Nach einer groß angelegten Kontrolle der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) haben über 1.500 Webseitenbetreiber die datenschutzrechtlichen Anforderungen auf ihren Seiten nachgebessert. Insbesondere der nicht datenschutzkonforme Einsatz von Google Analytics musste korrigiert werden. Worauf Unternehmen achten sollten.
30.000 Webseiten in Sachsen auf DSGVO-Verstöße überprüft
Im Mai 2024 hatte die Datenschutzaufsichtsbehörde rund 30.000 Webseiten sächsischer Anbieter überprüft. Bei 2.300 Webseitenbetreibern wurde der rechtswidrige Einsatz von Google Analytics beanstandet. Die Webseitenbesucher hatten zuvor weder in das Setzen von Analytics-Cookies noch in den Aufbau einer Serververbindung zu Google Analytics eingewilligt.
„Durch die automatisierten Webseiten-Scans meiner Behörde konnte nicht nur eine Vielzahl an Datenschutzverstößen ermittelt, sondern inzwischen auch zum überwiegenden Teil beseitigt werden. Auf zwei Dritteln der identifizierten Websites wird nunmehr auf den Einsatz von Google Analytics zur Nachverfolgung des Nutzerverhaltens verzichtet, oder es wird vorher um eine eindeutige Einwilligung gebeten“, sagt Sachsens Datenschutzbeauftragte Juliane Hundert.
In den Beratungsgesprächen der Behörde stellte sich unter anderem heraus, dass häufig eine erhebliche Anzahl von Cookie-Bannern nicht das tat, was die Einstellungen den Nutzerinnen und Nutzern versprachen. Teilweise wurden Dienste ausgeführt und Cookies gesetzt, obwohl die Einstellungen „aus“ signalisierten. Dies sei vielen Verantwortlichen nicht bewusst gewesen.
Einsatz von Google Analytics kein berechtigtes Interesse
Insbesondere beim Einsatz von Google Analytics weist die SDTB darauf hin, dass sowohl nach der DSGVO als auch nach dem Telekommunikations-Digitale-Dienste-Datenschutzgesetz (TDDDG) eine Einwilligung der Webseitenbesucher erforderlich ist.
Denn eine Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DSGVO („Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten“) sei nach Auffassung der Aufsichtsbehörde bei Analysediensten wie Google Analytics stets zugunsten der Nutzer einer Webseite anzunehmen. Eine solche Interessenabwägung falle bei einer personalisierten Webanalyse von Websitebesuchern zu Gunsten des Besuchers aus, da die gezielte und tiefgreifende Verhaltensüberwachung einen starken Eingriff in die Privatsphäre des Websitebesuchers darstelle, so die SDTB.
„Eine dauerhafte und tiefgreifende Beobachtung des individuellen Verhaltens und die Sammlung dieser Daten über eine Vielzahl von Apps und Websites widerspricht den vernünftigen Erwartungen der Webseitenbesucher hinsichtlich des Umfangs der fraglichen Verarbeitung und ihrer Auswirkungen“, erklärt die Aufsichtsbehörde weiter.
Aufgrund dieser überwiegenden Interessen der Webseitenbesucher ist ein Betrieb von Google Analytics auf Grundlage eines berechtigten Interesses des Webseitenbetreibers aus Sicht der Aufsichtsbehörde nicht möglich. Es ist daher eine ausdrückliche Einwilligung erforderlich.
Lese-Tipp: EDSA veröffentlicht Leitlinien zum berechtigten Interesse
Bei Nutzung von Google Analytics immer Einwilligung erforderlich
Dies gilt auch für das Setzen und Auslesen von Cookies und sog. Storage-Objekten nach § 25 TDDSG. Für diese Verarbeitungen sind grundsätzlich eine klare und umfassende Information und eine Einwilligung erforderlich – es sei denn, der Ausnahmetatbestand des § 25 Abs. 2 Nr. 2 TDDSG greift ein. Danach müsste die Speicherung und das Auslesen zwingend erforderlich sein, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich angeforderten digitalen Dienst zur Verfügung stellen kann. „Dies ist bei Google Analytics eindeutig nicht der Fall. Der Dienst ist als zusätzlicher Analysedienst ohne erkennbare Notwendigkeit eindeutig einwilligungsbedürftig“, so die SDTB.
Im Ergebnis muss eine Einwilligung sowohl nach der DSGVO als auch ggf. nach dem TDDSG eingeholt werden. Diese Einwilligungen können bei klarer Benennung der Rechtsgrundlagen und Verarbeitungsvorgänge gekoppelt, also in einem Schritt, eingeholt werden.
Erfolgt dies nicht oder ist der Dienst nicht erforderlich, ist Google Analytics zu deaktivieren und die unzulässig erhobenen Daten zu löschen.
Wird Google Analytics ohne Einwilligung eingesetzt, liegt ein Datenschutzverstoß vor, der von der zuständigen Aufsichtsbehörde mit aufsichtsrechtlichen Maßnahmen bis hin zu einem Bußgeld geahndet werden kann.
Quelle: Mitteilung der Sächsischen Datenschutz- und Transparenzbeauftragten
Sie brauchen eine Beratung für den DSGVO-konformen Einsatz von Google Analytics und die Implementierung von Cookies? Dann nehmen Sie mit uns Kontakt auf:
Fon: +49 (228) 926165-100
E-Mail: info@2b-advice.com