Alle Blogbeiträge

DSK-Beschluss zu Google Analytics | DSGVO-Konformität

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie (ePR) haben Auswirkungen darauf, wie Sie als Website-Betreiber sicherstellen können, dass sie Google Analytics gesetzeskonform verwenden, um Besucher aus der EU zu tracken.

Veröffentlicht am 6. Juli 2020.

Google Analytics ist bei Website-Betreibern ein beliebtes Tool, um Einblick in das Nutzungsverhalten ihrer Website-Besucher zu erhalten.

Die Datenschutzkonferenz (DSK) hat mit ihrem Beschluss vom 12.05.2020 nun klare Mindestanforderungen an die Verwendung von Google Analytics in Deutschland gestellt, um die Konformität mit der DSGVO zu gewährleisten.

In diesem Artikel wollen wir klären, was der DSK-Beschluss im Detail besagt und was Sie als Website-Betreiber nun beachten müssen, sollten Sie sich für Google Analytics als Tool für Ihre Website entscheiden.

Die DSK hat einen Beschluss zu Mindestanforderungen an die Verwendung von Google Analytics veröffentlicht.

DSK-Beschluss zu Google Analytics vom 12. Mai 2020

Laut der Datenschutzkonferenz (DSK) “besteht ein großer Beratungsbedarf hinsichtlich des Einsatzes von Google Analytics”, da das Tool zur statistischen Analyse von Website-Nutzung weitverbreitete Anwendung seitens deutscher Website-Betreiber findet.

Diese Feststellung macht die DSK in ihrem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12. Mai 2020.

Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder “mit der Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten”.

Vor dem Hintergrund der in der EU geltenden Allgemeinen Datenschutz-Grundverordnung (DSGVO) haben die deutschen Datenschutzaufsichtsbehörden im Zusammenschluss eine Neubewertung der Verwendung von Google Analytics vorgenommen. Mit diesem neuen Beschluss werden somit alle älteren Auffassungen, insbesondere vor Inkrafttreten der DSGVO am 25.05.2018, als überholt eingeordnet. 

In dem DSK-Beschluss zum Einsatz von Google Analytics im nicht-öffentlichen Bereich werden datenschutzrechtliche Mindestanforderungen zum Einsatz von Google Analytics aufgestellt, die sich direkt an Website-Betreiber richten und von diesen nach derzeitigem Stand der DSGVO zwingend eingehalten werden müssen.

Der neueste DSK-Beschluss stellt eine Ergänzung zur Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom März 2019 dar und bezieht sich vordergründig auf den Einsatz von Google Analytics bewertet nach geltender DSGVO. 

Im Folgenden möchten wir einen Blick auf die Details des DSK-Beschlusses werfen und Sie darüber informieren, wie Sie die Anforderungen für Ihre Website erfüllen können.

Lesen Sie hier mehr über die DSGVO-Anforderungen an Ihre Website und wie Sie Konformität erreichen.

Sind Sie sich unsicher, welche Cookies und Tracker auf Ihrer Website platziert sind? Probieren Sie den kostenlosen Compliance-Test von Cookiebot aus, um es herauszufinden.

Was sagt der DSK-Beschluss zum Einsatz von Google Analytics nach DSGVO?

In ihrem Beschluss gibt die Datenschutzkonferenz (DSK) nicht-öffentlichen Website-Betreibern Mindestanforderungen zum Einsatz von Google Analytics an die Hand. Zunächst nimmt die DSK eine Einordnung der Datenverarbeitung von Google Analytics‘ in den Rahmen der DSGVO vor.

Zusätzlich werden im DSK-Beschluss Maßnahmen zur Einwilligungspraxis, zur Transparenz und zur Kürzung der IP-Adressen aufgeführt. 

Lesen Sie hier den DSK-Beschluss in voller Länge.

DSK veröffentlicht Beschluss zur Anwendung der DSGVO auf Aktivitäten von Google Analytics
Die DSK veröffentlicht Mindestanforderungen an den Einsatz von Google Analytics im Rahmen der DSGVO in Deutschland.

Zu personenbezogenen Daten

Laut Datenschutz-Grundverordnung (DSGVO) sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person (im Gesetz als “Datensubjekt” bezeichnet) beziehen oder in irgendeiner Weise mit ihr in Verbindung gebracht werden können.

Der DSK-Beschluss bewertet die Art der durch Google Analytics verarbeiteten Daten eindeutig als personenbezogene Daten im Sinne der DSGVO-Definition.

Der Beschluss stellt damit seitens der DSK klar, was in den Google Analytics-Hilfen nur missverständlich bleibt. So heißt es im Beschluss: “Beim Einsatz von Google Analytics werden immer personenbezogene Daten der Nutzer verarbeitet”, eine Schlussfolgerung, die für Website-Betreiber in Deutschland im Umgang mit Google Analytics Klarheit schafft.

Erfahren Sie hier mehr über personenbezogene Daten im Rahmen der DSGVO.

Besuchen Sie auch die offizielle Seite der EU-Kommission zu personenbezogenen Daten.

Zum Verhältnis zwischen Anwender und Google

Die Verantwortung für Datenverarbeitungsprozesse mit Google Analytics wird im DSK-Beschluss geteilt sowohl Google als auch dem Website-Betreiber als Anwender zugeteilt, da Google gemäß DSGVO nicht als Auftragsverarbeiter angesehen werden kann.

Dabei bezieht sich die Datenschutzkonferenz (DSK) auch auf das Urteil des EuGH als Präzedenzfall.

“Unter Berücksichtigung der aktuellen Rechtsprechung des EuGH sind Google und der Google-Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich, sodass die Anforderungen des Art. 26 DS-GVO zu beachten sind.”

Dies bedeutet auch, dass die Datenverarbeitungsvereinbarungen, die viele Website-Betreiber mit Google getroffen haben, als ungültig betrachtet werden, da Google in diesem Fall nicht als Auftragsverarbeiter angesehen werden kann.

Zu dieser Zuteilung der Verantwortung seitens der DSK finden Sie in Art. 26 DSGVO “Gemeinsam Verantwortliche” eine nähere Erläuterung.

Zur Rechtsgrundlage

Der DSK-Beschluss stellt zudem unmissverständlich klar, dass etwaige Vertragsschlüsse zwischen Google und dem Anwender (Website-Betreiber) keine Rechtssicherheit zum Einsatz von Google Analytics geben. 

“Die Datenschutzaufsichtsbehörden weisen ausdrücklich darauf hin, dass es für den rechtmäßigen Einsatz von Google Analytics nicht auf die vertraglichen Vereinbarungen zwischen Google und dem Anwender ankommt. Die Rechtmäßigkeit richtet sich ausschließlich nach dem Gesetz.”

Demnach muss einer rechtmäßigen Verwendung von Google Analytics in Deutschland in der Regel eine wirksame Einwilligung der Website-Nutzer vorausgehen, so besagt es Art. 6 Abs. 1 lit. a) der DSGVO:

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

Lesen Sie hier mehr zu den Anforderungen der DSGVO in der EU.

Zusätzliche Informationen zu europäischen Guidelines zu gültiger Zustimmung finden Sie außerdem hier.

Wirksame Einwilligung

Zur Einhaltung der Mindestanforderungen, die der DSK-Beschluss an den Einsatz von Google Analytics stellt, werden ebenso einige Hinweise und Maßnahmen vorgestellt. 

Die wohl wichtigste ist die Einholung einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der Nutzer, um den Einsatz von Google Analytics und der damit verbundenen Datenverarbeitung DSGVO-konform zu gewährleisten. 

Folgende Anforderungen an die Einholung einer wirksamen Einwilligung stellt der DSK-Beschluss unter Berufung auf die DSGVO dabei fest, wenn die betreffende Website Google Analytics verwendet:

  • Transparent: Mit Einholen der Nutzer-Zustimmung, muss die konkrete Verarbeitungstätigkeit durch Einbindung von Google Analytics und die Datenübermittlung an Google LLC erwähnt werden. Website-Betreiber tragen die Verantwortung ihre Nutzer in den Datenschutzbestimmungen umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics zu informieren.
  • Klar und deutlich: Es muss für den Nutzer verständlich sein, in welcher Form die Datenverarbeitung durch Google erfolgt. Hierbei sind, laut DSK, Hinweise wie z.B.: diese Website verwendet Cookies, um Ihre Surferlebnis zu verbessern “nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden”.
  • Aktiv: Nutzer müssen mit einer aktiven Handlung ihre Zustimmung erteilen, d.h. eine Opt-Out-Methode reicht nicht aus. 
  • Vorherig: Bis zur aktiven Einwilligung durch den Nutzer darf keine Datenerfassung oder -verarbeitung stattfinden oder Elemente von Google Websites im Hintergrund geladen werden.
  • Frei: Der Einwilligung muss eine freie Wahl zugrunde liegen. Nutzer müssen die Zustimmung auch verweigern können, ohne dadurch Nutzungsnachteile auf der Website zu erfahren.

Lesen Sie hier mehr zur aktiven Einwilligung gemäß der DSGVO für korrekten Datenschutz auf Ihrer Website.

Um die Umsetzung der Anforderungen einer wirksamen Einwilligung auf Websites zu erleichtern, gibt der DSK-Beschluss folgende Gestaltungshinweise: 

Klare, nicht irreführende Überschrift, die dem Nutzer die Tragweite der Entscheidung über die Einwilligung zur Datenverarbeitung deutlich macht (z.B.: Datenverarbeitung Ihrer Nutzerdaten durch Google).

Deutliche und unmissverständliche Beschreibung von Links, um zugrundeliegende Inhalte besonders in der Datenschutzerklärung nicht zu verschleiern.

Deutlichmachen des Gegenstandes der Einwilligung, um den Zweck der Verwendung von Google Analytics zur Verarbeitung von Nutzungsdaten transparent zu machen

Uneingeschränkter Zugriff auf das Impressum und die Datenschutzerklärung. 

Zu technischen Anforderungen

An die Umsetzung des Widerrufs der Einwilligung, eine wichtige Anforderung der DSGVO, stellt der DSK-Beschluss ebenso technische Anforderungen. 

Wenn eine Website Google Analytics verwendet, nachdem der Nutzer die aktive Einwilligung wie oben beschrieben dazu gegeben hat, muss, laut DSK, “stets ein einfacher und immer zugänglicher Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein”.

Ebenso muss gewährleistet sein, dass nach Widerruf der Einwilligung, nachdem diese zuvor erteilt worden war, kein Nachladen von Google Analytics-Skripten stattfinden kann.

Der DSK-Beschluss ordnet außerdem das von Google angebotene Add-On zur Deaktivierung von Google Analytics als nicht zulässig im Sinne der DSGVO ein, da nach DSGVO der Widerruf so einfach wie die Erteilung der Einwilligung zu handhaben ist. Ein Umstand der von diesem Add-On nicht gewährleistet wird, da es sich hierbei um ein zusätzlich zu installierendes Programm handelt.

Kürzung der IP-Adresse

Als zusätzliche Maßnahme zum Schutz der Privatsphäre der Nutzer stellt der DSK-Beschluss die Kürzung der IP-Adresse vor, eine Methode, die jedoch nicht zur vollständigen Anonymisierung der Datenverarbeitung führt.

Website-Betreiber, die Google Analytics auf ihrer Website verwenden, werden von der DSK dazu aufgefordert “durch entsprechende Einstellungen die Kürzung der IP-Adressen (zu) veranlassen”.

Dazu muss auf jeder Seite mit Google Analytics-Einbindung der Trackingcode um die Funktion _anonymizeIp() erweitert werden (weitere Details dazu hier).

Die Kürzung der IP-Adresse ist zusätzlich in der Datenschutzerklärung anzugeben.

Eine Kürzung der IP-Adresse entbindet Google Analytics-Anwender (also: Website-Betreiber) aber keinesfalls von ihrer Pflicht die DSGVO-Anforderungen zu beachten.

Wie erreichen Sie DSGVO-Konformität?

Die Consent Management-Plattform von Cookiebot kümmert sich um die Anforderungen zur Einhaltung der DSGVO, die Ihre Website erfüllen muss, wenn Sie Google Analytics verwenden, um eine wirksame Einwilligung Ihrer Nutzer innerhalb der EU einzuholen.

Mit dem Cookie-Banner von Cookiebot implementieren Sie eine einfache Methode zur Einholung der aktiven Zustimmung Ihrer Nutzer, so wie es der DSK-Beschluss in den Mindestanforderungen an die Verwendung von Google Analytics beschreibt.

Zusätzlich sollten Sie darauf achten, dass Ihre Nutzer speziell über die Verwendung von Google Analytics auf Ihrer Website informiert werden, wenn dies der Fall ist.

Dazu muss im Beschreibungstext des Cookie-Banners sowohl die konkrete Verarbeitungstätigkeit durch Einbindung von Google Analytics als auch die Datenübermittlung an Google LLC Erwähnung finden.

Ebenso sollte im Banner-Text darauf hingewiesen werden, in welcher Form die Datenverarbeitung durch Google erfolgt

Den Beschluss zum Einsatz von Google Analytics im nicht-öffentlichen Bereich können Sie im Detail hier nachlesen.

Der Cookie-Banner von Cookiebot ermöglicht Ihnen eine individuelle Anpassung des Banner-Textes für die spezifischen Bedingungen Ihrer Website sowie der DSK-Mindestanforderungen zum Einsatz von Google Analytics.

Lesen Sie hier mehr darüber, wie Sie einen Cookie-Hinweis in Form eines Cookie-Banners auf Ihrer Website implementieren können.

Logo banner powered by Cookiebot by Usercentrics
Die Consent Management-Lösung von Cookiebot bietet mit dem Cookie-Banner die Einhaltung der DSGVO.

Cookiebot –

  • scannt und findet alle Cookies und Tracker, sogar die versteckten Trojaner
  • blockiert automatisch alle, bis der Nutzer eine spezifische, detaillierte Zustimmung erteilt hat
  • dokumentiert und speichert jede erhaltene Zustimmung sicher
  • erneuert die Zustimmung jährlich
  • gewährleistet den einfachen Widerruf einer Zustimmung

Funktionen von Cookiebot ansehen

Preise & Pläne von Cookiebot ansehen

Machen Sie den kostenlosen DSGVO-Konformitätstest von Cookiebot

Testen Sie Cookiebot noch heute kostenlos.

FAQ

Was ist die Datenschutzkonferenz (DSK)?

Die Datenschutzkonferenz (DSK) besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder mit der Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Testen Sie Cookiebot für vollständige Einhaltung der Datenschutzgesetze in Deutschland

Was besagt der DSK-Beschluss?

Die Datenschutzkonferenz (DSK) hat mit ihrem Beschluss vom 12.05.2020 klare Bedingungen an die Verwendung von Google Analytics in Deutschland gestellt, um die Konformität mit der DSGVO zu gewährleisten. In dem DSK-Beschluss zum Einsatz von Google Analytics im nicht-öffentlichen Bereich werden datenschutzrechtliche Mindestanforderungen zum Einsatz von Google Analytics aufgestellt, die sich direkt an Website-Betreiber richten und von diesen nach derzeitigem Stand der DSGVO zwingend eingehalten werden müssen.

Lesen Sie hier mehr über die Anforderungen der DSGVO

Was sind personenbezogene Daten laut DSGVO?

Die DSGVO definiert personenbezogene Daten als jede Art von Information, die sich direkt oder indirekt auf eine lebende Person beziehen kann. Dazu gehören Namen, E-Mail, Telefonnummer, Privatadresse, Personalausweisnummern (Sozialversicherung, Reisepass, Führerschein), Standortdaten, IP-Adressen, Suchverlauf und Browser-Historie. Websites verarbeiten oft eine Form von persönlichen Daten durch die Verwendung von Cookies und Trackern und müssen daher die Zustimmung der Benutzer einholen, bevor sie ihre persönlichen Daten verarbeiten können.

Erfahren Sie mehr über Website-Tracking und Cookies

Warum brauche ich einen Cookie-Hinweis bzw. Cookie-Banner auf meiner Website?

Laut DSGVO ist der Website-Betreiber bzw. -Besitzer für die legale Verarbeitung von personenbezogenen Daten verantwortlich und ebenso für das konforme Einholen der Einwilligung der Nutzer zu verwendeten Cookies. Dazu müssen die Benutzer über deren Art, Zweck, Dauer und Anbieter informiert werden. Ebenso müssen alle Cookies (mit Ausnahme der notwendigen Cookies) blockiert werden, bis die Benutzer ihre klare und positive Zustimmung gegeben haben, deren Aktivierung zuzulassen. Dies kann durch einen Cookie-Hinweis in Form eines Cookie-Banners benutzerfreundlich gewährleistet werden.

Lesen Sie hier mehr über die Implementierung von einem Cookie-Banner.

Ressourcen

Allgemeine Datenschutz-Grundverordnung (DSGVO)

DSK-Beschluss zum Einsatz von Google Analytics vom 12. Mai 2020

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien (März 2019)

EDPB-Guidelines zu gültiger Zustimmung

Mehr zu Google Analytics und der DSGVO

Pressemitteilung des EuGH zum Urteil im Fall Planet49

Mehr zum Fall Planet49

Entscheidung des BGH vom Mai 2020

Mehr zu Cookie-Zustimmung mit Cookiebot

Lesen Sie hier mehr zum Cookie-Banner

    Bleiben Sie auf dem Laufenden

    Werden Sie jetzt Teil unserer wachsenden Community von Datenschutz-Befürwortern. Abonnieren Sie den Cookiebot™-Newsletter und erhalten Sie die neuesten Updates und spannende Informationen direkt in Ihren Posteingang.

    Mit einem Klick auf „Abonnieren“ bestätige ich, dass ich den Cookiebot™-Newsletter abonnieren möchte. Ich kann das Abonnement des Cookiebot™-Newsletters und die Einwilligung in die Verwendung meiner Daten ganz einfach widerrufen, indem ich auf den Abmeldelink klicke. Oder ich kann mich schriftlich an [email protected] wenden, um eine Anfrage zu stellen. Datenschutz­richtlinie.

    Machen Sie noch heute die Nutzung von Cookies und Online-Tracking auf Ihrer Webseite datenschutzkonform

    JETZT KOSTENLOS TESTEN