Google Analytics datenschutz­konform mit Opt-In einsetzen

06. 12. 2019
|
Analytics
|
Alle Artikel
Daniel Marx
Partner & Head of SEO

Mit Einführung der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 herrschte in der Web-Community großer Aufruhr und noch größere Verunsicherung. Was darf man auf der eigenen Webseite überhaupt noch tun? Welche Tools können bedenkenlos genutzt werden, welche Services angepasst werden und was ist überhaupt tabu, weil datenschutzrechtlich bedenklich? Ein aktuelles Urteil des EuGH bringt nun erneut Bewegung in diese Diskussion.

 

Darf ich Google Analytics überhaupt noch einsetzen?

Besonders Google Analytics, das wohl am weitesten verbreitete Tool zum Tracking des Nutzerverhaltens auf Webseiten, sorgt für Diskussionen. Während klar ist, dass einige Anpassungen am Tracking-Code, der Datenschutzerklärung und den Einstellungen von Google Analytics für den datenschutzkonformen und rechtssicheren Einsatz unumgänglich sind, gibt es Diskussionen, auf welcher Basis die Nutzung von Google Analytics gerechtfertigt ist.

Google Analytics datenschutzkonform einrichten – So geht’s 

Grundsätzlich basiert die DSGVO auf dem Prinzip des Verbots mit Erlaubnisvorbehalt. Das heißt, dass jede Verarbeitung personenbezogener Daten grundsätzlich verboten ist, außer sie ist durch Ausnahmen ausdrücklich erlaubt.

Für den Einsatz von Google Analytics zum Besuchertracking auf Websites werden dabei stets zwei Ausnahmen angeführt. Zum einen das „berechtigte Interesse“ (Art 6 (1) f)) eines Webseitenbetreibers, bestimmte Daten zu verarbeiten, zum anderen die Möglichkeit der Einwilligung des Nutzers zur Verarbeitung (Art 6 (1) a)).

Abhängig davon, welche dieser beiden Ausnahmen als Grundlage für das Tracking herangezogen wird, entscheidet sich, ob für Google Analytics und das Setzen von Cookies ein Opt-In notwendig ist oder ein Opt-Out ausreicht.

Google Analytics Opt-In oder Opt-Out, das ist hier die Frage…

Datenschützer argumentieren, dass ein datenschutzkonformer Einsatz von Google Analytics bzw. das Setzen von Cookies durch die Tracking Software lediglich auf Basis der Einwilligung (Art 6 (1) a)) des Nutzers möglich ist.

Webseitenbetreiber und Online Marketer wiederum vertreten die Meinung, dass die Besucheranalyse und Reichweitenmessung ihr berechtigtes Interesse und daher gar keine explizite Einwilligung des Nutzers notwendig sei. Eine Opt-Out Möglichkeit wäre nach dieser Auffassung ausreichend, um aus der Datenerfassung durch Google Analytics auszusteigen.

Der Grund dafür, warum das Thema gerade wieder hochaktuell ist, ist die „planet49“- Entscheidung des Europäischen Gerichtshofes vom 1. Oktober 2019 (EuGH C-673/17). Dieser entschied dabei, dass für alle Cookies, für die eine Einwilligung nötig ist, eine solche aktiv – also in Form eines Opt-Ins – eingeholt werden muss.

Das Problem: Auch wenn die DSGVO ob Ihres Verordnungsstatus in der gesamten EU gültig ist, wird der Text in den verschiedenen Mitgliedsländern unterschiedlich interpretiert, denn die zugehörige europäische ePrivacy-Verordnung, in der etwa der Einsatz von Cookies geregelt werden soll, dürfte sich noch weiter verzögern. Dementsprechend wird die DSGVO noch immer von nationalen Gesetzen flankiert, die die bisherige europäischen ePrivacy-Richtlinie aber unterschiedlich streng auslegen.

Google Analytics: Die Situation in Deutschland

Der deutsche Rechtsanwalt Christian Solmecke argumentiert auf T3N, dass das EuGH planet49-Urteil in Deutschland noch keine direkte Auswirkung habe. Hintergrund ist, dass dort der Gesetzgeber bisher davon ausging, die europäische ePrivacy-Richtlinie nicht in nationales Recht umsetzen zu müssen.
Man argumentiert, dass das geltende deutsche Telemediengesetz (TMG) den entsprechenden Bereich bereits ausreichend regle. Laut diesem ist jedoch ein einfacher Cookie-Hinweis in Form eines Banners und eine Opt-Out-Möglichkeit als „Einwilligung“ ausreichend. Da das aktuelle EuGH-Urteil dem gültigen deutschen TMG widerspricht, muss erst der deutsche Bundesgerichtshof entscheiden, wie letztendlich damit umzugehen ist.

Es ist aber davon auszugehen, dass sich der BGH auf das Urteil des EuGH berufen wird (schließlich hat der BGH die Entscheidung an die höhere Instanz weitergeleitet) und den Gesetzgeber dazu bringen wird, das deutsche Gesetz entsprechend anzupassen.

Interessant ist aber auch die Argumentation der deutschen Landesdatenschutzbehörden zum Thema Google Analytics und Reichweitenmessung im Allgemeinen. In Presseaussendungen im November 2019 erachten verschiedene Landesdatenschutzbehörden eine aktive Zustimmung in Form eines Opt-Ins für einen rechtskonformen Einsatz insbesondere von Google Analytics als notwendig.

Die Begründung für diese Interpretation liefert der hamburgische Datenschutzbeauftragte, der in Google mehr als einen reiner Auftragsdatenverarbeiter sieht, weil Google sich das Recht vorbehält, erhobene Daten auch für eigene Zwecke zu verarbeiten. Dementsprechend falle ein berechtigtes Interesse überhaupt als Rechtfertigung weg.

Interessant ist dabei, dass etwa die bayerische Datenschutzaufsicht die reine Reichweitenanalyse durchaus als „berechtigtes Interesse“ interpretieren würde. Dieser Argumentation folgend wäre etwa eine lokale, sauber aufgesetzte Matomo-Installation (früher Piwik) zur Webanalyse wieder mit berechtigtem Interesse zu rechtfertigen.

Wer ausschließlich Matomo einsetzt, könnte demzufolge in Deutschland ganz auf ein Pop-Up zur Einwilligung verzichten.

Google Analytics: Die Situation in Österreich

In Österreich dagegen findet die europäische e-Privacy-Richtlinie in § 96 Abs. 3 TKG ihre Umsetzung in nationales Recht. Demnach muss der User nicht nur über die Verarbeitung seiner Daten informiert werden, sondern es muss für jede nicht technisch notwendige Verarbeitung auch die Einwilligung des Users eingeholt werden.

Weil die Reichweitenmessung nicht unbedingt technisch notwendig ist, fällt für den Einsatz von Google Analytics die Rechtfertigung des „berechtigen Interesses“ dementsprechend weg.

Wir haben uns beim österreichischen Datenschutz-Rechtsanwalt Markus Dörfler erkundigt, der sagt:

 

„Das planet49-Urteil des EuGH hat die aktive Einwilligung noch einmal explizit betont, und festgestellt, dass diese für alle nicht technisch notwendigen Cookies unumgänglich ist. Damit ist die Sache für Österreich relativ klar: Für den rechtskonformen Einsatz von Google Analytics und ähnlichen Tools ist eine aktive Einwilligung per Opt-In notwendig. Schließlich hat der Gesetzgeber beim Datenschutzanpassungsgesetz 2018 das Wort Zustimmung in § 96 TKG extra durch den Term Einwilligung ersetzt.“

 

Auch die Wirtschaftskammer empfiehlt ihren Mitgliedern als Reaktion auf das EuGH-Urteil eine Opt-In Lösung für das User-Tracking zu nutzen.

Eine Ausnahme für selbstgehostete Tracking-Software, wie sie in Deutschland von manchen Landesdatenschutzbehörden (siehe oben) für möglich gehalten wird, sieht Dörfler in Österreich übrigens nicht:

 

„Ob das Tracking Tool nun selbstgehostet ist oder in Form einer Auftragsdatenverarbeitung von Dritten bereitgestellt wird, ist dem österreichischen Telekommunikationsgesetz egal. Schließlich ist das Tracking so oder so nicht technisch notwendig.“

 

Interessant in dieser Hinsicht widerrum ist, dass aber sogar die österreichische Datenschutzbehörde auf ihrer Website dsb.gv.at Matomo / Piwik einsetzt ohne eine Einwilligung der User einzuholen:

Matomo / Piwik Cookies auf dsb.gv.at

Google Analytics Opt-In richtig aufsetzen

Nachdem nun klar ist, dass ein Opt-In nach derzeitiger Rechtslage nötig ist (Österreich) oder wohl demnächst nötig sein wird (Deutschland), stellt sich die Frage, wie das Opt-In gestaltet sein muss.

Klar ist, dass ein einfacher „Cookie-Banner“ mit dem reinen Hinweis auf den Einsatz von Cookies und Google Analytics nicht ausreicht. Denn ein „Weiternutzen“ der Website ist eben keine aktive Einwilligung. Daher dürfen auch keine Cookies gesetzt oder Tracking Codes ausgeführt werden, bevor der User durch einen Klick auf den entsprechenden Button aktiv einwilligt.

„Wichtig ist, dass der User die Auswahl hat. Dabei ist eine ‚Drei Button Lösung‘, die es dem User ermöglicht, dem Tracking zuzustimmen, es abzulehnen oder selbst eine Auswahl zu treffen, aus meiner Sicht ausreichend“, sagt Datenschutzanwalt Markus Dörfler.

Beispiel Pop Up: 3 Button-Lösung mit Auflistung gruppiert nach Zweck und einzelnen Diensten

Während der „Ablehnen“-Button alle nicht zwingend notwendigen Cookies und Tracking-Dienste blockiert, und der „Akzeptieren“-Button alle Cookies und Dienste lädt, kann der User über eine individuelle Auswahl selbst entscheiden, einige Dienste zuzulassen. Wichtig ist dabei, dass hier keiner der Dienste vorausgewählt sein darf, damit es ein echtes Opt-In ist.

„Die Auflistung aller Dienste für die individuelle Auswahl muss möglich sein, dabei aber nicht zwangsweise direkt im Pop-up gezeigt werden“, sagt Markus Dörfler.

 

Beispiel Cookie Banner: 3-Button-Lösung ohne direkter Auflistung von Cookies / Tools

Weil man keinen Google Analytics Code laden darf, ohne dass der User seine Zustimmung gegeben hat, empfiehlt es sich aus Sicht des Webseitenbetreibers, die Einwilligung möglichst prominent auf der Webseite darzustellen. Kleine Banner am Rand des Bildschirms werden womöglich vom User komplett ignoriert, sodass dieser überhaupt keine Entscheidung trifft.

Studien zeigen, dass der größte Teil der User ein Einwilligungs-Pop-Up vor allem so schnell wie möglich wegklicken möchten. In einem Experiment, das der deutsche Online Marketeer Olaf Kopp durchführte, klickten nur 3,3 % der User aktiv auf „deaktivieren“. Ein eigenes Experiment von .kloos auf einer Seite mit circa 12K Usern/Monat zeigte ebenfalls, dass sich lediglich 1,8 % aktiv für ein Opt-Out entschieden.

Zur Implementierung empfiehlt es sich, auf gängige vorgefertigte Lösungen zurückzugreifen. Für das gängige CMS WordPress empfehlen wir Plugins wie Borlabs Cookie* oder WP DSGVO Tools*, mit denen sich nicht nur der Google Analytics Code korrekt implementieren lässt, sondern die auch bei der datenschutzkonformen Nutzung von Marketing Tools wie dem Facebook Pixel unterstützen und bei der Formulierung von Datenschutzerklärungen helfen.

Disclaimer: Achtung! Für detaillierte und rechtsichere Informationen zum Thema DSGVO, ePrivacy oder zu allgemeinen datenschutzrechtlichen Fragen sollten Sie einen fachkundigen Rechtsanwalt für Datenschutz aufsuchen. Wir übernehmen keinerlei Haftung für eventuell resultierende Schäden aus der Nutzung bzw. Nichtnutzung der Informationen dieses Blogs. Die mit * gekennzeichneten Links sind Affiliate Links.

Weitere ähnliche Artikel

Alle Artikel
Analytics

Google Remarketing: Datenschutz­konform mit Borlabs Cookie & Tag Manager

Per Remarketing können Nutzern, die schon einmal auf der eigenen Website waren, spezifischere Werbeanzeigen ausgespielt werden.Weil dazu aber Cookies im Browser des Users gesetzt werden, ist es laut DSGVO zwingend notwendig dafür das Einverständnis des Users einzuholen.
Weiterlesen
Analytics

Borlabs Cookie: Google Tag Manager Events richtig tracken

Wer nicht nur den Seitenaufruf trackt, sondern über den Tag Manager etwa auch Events schickt, wird schnell merken, dass das Basic Setup für eine DSGVO datenschutzkonformes Tracking mit Borlabs nicht ausreicht.
Weiterlesen
Analytics
|
SEO Wissen & Tipps

Darf man Google Analytics in Österreich noch einsetzen?

Nach dem Urteil der Datenschutzbehörde im Januar 2022 herrscht wieder einmal große Verunsicherung darüber, ob man Google Analytics noch einsetzen darf? Dabei hat das Urteil gar nicht so viel Neues gebracht...
Weiterlesen