Google Analytics nur mit Einwilligung?

Was sagt der Datenschutz zu Statistik-Tools? Sind sie zulässig? Und unter welchen Voraussetzungen? Reicht es, wenn Anonymisierungsoptionen genutzt werden?

Wichtigste Punkte

Datenschutzbehörden fordern Einwilligung von Webseiten-Besuchern bei Nutzung von Dritt-Diensten, die personenbezogene Daten verwenden.
Google Analytics muss mit Einwilligung verwendet werden, wenn es Daten zu eigenen Zwecken nutzt.
Tools, die Verhalten der Besucher detailliert aufzeichnen, benötigen ebenfalls Einwilligung.
Reichweitenerfassung ohne personenbezogene Daten ist zulässig, auch durch Auftragsverarbeiter.
Lokal installierte Tools wie Matomo bieten datenschutzkonforme Optionen, einschließlich Anonymisierungsfunktionen.
Nutzer müssen für zusätzliche Funktionen einvernehmlich zustimmen, dies muss datenschutzrechtlich korrekt umgesetzt werden.
Webseiten-Betreiber sollten prüfen, welche Tools Cookies setzen und möglicherweise undokumentiert Daten erheben.

Vor kurzem hatte ich dazu diesen Artikel veröffentlicht.

Heute gab es eine konzertierte Meinungsäußerung der deutschen Datenschutzbehörden zu dieser und ähnlichen Fragen.

So ist die Berliner Datenschutzbeauftragte der Meinung, dass Webseiten-Betreiber eine Einwilligung der Besucherinnen und Besucher ihrer Webseiten, wenn darin Dritt-Dienste eingebunden werden sollen, bei denen der Anbieter dadurch erlangte personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehöre auch Google Analytics. Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden.

Als zulässig angesehen werden kann es demgegenüber, wenn Webseiten-Betreiber eine Reichweitenerfassung durchführt und dafür die Zahl der Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter darf allerdings die Daten nicht zu eigenen Zwecken verwenden. Lokal installierte Tools wie Matomo bieten ebenfalls zahlreiche Einstellungsoptionen, um datenschutzkonform zu sein, von Anonymisierungsfunktionen bis hin zum vollständigen Verzicht auf Trackingcookies. Natürlich kann man für verschiedene weitere Funktionen auch jederzeit das klare Einverständnis der Nutzer einholen. Das muss aber im Einzelfall geprüft und datenschutzrechtlich korrekt implementiert werden.

Die Auffassung aus Berlin entspricht bei der rechtlichen Bewertung der Einbindung von Drittanbietern auf Webseiten und Apps der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien.

Auch wenn man vorsichtig sein sollte, nun nicht in Panik zu verfallen, so sollte in der Tat überprüft werden, welche Tools aus der Vergangenheit vielleicht noch auf den eigenen Webseiten eingebunden sind und eventuell unkontrolliert Cookies setzen, auf die nicht hingewiesen wird.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.