Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Analytics nur zulässig nach Einwilligung gemäß Art. 49 DSGVO?

7

Google Analytics ist aus verschiedenen Gründen einwilligungspflichtig. Die österreichische Aufsichtsbehörde stellte fest, dass eine Einwilligung aufgrund des Drittlandtransfers notwendig ist.

Update: Nach Erstellen dieses Artikels stellte die französische Aufsichtsbehörde CNIL fest: Google Analytics kann nach deren Meinung gar nicht rechtskonform genutzt werden. Lesen Sie hierzu mehr.

Die Datenschutzbehörde der Republik Österreich stellte fest, dass bei der Einbettung von Google Analytics in einer Webseite personenbezogene Daten in die USA übertragen werden.

Google selbst hatte im Rahmen der Untersuchung durch die Österreicher zugegeben:

Google Analytics verarbeitet sämtliche Analytics-Daten immer in den USA.

Quelle: Google’s Aussage.

Aus diesem Grund ist laut der Aufsichtsbehörde eine Einwilligung gemäß Art. 49 DSGVO erforderlich.

Ich sage, dass zusätzlich eine Einwilligung erforderlich ist, wenn Google (Universal) Analytics mit Cookies eingesetzt werden. Da die Standardauslieferung von Analytics immer Cookies nutzt, dürfte dieser Fall für fast alle Webseiten, die Google Analytics nutzen, relevant sein. Die Einwilligungsvorschrift ergibt sich aus § 25 TTDSG sowie der Tatsache, dass die Analytics Cookies technisch nicht notwendig sind. Letzteres kann leicht gezeigt werden: Google Analytics kann durch Standardkonfiguration ohne Cookies verwendet werden. Alleine schon aufgrund der Fingerprint-Daten, die Google Analytics verarbeitet, wäre eine Einwilligung aus dem TTDSG begründbar. Diese Fingerabdrucksdaten enthalten nämlich auch Werte, die aus dem Endgerät des Nutzers explizit ausgelesen werden müssen.

Außerdem verarbeitet Google zahlreiche Daten zusätzlich zur IP-Adresse, die als personenbeziehbar und somit personenbezogen angesehen werden können. Auch daraus könnte eine (zusätzliche) Einwilligungspflicht gemäß Art. 6 DSGVO abgeleitet werden.

Das Dokument der Datenschutzbehörde der Republik ist hier zu finden:

Eine Einwilligung gemäß Art. 49 Abs. 1 a DSGVO bedeutet (Fettdruck von mir):

.. die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde

Art. 49 Abs. 1 a DSGVO

Als mögliche Risiken fallen mir der § 702 FISA und die EO 12333 (Executive Order) ein, die auch die Aufsichtsbehörde in ihrem Teilbescheid benennt. Der EuGH griff diese Rechtsvorschriften in seinem Schrems II-Urteil auf. Außerdem fällt mir der Cloud Act als weiteres amerikanisches Rechtsinstrument ein, welches der DSGVO zuwider läuft.

Die meisten Webseiten nutzen Google Analytics, ohne einen wesentlichen Nutzen davon zu haben.

Zusätzlich dazu entstehen erhebliche rechtliche Risiken.

Bisher konnte ich noch keine Einwilligungsabfrage sehen, die Risiken wegen des Datentransfers in die USA ausreichend benennt. Immerhin müssen die in Art. 49 genannten Risiken vor Erteilung einer Einwilligung mitgeteilt werden. Das bedeutet, diese Risiken dürfen nicht auf eine zweite Ebene eines sogenannten Cookie Popups verschoben werden, sondern müssen direkt auf der ersten Ebene der Einwilligungsabfrage und direkt ersichtlich angegeben werden. Ein bloßer Verweis auf Datenschutzhinweise genügt dem sicher auch nicht. Die Aufgabe eines Nutzers besteht nicht darin, ein Literaturstudium zu absolvieren, bevor der Nutzer in der Lage ist, die Risiken einer Einwilligung absehen zu können.

Wenn meine Beobachtung zutrifft, sind alle mir begegneten Einwilligungsabfragen für Google Analytics rechtswidrig und somit wohl nichtig. Sofern Sie eine Consent Abfrage kennen, die in die Nähe von rechtskonform gehen könnte, schreiben Sie mir doch. Ich behandle Ihre Nachricht vertraulich.

Eine Einwilligung für Google Analytics müsste also im für den Verantwortlichen schlechtesten Fall folgende Rechtsvorschriften beachten:

  • § 25 TTDSG: Einwilligung für Cookies
  • Art. 49 DSGVO: Einwilligung für Datentransfer in die USA
  • Art. 6 DSGVO: Einwilligung aufgrund der extensiven Erfassung von Daten, die als personenbezogen angesehen werden können

Die meisten Webseiten nutzen Google Analytics nach meiner Erfahrung aus folgenden Gründen:

  • Alle machen es so
  • Die Agentur hat es empfohlen
  • Fehlendes Wissen, dass es auch andere Möglichkeiten gibt

Wer in eine dieser Kategorien fällt, sollte darüber nachdenken, Google Analytics durch Matomo zu ersetzen. Matomo kann sogar einwilligungsfrei verwendet werden. Eine andere Möglichkeit ist Trackboxx, ein Produkt eines deutschen Anbieters. Trackboxx ist nach meinem Eindruck einfacher nutzbar als Matomo.

Eine weitere Motivation, Google Analytics abzulösen, ist die Gefahr von Hackerangriffen. Weil das Tool so weit verbreitet ist, können Hacker es nutzen, um Daten unbemerkt aus Webseiten auszuschleusen, die zuvor mit Schadcode versehen wurden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. D.

    Wobei Art. 49 DSGVO “Ausnahmen für bestimmte Fälle” vorbehalten sein soll. Die mutigen Ansichten aus der Fachwelt argumentieren, dass man auch “Mainstream” mit solchen Einwilligungen abdecken kann. Dagegen sind die Puristen der Meinung, dass die Einwilligung nur bei nachvollziehbaren Einzelfällen /speziellen Situationen möglich ist und man sie nicht pauschal abverlangen darf.

    Also… “Hallo, lieber Besucher. Du hast eine Seite angefordert, die wir allen anderen Besuchern darstellen können, ohne Daten in die USA zu übermitteln. Aber weil du einen außergewöhnlichen Browser hast, geht es nicht anders. Deshalb würden wir dich gern um deine Einwilligung bitten, deine IP-Adresse an Google übermitteln zu dürfen, damit die eine spezielle Schrift angezeigt werden kann, mit der du unseren Inhalt lesen kannst. Damit ist das Risiko verbunden, dass Google deine Daten in die USA als Drittland überträgt bzw. dass Google von Behörden aufgefordert werden kann, deine Daten zu offenbaren. Leider sind in diesem Fall keine geeigneten Garantien wirksam, die ein mit der EU vergleichbares Datenschutzniveau bieten würden. Außerdem wären dort die Möglichkeiten eingeschränkt, deine Rechte durchzusetzen. Diese freiwillige Einwilligung kannst du jederzeit und ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen. Ohne Einwilligung wird die Seite ohne Google Fonts übertragen, so dass es zu Abweichungen bei der Lesbarkeit bzw. Nutzbarkeit kommen kann.”

    • Dr. DSGVO

      Vielen Dank für diese ausführliche und konkrete Rückmeldung.

      Bei Google Fonts würde eine Einwilligungsabfrage wenig Sinn ergeben, weil die Webseite ohne Einwilligung hässlich aussehen würde.

      Zumindest habe ich noch keine Einwilligungsabfrage gesehen, die einen wie eben genannten Text auf der ersten Ebene bereitstellt. In seltenen Fällen gab es mal eine kurze Nennung der Risiken, die aber m. E. nicht ausreichend waren.

      Bei Google Analytics müsste die Info zu den Risiken m.E. noch erheblich weit reichender sein, weil dieser Dienst auch andere personenbeziehbare Daten erfasst.

      Zudem müsste in der Risikobeschreibung, selbst zu Google Fonts, noch weiteres ausgeführt werden, nämlich, wenn es weitere kritische Zielländer als die USA gibt. Google unterhält weltweit Rechenzentren und Unterauftragsverarbeiter. Einige dieser Länder sind möglicherweise ebenso DSGVO-kritisch wie die USA.

  2. Dan

    Lieber Herr Meffert,
    herzlichen Dank für den sehr lesenswerten und interessanten Blog!
    Ich gehe davon aus, dass sich deutsche Gerichte oder letztendlich der EuGH der österreichischen Entscheidung anschliessen wird. Solange haben alle GA Nutzer noch eine Galgenfrist. Wahrscheinlich bis zum Sommer, wenn überhaupt. Ist aber nur meine eigene, bescheidene Meinung.
    Falls tatsächlich zusätzlich entschieden werden sollte, dass Art. 49 nur in Ausnahmen anzuwenden ist und nicht als Persilschein gelten darf, wird das Chaos bei den meisten Firmen (die wie immer keinen Plan B in der Schublade haben) komplett.
    Gut, in so einer Situation kein Marketing-Mensch zu sein 😉

  3. Anonymous

    Hat die Datenschutzbehörde wirklich gesagt, dass eine Einwilligung erforderlich (und damit ausreichend?) ist? Ich habe das Dokument bislang nur überflogen, aber m.E. hat die Behörde nur festgestellt, dass (auch) keine Einwilligung vorliegt.

    Mein Kenntnisstand deckt sich mit des Verfassers des obigen Kommentars: Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO nur in Ausnahmefällen, nicht im “Massengeschäft”.

    • Dr. DSGVO

      Die Behörde stellte fest, dass keine Einwilligung gemäß Art. 49 DSGVO erteilt wurde und auch, dass keine der sonstigen, dort genannten Tatbestände erfüllt ist. Praktisch bleibt wohl nur die Einwilligung aus diesem Artikel als Möglichkeit.

      Zur Einwilligung nur in Ausnahmen: Es geht nicht direkt aus Art. 49 DSGVO hervor, dass eine Einwilligung nur ausnahmsweise erfolgen darf. Bitte lesen Sie den Art. 49 DSGVO einmal genau und geben Sie mir bitte eine Rückmeldung.

  4. D.

    Die Sperre für massenhafte Einwilligung ergibt sich nicht eindeutig im Text von Art. 49 Abs. 1 S. 1 (wo u. a. die Einwilligung als mögliche Erlaubnis aufgeführt ist), aber in der Überschrift: “Ausnahmen für bestimmte Fälle /Derogations for specific situations”; und in S. 2 wo “Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz” erkennen lassen, dass alles in S. 1 (auch Einwilligungen) als Ausnahmeregelung zu verstehen ist. Erwägungsgrund 111 formuliert die Einwiligung evtl. als eigenständige Erlaubnis (soweit die Bedingungen für Einwilligungen aus Art. 7 wie hinreichende Information und Entscheidungsfreiheit erfüllt wären, und das sind sie normalerweise nicht).

    Die nicht wiederholten und anzahlmäßig begrenzten Übermittlungen gelten nur für berechtigte Interessen nachg S. 2 (auch ‘Erwägungsgrund 113).

    Die immer zu beachtende Durchsetzbarkeit von Rechten würde im Fall der USA aber auch bei Einwilligung erschwert bis unmöglich sein (Erwägungsgrund 114). Google (und alle anderen) müsste sich sehr anstrengen, das praktisch auszugleichen.

    • Dr. DSGVO

      Die Überschrift des Artikels ist nach meinem Wissen NICHT Bestandteil des relevanten Gesetzestextes.

      Der genannte Absatz 2 bezieht sich auf die Fälle in den Buchstaben a bis g. Auch hieraus kann m.E. keine Einschränkung auf wenige Fälle abgeleitet werden.

      Der ErwG 113 scheint nicht relevant zu sein, denn er schränkt bereits am Anfang ein auf: “Übermittlungen, die als nicht wiederholt erfolgend gelten können …”

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Webseite der Tagesschau: Gilt das TTDSG nicht für den öffentlich-rechtlichen Bereich?