08 – Google-Analytics und ähnliche Dienste

Es geht kein Weg mehr daran vorbei: Wer Funktionen auf seiner Webseite nutzt, die Daten an Dritte und/oder andere Tracking-Mechanismen ausführen, braucht dafür eine eindeutige Einwilligung oder muss diese Funktion deaktivieren. Fast alle deutschen Datenschutzbehörden habe mittlerweile eine Information dazu veröffentlicht. Das EUGH-Urteil von Oktober 2019 hat dies bereits gefordert, vom Bundesgerichtshof wird eine entsprechende deutsche Bestätigung erwartet.

Grundsätzlich bedeutet dies:

Die bisherige Umsetzung gem. TMG mit einer Information (Cookie-Banner), dass die Webseite Cookies oder Trackingcodes nutzt, wird nicht mehr zulässig sein. Webseiten-Besucher müssen beim Besuch einer Webseite alle notwendigen Informationen erhalten, welche Cookies, welche Trackingscodes verwendet werden und müssen entscheiden können, welche sie davon aktzeptieren (Opt-In) und welche nicht. Ohne diese eindeutige Information und eindeutige Zustimmung dürfen solche Funktionen nicht mehr genutzt werden.

Gerade bei Google-Analytics wird dieses deutlich

Google-Analytics wertet die Daten der Webseitenbesucher intensiv aus und „verarbeitet“ diese Daten. Weil dies so umfangreich gemacht wird, haben die Behörden dies auch kritisch im Blick. Rheinland-Pfalz hat sich schon gegen das Tool ausgesprochen, wenn es nicht datenschutzkonform betrieben wird. Denn es gibt definierte Regeln für die Einrichtung und Nutzung von Google-Analytics, die vor der Nutzung einzurichten sind. Nun kommt zusätzlich die informierte Einwilligung, ohne die der Einsatz nicht möglich ist. Hier gilt es sehr sorgfälltig zu prüfen, ob alle Regeln eingehalten sind und ob die Einwilligung rechtsgültig ist.

Google hat noch ein Problem

Google wird vorgeworfen, das „abschneiden“ der IP und die tatsächliche Nutzung der Daten nicht konsequent umzusetzen. Sollte dies stimmen, dann wäre die Verantwortliche Stelle gut beraten, solch einen Dienst nicht einzusetzen. Verantwortliche sind gefordert, nur solche Systeme und Anwendungen einzusetzen, die „datenschutzfreundlich“ sind. Dies heißt im Umkehrschluss, dass der Einsatz von Google-Analytics, im Fall eines Nachweises des Mißbrauchs, nicht eingesetzt werden darf.

Technisch notwendig

Ganz klar geregelt ist, dass Sie für Cookies keine Einwilligung benötigen, wenn sie technisch notwendig sind, z.B. bei

  • Cookies, die das Login verwalten
  • Cookies, die aus Warenkörben entstehen
  • Cookies, die die Sprachsteuerung (Länderauswahl) steuern
  • Cookies, die die Einwilligung verwalten (Consent-Tools z.B.)

Was können wir Empfehlen

Prüfen Sie doch, ob Sie Analysen nicht auch über eigene Systeme mit mit definitiv gekürzten IPs betreiben können. Wenn hier die rechtlichen Rahmenbedingungen gegeben sind, brauchen Sie „nur noch“ die Abmeldeoption (Opt-Out) umsetzen. Dem Einsatz von Google-Anayltics stehen wir sehr kritisch gegenüber.

Passen Sie auf jeden Fall die Datenschutzerklärung Ihrem System und der Einrichtung an.

Prüfen sie auf jeden Fall im gesamten Content Ihrer Webseite, ob alles Scripte oder fremdgeladenen Komponenten, vor der Ausführung geblockt sind und erst nach der Einwilligung durch den Nutzer, aktiviert werden. Außerdem ist ggf. ein AV-Vertrag abzuschließen.

Wie können wir helfen?

Wir haben einen Rahmenvertrag mit einem Cookie-Bot-Dienstleister geschlossen, über den wir den Einwilligungsdienst nutzen können. Wenn Sie also kein eigenes System etablieren wollen, so können wir ihnen hier eine einfache Abwicklung anbieten. Bitte sprechen Sie uns an, wenn Sie Bedarf daran haben.

Aktueller Stand: 11.03.2020

 

Links:

LDI NRW zu Google Analytics und ähnlichen Diensten

LDI Rheinland-Pfalz