytics-Vertrag schließt.
Damit hat sich auch die US-Transfer-Problematik bis auf Weiteres erledigt. Insofern wäre es falsch zu behaupten, dass die Entscheidung den grundsätzlichen Einsatz des heutigen Google Analytics verbietet. Vielmehr beziehen sich die beiden Äußerungen nur auf Google Analytics in der alten Form.
Bedeutet das jetzt aber auch, dass die USA-Datentransferproblematik gänzlich vom Tisch ist?
Antwort: Nein, leider nicht. Denn es bleibt natürlich die Frage offen, inwieweit gewährleistet ist, dass Google Irland keinerlei Daten an seinen Mutterkonzern in die USA transferiert. Wir sehen also, dass sich dieses Problem noch nicht erledigt hat, sondern nur eine neue Runde dreht.
2. Reichweite der Analyse
Ob und inwieweit tatsächlich die Analyse eines Userverhaltens durch die berechtigten Interessen nicht abgedeckt ist, ist juristisch vollkommen unklar.
Die Datenschutzbehörden haben sich hier klar positioniert und vertreten den Standpunkt, dass bei der Reichweite, die herkömmlicherweise beim Einsatz von Google Analytics erfolgt, dies nicht als ausreichende Rechtsgrundlage angesehen werden kann, sondern immer eine Einwilligung notwendig ist.
Hierzu fehlt bislang jede gesicherte höchstrichterliche Rechtsprechung. Es bleibt abzuwarten, wie die Gerichte sich zu dieser Frage positionieren werden. Es ist in jedem Fall jedoch ein vertretbarer Standpunkt, auch die berechtigten Interessen als Möglichkeit heranzuziehen. Natürlich ist eine solche Interpretation mit erheblichen Rechtsrisiken verbunden und führt über kurz oder lang zu einer Auseinandersetzung mit der betreffenden Datenschutzbehörde.
3. Cookies
Die Rechtslage bei der Cookie-Setzung ist hingegen eindeutig: Wird ein Tool, das technisch nicht zwingend notwendig ist, verwendet, bedarf es einer Einwilligung. Diese Einwilligungspflicht betrifft auch grundsätzlich Google Analytics.
Dabei ist es unerheblich, ob bei Google Analytics personenbezogene Daten gespeichert werden. Denn die Einwilligungspflicht bei Cookies findet – wie bereits erläutert – unabhängig davon Anwendung.
Teil 4: Ergebnis
Wir sehen also, dass es auf die Frage, ob Google Analytics rechtmäßig oder rechtswidrig ist, keine klare und eindeutige Antwort gibt.
Wird beispielsweise Google Analytics in kastrierter Form ohne Cookies und ohne weitreichende Analyseauswertung eingesetzt, bestehen kaum noch Bedenken gegen die Software. Gleiches gilt, wenn bei Google Analytics der Personenbezug aufgehoben oder zumindest stark eingeschränkt wird, da dann die DSGVO keine Anwendung findet.
Die Betrachtung zeigt aber auch, dass es nicht leicht ist, die rechtlichen Anforderungen zu erfüllen. Wird zum Beispiel im Rahmen des Server-Side-Trackings Google Analytics eingesetzt, ändert dies nichts an der juristischen Bewertung. Zwar werden hier die Daten zunächst auf dem Server des Webseitenbetreibers gespeichert, jedoch erhält Google die Information wenig später durchgeleitet, sodass sich die identische Problemlage ergibt. Server-Side-Tracking löst also keinerlei rechtliche Probleme.
Die Luft um Google Analytics wird zunehmend dünner und dünner. Jeder Webseitenbetreiber sollte sich daher dreimal überlegen, ob er wirklich dieses Tool weiterhin auf seiner Homepage einsetzen will oder nicht. Er holt sich nämlich damit viele Probleme an Bord. Entsprechend groß muss die Risikobereitschaft des Anwenders sein.
Wenn er dieses Tool einsetzen möchte, ist der Einsatz eines Cookie-Banners mit einer entsprechenden Einwilligungsklausel zwingend erforderlich. Die Verwendung von Google Analytics ohne eine solche Zustimmung wäre grob fahrlässig.
1 Online unter www.datenschutzkonferenz-online.de/media/dskb/20200526_beschluss_hinweise_zum_einsatz_von_google_analytics.pdf.
2 noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk.pdf.
3 www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply.