Über die Autoren

Stefan Evertz M.Sc.
Geschäftsführer
Gesellschafter
Frame for Business GmbH
Marketing Experte & Geschäftsführer der Frame for Business GmbH
Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei RAe Dr. Schultheiß
Stefan Evertz M.Sc.
Geschäftsführer
Frame for Business GmbH
Florian Decker
Angestellter Rechtsanwalt
Kanzlei RAe Dr. Schultheiß

 

Google Analytics ist schon lange ein Dorn im Auge der Aufsichtsbehörden. Erst im Mai letzten Jahres legte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder einen Beschluss mit dem Titel „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ vor. Da bei der Nutzung von Google-Analytics Daten in die USA übermittelt werden, wurde die Nutzung durch das EuGH-Urteil vom 16.07.2020 – Az.  C‑311/18 „Schrems II“, datenschutzrechtlich nun sogar noch etwas komplexer.

Grundsätzlich empfehlen wir unseren Kunden einen europäischen Anbieter, im besten Fall, ohne den Einsatz von Cookies zu nutzen (z.B. etracker). Allerdings haben wir auch viele Kunden, die nicht auf den Einsatz von Google Analytics verzichten wollen oder können. Daher haben wir alle wichtigen Punkte nachfolgend zusammengefasst. Bitte beachten Sie, dass zu diesem Vorgehen noch keine Rechtsprechung vorliegt.

Wir bilden die Einwilligung nachfolgend mittels des Consent-Tools Borlabs ab. Das Vorgehen kann selbstverständlich auch auf andere Consent-Tools übertragen werden. Die Formulierungen müssen jedoch ggf. auf Grund von Zeichenbeschränkungen etc. angepasst werden.

Grundsätzliches

In der nachfolgenden Betrachtung und Handlungsempfehlung gehen wir auch auf den oben genannten Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 12.05.2020 ein, der eine Ergänzung der Orientierungshilfe für Anbieter von Telemedien darstellt. Der Beschluss ist natürlich im Lichte des EuGH, Urteil vom 16.07.2020 l Schrems II zu ergänzen, sodass wir die Vorgaben entsprechend um die, durch das EuGH-Urteil neu hinzugekommenen Pflichten erweitert haben.

1. Informierte Einwilligung der Nutzer

Die Rechtsgrundlage hierfür bildet auf Grund des EuGH-Urteils Schrems II nun die Ausnahmeregelung des Art. 6 Abs. 1 S. 1 lit. a i.V.m. Art. 49 Abs. 1 S. 2 lit. a DSGVO. Hierzu haben wir das Consent-Tool entsprechend angepasst (Hier finden Sie unseren Blog-Artikel zur Anpassung der Standard-Einstellungen – diese von uns modifizierten Einstellungen sind notwendig).

Die Einwilligung in die konkrete Verarbeitungstätigkeit wird dadurch gewährleistet, dass Google Analytics im Einwilligungstext explizit innerhalb des Consent-Tools genannt wird und mittels Anker-Link direkt zu der jeweiligen Stelle der Datenschutzerklärung verlinkt wird, in dem eine notwendige, ausführliche Beschreibung erfolgt. Wichtig ist hierbei, dass die Datenschutzerklärung nicht durch das Consent-Tool verdeckt wird.

Es muss laut DSK klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, bestimmte Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt bzw. mit anderen Daten wie eventueller Google-Accounts verknüpft. Dies decken wir mit einer entsprechenden Formulierung in der Datenschutzerklärung ab. Außerdem wird eine ausführliche Beschreibung unter dem Punkt Google Analytics eingefügt, welcher unter den „Individuellen Datenschutzeinstellungen“ zu finden ist. Nachfolgend ein Ausschnitt:

Um diesen Bereich bearbeiten zu können, rufen Sie innerhalb des Plug-Ins Borlabs den Menüpunkt Cookies auf und fügen Sie (falls noch nicht geschehen) Google Analytics unter der Kategorie Statistiken hinzu:

So sehen die Standardeinstellungen aus:

Diese Punkte müssen nun modifiziert werden. Den gesamten Text für den Punkt Zweck erhalten Sie als unser Kunde direkt im HTML-Format. Das ist notwendig, da Borlabs nicht automatisiert Links setzt:

2. Freiwillige und aktive Einwilligung

Die Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein (setzen Sie in keinem Fall vorausgewählte Häkchen). Freiwillig ist die Einwilligung nur, wenn die betroffene Person freie Wahlmöglichkeiten hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden.

3. Keine Datenerhebung vor Einwilligung

Sie müssen innerhalb der Einstellungen Ihres Consent-Tools sicherstellen, dass vor einer aktiven Einwilligung des Nutzers keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden.

4. Klare, nicht irreführende Überschrift

Bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich laut DRK Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“. Wir setzen dies so um, dass wir als Überschrift innerhalb des Consent-Tools „Cookie-Einstellungen und Datenübertragung in Drittländer“ verwenden sowie bei dem Namen innerhalb der Dateiansicht nochmals den Zusatz „Datenverarbeitung Ihrer Nutzerdaten durch Google“ hinzufügen:

5. Zugriff auf das Impressum / die Datenschutzerklärung

Der Zugriff auf das Impressum und die Datenschutzerklärung darf durch das Consent-Tool nicht verhindert oder eingeschränkt werden. Dies unterscheidet sich von Consent-Tool zu Consent-Tool. Bei Borlabs setzen Sie dies um, indem Sie im Menüpunkt „Cookie Box“ unter den Punkten „Datenschutzseite“ sowie „Impressumsseite“ die Unterseiten angeben, auf denen sich Ihre Datenschutzerklärung sowie das Impressum befinden oder alternativ die URL. Die URL der Unterseiten müssen Sie zusätzlich in dem Feld „Cookie Box ausblenden auf der Seite“ eingeben und danach auf „Alle Einstellungen speichern“ klicken.

6. Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung

Es muss ein einfacher und immer zugänglicher Mechanismus zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein. Einen entsprechenden Button zum Widerruf oder Änderung der Einwilligung empfehlen wir sowohl in der Datenschutzerklärung als auch im Footer zu platzieren. Nutzen Sie Borlabs können Sie folgenden HTML-Code in Ihren Footer sowie in Ihre Datenschutzerklärung einsetzen:

[borlabs-cookie type="btn-cookie-preference" title=Widerruf/Änderung Cookie-Einwilligung"/]

Das Ergebnis sieht wie folgt aus:

Hatte ein Nutzer einmal seine Einwilligung erteilt und widerruft er sie zu einem späteren Zeitpunkt, so ist sicherzustellen, dass nach dem Widerruf das Google-Analytics-Skript nicht nachgeladen oder ausgeführt wird.

7. Kürzung der IP-Adresse

Zusätzlich zu den o.g. Maßnahmen sollte die Kürzung der IP-Adressen erfolgen mit Ergänzung des Trackingcodes um die Funktion  _anonymizeIp(). In der Datenschutzerklärung ist der Umstand, ob die Kürzung der IP-Adressen veranlasst ist, entsprechend anzugeben.

8. Gemeinsame datenschutzrechtliche Verantwortlichkeit

Zudem ist beim Einsatz von Google Analytics zu beachten, dass die DSK erklärt hat, dass man von einer gemeinsamen Verantwortlichkeit des Websitebetreibers und Googles für die hier verarbeiteten Daten ausgeht, was es notwendig machen würde, dass zwischen Webseitenbetreiber und Google ein Vertrag im Sinne von Art. 26 DSGVO geschlossen werden muss. Hierzu müssen Sie im Backend von Google Analytics unter dem Punkt „Kontoeinstellungen“ den Google Measurement Controller-Controller Data Protection Terms zustimmen.

9. Allgemeine Ausgestaltung des Consent-Tools

Hierzu verweisen wir insbesondere auf unsere Blog-Beiträge „Consent-Tool Borlabs rechtskonform als Cookie-Banner verwenden“ sowie „Consent-Tools rechtskonform einsetzen“.