Einsatz von Google Analytics

Warum Google Analytics?

Das ist eine gute Frage. Viele meiner Datenschutzkollegen betrachten die Fragestellung aber auch anders: Warum nicht Google Analytics!

Die meisten Landesdatenschutzbehörden haben jetzt, zumindest dem Sinn nach, gleiche Pressemeldungen herausgegeben, in denen sie den Einsatz von Google Analytics ohne aktive Einwilligung des Nutzers als nicht DS-GVO konform ansehen. So z.B. das bayerische Landesamt für Datenschutzaufsicht.

Nun stellen viele Datenschützer und andere Webseitenbetreiber diese Aussagen in Frage, so z.B. der Datenschutz-Ticker von wirtschaftswissen.de.

Es wird immer wieder auf ein berechtigtes Interesse beim Einsatz von Google Analytics eingegangen, welches mit der Optimierung von Google Adwords-Kampagnen und dem finanziellen Interesse des Unternehmens begründet wird. Dem Grundsatz nach, hat das Unternehmen sicherlich ein berechtigtes Interesse, die Kosten für Werbeanzeigen zu optimieren und dies auch durch ein Analysetool fundiert zu beurteilen. Allerdings ist hier der Einsatz von Google Analytics nicht zwingend notwendig. Im Erwägungsgrund 39 zur DS-GVO  Satz 9 finden wir z.B. die Anforderung, dass eine Verarbeitung von personenbezogenen Daten nur dann erfolgen darf, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Hieraus kann man schlussfolgern, dass ein milderes Mittel anzuwenden ist, um personenbezogene Daten zu verarbeiten, wenn dies zumutbar ist. Nun gibt es verschiedene Anbieter von Analyse- und Trackingsoftware. Neben Google Analytics, gibt es z.B. Adobe Analytics, aber auch matomo. Bei matomo handelt es sich, wenn richtig eingesetzt, um eine persönliche Installation, bei der die Trackingsoftware auf dem Server des Webseitenbetreibers installiert ist, und somit kein Webseitenübergreifendes Tracking möglich ist. Deshalb stelle ich die Frage: Warum Google Analytics? Die Antwort lautet nicht: Weil ich ein berechtigtes Interesse habe.

Neben dem Vorliegen einer Rechtsgrundlage nach Artikel 6 DS-GVO und eines Zwecks gelten für die Verarbeitung von personenbezogenen Daten auch immer die Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 DS-GVO. Dieser spricht z.B. in Art. 5 Abs. 1 lit. e davon, dass die personenbezogenen Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die (legitimien) Zwecke, für die sie verarbeitet werden, erforderlich ist; Also haben wir hier einen Hinweis auf die Erforderlichkeit, für den Zweck, meine Werbeanzeigen zu optimieren, ist aber nicht erforderlich, dass meine Daten für 2 Jahre gespeichert werden, wie z.B. in einem Google Analytics Cookie (_ga). Dies ist nur erforderlich, wenn ich darüber hinaus das Benutzerverhalten über mehrere Webseiten hinweg tracken will und eventuell mit den Erkenntnissen aus diesen Daten das weitere Verhalten des Nutzers beeinflussen will.

Jedes Unternehmen, welches für das Tracking von Webseitenbenutzern als Zweck die Optimierung von Anzeigenschaltungen angibt, muss sich nach der Validität fragen lassen. Ich stelle mal fest, dass in den meisten Fällen, das Erhöhen der Conversion Rate der eigentliche Zweck ist. Und ob hier die Eindeutigkeit nach Art. 5 Abs. 1 lit. b DS-GVO gegeben ist, bleibt dadurch fraglich. Auch nach Art. 5 Abs. 1 lit. a DS-GVO scheint die Transparenz der Verarbeitung durch Google Analytics nicht wirklich erfüllbar zu sein. Wenn wir von der technischen Seite aus gesehen, die IP-Anonymisierung herannehmen, so wissen wir, dass hier durch das wegnehmen von IP-Adressen-Teilen eine Anonymisierung von IP-Adressen erreicht werden soll. Dies scheint auch beim Blick in die Oberfläche und die Analysetools bei Google so zu sein. Nur ist rein technisch eine IP-Anonymisierung gar nicht möglich. Google Analytics setzt zum Tracken eine asynchrone Javascripttechnologie ein. Hierbei muss die IP-Adresse an Google übermittelt werden, sonst könnte Google keine Antwort senden. Nun behaupte ich, dass Google diese IP-Adresse auch vollständig speichert, so wie dies die allermeisten Webserver auch tun. Meist wird hier das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage angeführt, was wohl auch legitim erscheint. Die Frage ist nun aber, wo genau die IP-Anonymisierung statt findet, oder ob sie überhaupt statt findet. Sie kann ja auch lediglich in der Anzeige im Analysetool gekürzt werden. Das bedeutet: Egal wie ich Google Analytics konfiguriere, anonymisierte IP-Adressen wird es nicht geben.

Weiterhin ist zu betrachten, dass das webseiten- oder geräteübergreifende Tracking nach Auffassung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg einer umfangreichen oder systematischen Überwachung gleichzusetzen ist. Dieser Einschätzung kann man folgen, wenn man bedenkt, wie durchschaubar man dadurch wird.

Warum Google Analytics? Diese Frage will ich erneut aufnehmen. Der Datenschutz betrifft bei Google Analytics nicht die Verarbeitung und die Erkenntnisse, die das Unternehmen oder der Webseitenbetreiber daraus ziehen. Hier wäre nach dem Grundsatz Artikel 5 Abs. 1 lit. a DS-GVO Treu und Glauben sicherlich darzustellen, dass der verantwortungsbewusste Betreiber diese Daten auch nur für die vorgesehenen Zwecke, transparent und rechtmäßig verarbeitet. Der Datenschutz betrifft die Möglichkeiten, die Google daraus entstehen. Und es ist sicherlich berechtigt, hier die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 DS-GVO durch Google anzuzweifeln.

Warum wird so viel argumentiert? Nun zum Einen sicherlich, weil viele Datenschutzbeauftragte hier den Aufwand für eine rechtskonforme Anpassung scheuen, und ihren Kunden Kosten sparen möchten. Dies ist verständlich. Allerdings erweisen sie durch solche, gebetsmühlenartig wiederholenden Verweise auf das berechtigte Interesse sich und dem Datenschutz einen Bärendienst. Es sind oft das fehlende technische Hintergrundwissen, das solche Aussagen befeuert, nicht wissend, dass dadurch die Intention der Datenschutz-Grundverordnung ausgehebelt wird. Es geht nicht darum, dass ein Unternehmen seine Webseite analysiert und dabei ein Trackingtool einsetz, mit dem auch der Erfolg seiner Online-Marketing Kampagnen ausgewertet werden kann. Es geht darum, einem Konzern nicht alle Bewegungsdaten unserer Onlineidendität zu überlassen. Wir können nicht auf der einen Seite die Vorratsdatenspeicherung kritisieren und gleichzeitig für den Einsatz von Google Analytics das berechtigte Interesse anführen. Wir können uns nicht dagegen auflehnen, dass das Bundesgesundheitsministerium medizinische Daten sammeln und anonymisiert weitergeben will, wenn wir gleichzeitig Google erlauben, sich auf jeder Webseite ein Bild davon zu machen, was uns interessiert. Man kann davon ausgehen, dass Google genau weiß, welche Krankheiten man hat, welche persönlichen Neigungen, Herkunft, religiöse Überzeugung etc. ein Mensch hat. Denn Google kann die Daten einer jeden Webseite, die Google Analytics einsetzt, wissentlich oder nicht, zusammenführen. Und dadurch erkennen, wer wir sind.

Zusammenfassend appelliere ich an alle Datenschützer: Verharmlosung von Google Analytics ist der Tod der Datenschutz-Grundverordnung, der wir uns alle verpflichtet haben. Aus rein wirtschaftlichen Aspekten weiterhin auf Alternativen zu verzichten, ist meiner Ansicht nach grob fahrlässig, auch unseren Kunden gegenüber.

Ein Nachtrag vom 21.11.2019: Ich habe gerade das Webinar von Kristine Benedikt, Leiterin des Referats 3 beim Bayerischen Landesamt für Datenschutzaufsicht gesehen. Sie hat eine sehr interessante Position zur Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO bezüglich des Einsatzes von Tracking-Tools dargestellt. Die Interessenabwägung ist in 3 Stufen auszuführen:

  1. Vorliegen eines berechtigten Interesses
  2. Erforderlichkeit
  3. Abwägung im Einzelfall

Nach ihrer Auffassung, die ich teile, wird der Einsatz von Google Analytics bereits an Punkt 2 scheitern, da es meistens nicht erforderlich ist, ein so starkes Tool einzusetzen. Vielmehr ist hier ein milderes Mittel zu verwenden, z.B. matomo. Der Beitrag, den ich persönlich sehr erhellend in Bezug auf die ePrivacy Verordnung fand kann hier nochmals aufgerufen werden.

 










Fragen und Antworten

zu aktuellen datenschutzrechtlichen Fragen.
neu

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

2 Gedanken zu “Einsatz von Google Analytics”