Daten über Google Analytics sammeln ohne vorher die explizite Einwilligung der Webseitenbesucher einzuholen? Das ging lange gut, aber nun sagt der LfDI Rheinland-Pfalz (Landesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz) Webseitenbetreibern, die ohne Einwilligung der Nutzer Analyse-Daten erheben, den Kampf an – und hat bereits erste Untersagungsanordnungen erlassen.
“Berechtigtes Interesse” gilt nicht bei Google Analytics
Sich beim Einsatz von Google Analytics auf “berechtigtes Interesse” als Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO zu berufen, wie es in der Vergangenheit gerne gemacht wurde, lässt das LFDI Rheinland Pfalz in seiner Stellungnahme nicht gelten.
Die Begründung: Es kann nicht davon ausgegangen werden, dass Nutzern beim Besuch einer Webseite bewusst ist, dass ihre Daten ausgewertet und an Google weitergegeben werden. Selbst nicht bei vorheriger Anonymisierung der IP-Adresse. Vielmehr muss generell von einem Informationsdefizit auf der Nutzerseite ausgegangen werden.
Das bedeutet: Webseitenbetreiber, die weiterhin Google Analytics oder ähnliche Webanalyse- bzw. Tracking Tools verwenden wollen, müssen um datenschutzkonform zu sein, hierfür die explizite Einwilligung der Nutzer einholen (Art. 6 Abs. 1 lit) – und das in jeden Fall bereits bevor ein Trackingpixel geladen wird.
Google Analytics darf nur mit DSGVO-konformer Einwilligung eingesetzt werden
Zum Hintergrund: Nicht nur das LfDI Rheinland-Pfalz, sondern auch diverse weitere Datenschutzbehörden haben sich in den letzten Monaten in Bezug auf Google Analytics und ähnliche Analyse Tools positioniert. Das Bayerischen Landesamt für Datenschutzaufsicht stützt sich in einer Stellungnahme vom November 2019 z.B. ebenfalls auf das EuGH Urteil zum Thema aktive Einwilligung zur Verwendung von Cookies.
Die herrschende Meinung: Nicht zwingend erforderliche Cookies z.B. für Marketingzwecke oder Statistik bedürfen immer einer expliziten Nutzer Einwilligung – so also auch die Verwendung von Google Analytics.
Was können Webseitenbetreiber tun?
Webseitenbetreiber, die weiterhin Google Analytics als Analyse Tool einsetzen wollen, müssen sicherstellen, dass für die Erhebung und Verarbeitung der Nutzerdaten zu diesem Zweck vorab eine explizite Nutzer Einwilligung vorliegt.
Für eine solche DSGVO-konforme Nutzer Einwilligung müssen u.a. folgende Kriterien erfüllt sein:
✔ Sie muss explizit sein.
⇨ Z.B. durch einen aktiven Opt-in des Nutzers durch das Setzen eines Häkchens in einem Kästchen oder das Verschieben eines Reglers.
✔ Sie muss informiert geschehen.
⇨ In der Datenschutzerklärung muss über die Verwendung von Google Analytics und das Setzen von Cookies informiert werden.
✔ Sie muss widerrufbar sein.
⇨ Der Nutzer muss seine Einwilligung zur Verwendung von Google Analytics jederzeit widerrufen können – und zwar so einfach, wie er sie gegeben hat.
✔ Sie muss dokumentierbar sein.
⇨ Im Falle eines Audits durch ein Gericht oder eine Datenschutzbehörde muss die Einwilligung nachgewiesen werden können.
Ausführliche Infos zum Thema “DSGVO-konforme Einwilligung” finden Sie in unserem Artikel „7 Kriterien einer DSGVO-konformen Einwilligung„.
Sie möchten mehr über die Usercentrics CMP erfahren? Kontaktieren Sie uns gerne.