Sie nutzen Google Analytics? Dann müssen Sie als Webseitenbetreiber ab sofort ein Joint Controller Agreement abschließen! Was genau das bedeutet und warum das überhaupt nötig ist, erklären wir hier.
Der Hintergrund:
Am 12. Mai 2020 veröffentlichte die Deutsche Datenschutzkonferenz (DSK) Hinweise zum Einsatz von Google Analytics als Ergänzung Ihrer Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien.
Das wichtigste Outcome: Google Analytics darf ab sofort nur noch mit Joint Controller Agreement eingesetzt werden!
Die wichtigsten Hinweise der DSK im Überblick
Die Definition von “personenbezogenen Daten”
Die DSK weist nochmals darauf hin, dass es sich bei den mit Google Analytics verarbeiteten Daten um personenbezogene Daten i.S.d. DSGVO handelt.
In den Google Analytics-Hilfen erläutert Google, dass Nutzungsdaten keine „personenidentifizierbaren Informationen“ seien.
Nach Ansicht der DSK steht diese Auffassung jedoch nicht nur im Widerspruch zur Definition des Begriffs „personenbezogene Daten“ in Art. 4 Nr. 1 der DSGVO, sondern ist zudem missverständlich, da Google im Weiteren Folgendes ausführt:
„Bitte beachten Sie, dass Daten, die Google nicht als personenidentifizierbare Informationen einstuft, im Rahmen der DSGVO als personenbezogene Daten gelten können.
Alle Details zum Joint Controller Agreement
Joint Controller Agreement
Nach Art. 4 Nr. 7, Art. 28 Abs. 10 DSGVO hat der Verantwortliche die Zwecke und Mittel der Verarbeitung selbst zu bestimmen, der Auftragsverarbeiter darf die Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten. In diesem Fall läge eine Verarbeitung im Sinne von Art. 28 DSGVO vor.
Bei dem Einsatz von Google Analytics bestimmt der Website-Betreiber allerdings nicht allein über die Zwecke und Mittel der Datenverarbeitung. Diese werden vielmehr zum Teil ausschließlich von Google vorgegeben.
Google stellt in den Nutzungsbedingungen klar, dass Google die Daten für eigene Zwecke, insbesondere auch zum Zweck der Bereitstellung seines Webanalyse- und Trackingdienstes, verarbeite. Daten werden mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend durch Google ausgewertet.
Zwar bietet Google weiterhin einen Vertrag zur Auftragsverarbeitung an, stellt aber zusätzlich in den „Google Measurement Controller-Controller Data Protection Terms“ klar, dass für bestimmte Verarbeitungsprozesse Google und der Anwender (Website-Betreiber) getrennt verantwortlich seien.
*Die Ausführungen gelten für den Fall, dass der Anwender von Google-Analytics die von Google derzeit empfohlenen Standardeinstellungen nutzt.
Der Leitfaden zum Abschluss des Joint Controller Agreement mit Google
⇨ Der Verantwortliche muss den Google Measurement Controller-Controller Data Protection Terms“ explizit zustimmen.
Bitte führen Sie dafür folgende Schritte durch:
- Loggen Sie sich in Ihrem Google Analytics Account ein.
- Wählen Sie in der Rubrik Verwaltung die Kontoeinstellungen aus.
- In den Einstellungen für die Datenfreigabe befindet sich unter „Google-Produkte und -Dienste“ ein Kästchen mit den zusätzlichen Bedingungen für die Daten, die für Google freigegeben werden.
- Dort befinden sich die Google Measurement Controller-Controller Data Protection Terms.
- Stimmen Sie diesen nach dem Durchlesen zu.
Generelle Infos zur gemeinsamen Verantwortung der GDD
Weitere Informationen zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO
1. Was ist die GDD?
Die Gesellschaft für Datenschutz und Datensicherheit e.V. ist eine deutsche Vereinigung für Datenschutz und Datenschutzbeauftragte und hat bereits einige Praxishilfen zur Umsetzung der DSGVO veröffentlicht.
2. Was ist die rechtliche Grundlage für eine gemeinsame Verantwortlichkeit?
Die rechtliche Grundlage für die gemeinsame Verantwortlichkeit findet sich in Art. 26 DSGVO, wonach zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.
3. Bedeutung und Zweckbestimmung von Art. 26 DSGVO
Eine klare Rollenverteilung dient dem Schutz der Rechte und Freiheiten der betroffenen Person vor allem für die in der DSGVO geforderte Transparenz und zur Wahrung der Betroffenenrechte.
4. Welche Voraussetzungen gibt es für die gemeinsame Verantwortlichkeit?
- Zwei Parteien
- Festlegung der gemeinsamen Zwecke und Mittel der Verarbeitung
Achtung:
- Expertise und überlegenes Wissen allein führen noch nicht zur gemeinsamen Verantwortlichkeit
- Identische Handlungsoptionen nicht notwendig
- Tatsächliche Zugang zu den Daten ist unerheblich
Entscheidend für den GDD ist der hinreichende Einfluss beider Parteien bei Fragestellungen bzgl. Art und Dauer der Verarbeitung sowie Zugang zu den Daten.
Abgrenzung zu Auftragsverarbeitung
Bei gemeinsamer Verantwortlichkeit müssen beide Parteien für eine eigene Legitimation für die jeweilige Datenverarbeitung in Form einer gültigen Rechtsgrundlage sorgen, da sie jeweils eigene Interessen an den Daten verfolgen, wohingegen der Auftragsverarbeiter seine Legitimation aus der Vereinbarung zur Auftragsdatenverarbeitung (AVV) erhält.
Rechtsfolgen und Pflichten bei gemeinsamer Verantwortlichkeit
Das Zusammenwirken gegenüber den Betroffenen muss transparent gemacht werden. Welche Informationen nach Art. 26 Abs. 2 S. 2 DSGVO als “First Level Informationen” zur Verfügung gestellt werden müssen, ist Frage des Einzelfalls. Regelmäßig ist bereits bei Erhebung der Daten der Verweis erforderlich, dass eine gemeinsame Verantwortung vorliegt und bei einer gemeinsamen Anlaufstelle weitere Informationen dazu eingesehen werden können.
Informationspflicht
Wesentlich nach Art. 26 DSGVO ist jedenfalls die Information des Betroffenen über die beteiligten Verantwortlichen, das Zusammenwirken, die Rollenverteilung und die jeweiligen Beziehungen zur betroffenen Person.
Wer haftet und welche Sanktionen drohen?
Die Parteien haften gesamtschuldnerisch gem. Art. 82 Abs. 4 DSGVO, § 840 BGB. Der Anspruchsberechtigte hat die Wahl, wen er in Anspruch nimmt, unabhängig davon ob eine Vereinbarung zwischen den Parteien besteht. Für die Haftung im Innenverhältnis ist der jeweilige Verantwortungsbeitrag maßgebend. Daher ist eine klare Aufgabenverteilung in der Vereinbarung nach Art. 26 DSGVO essentiell.
Es gelten die allgemeinen Sanktionsregeln gem. Art. 83 Abs. 3 DSGVO (Bußgeld von bis zu 10.000.000 Euro oder 2 % des weltweit erzielten Vorjahresumsatzes).
Erkunden Sie die Praxhilfe der GDD.
Autoren: Jana Krahforst, Carolin Weißofner, Legal Team Usercentrics
DISCLAIMER
Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.
Diese Ausführungen stellen somit auch keine Rechtsberatung dar. Sie dienen lediglich dazu, Sie mit Informationen über die aktuelle Rechtslage bei der Umsetzung einer CMP Lösung zu unterstützen. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.