Kann die Einwilligung Google Analytics retten?

In letzter Zeit stand die Nutzung des wohl bekanntesten und am weitesten verbreiteten Trackingdienstes Google Analytics in der Kritik, nicht datenschutzkonform zu sein, und wurde sogar von Aufsichtsbehörden in Österreich und Frankreich, sowie in einer Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) als rechtswidrig eingestuft. Eine Einwilligung durch die Website-Nutzenden könnte jedoch die Rettung des Trackingdienstes bedeuten.

Wird eine Website mit Google Analytics im Zusammenhang mit Cookies betrieben, ist, so die österreichische Aufsichtsbehörde und EDSB, immer die Einwilligung der Nutzenden einzuholen. Diese Wertung wird auch vom neuen §25 TTDSG aufgegriffen, wonach die Einwilligung durch Nutzenden bei allen technisch nicht erforderlichen Cookies notwendig ist. Gleiches gilt, wenn anstelle von Cookies andere Trackingdienste mit lokal ausgeführten Javaskripten zusammen mit Google Analytics genutzt werden.

Um die Einwilligung rechtmäßig einholen zu können, bedarf es einer vollständigen, transparenten und verständlichen Information über die Datenverarbeitung als solche, sowie auch einer Präsentation dieser Information im Cookie-Banner.

Ebenfalls essenziell ist die Tatsache, dass bei einer Nutzung von Google Analytics Daten auf Servern in den USA verarbeitet werden. Zu einer solchen Übermittlung in ein EU-Drittland bedarf es nach Art. 44 DSGVO der Garantie eines angemessenen Datenschutzniveaus. Die zu diesem Zweck zur Verfügung gestellten Standard Vertragsklauseln (SCC) von Google werden dahingehend von der österreichischen Aufsichtsbehörde kritisiert, dass unter der aktuellen Rechtslage der USA nicht erkennbar sei, inwiefern technische und organisatorische Maßnahmen getroffen werden könnten, die ein solches Niveau garantieren.

Für den Fall jedoch, dass weder ein Angemessenheitsbeschluss nach Art. 45 DSG-VO, noch eine Garantie nach Art. 46 DSGVO vorliegen, gibt es in den Art. 44 ff DSGVO eine weitere Möglichkeit für eine zulässige Datenübermittlung in ein Drittland. Nach Art. 49 Abs. I lit. a DSG-VO ist eine Übermittlung in ein Drittland in einem solchen Fall nur dann zulässig, wenn die betroffene Person in die fragliche Übermittlung eingewilligt hat. Diese Einwilligung könnte prinzipiell zusammen mit der Einwilligung in die Verwendung von Google Analytics erfolgen.

Das sieht die Datenschutzkonferenz (DSK) jedoch anders, da Art. 49 DSG-VO lediglich den Charakter einer Ausnahmevorschrift hat, womit die regelmäßige Übermittlung von Tracking-Diensten ins Ausland nicht vereinbar ist. Diese Argumentation wird von einer Stellungnahme des Europäischen Datenschutz-Ausschusses (EDPB) und auf Erwägungsgrund 111 der DSG-VO unterstrichen, in welchem ebenfalls nur von einer gelegentlichen Übermittlung die Rede ist.

Diese Einschränkung lässt sich jedoch nicht dem Wortlaut der Vorschrift entnehmen und widerspricht zudem dem Sinn und Zweck der informationellen Selbstbestimmung, wenn betroffenen Personen gerade nicht die Wahl gelassen wird, über die Übermittlung ihrer personenbezogenen Daten zu entscheiden, wenn es pauschal untersagt wird. Insbesondere, da es sich in der Regel um bereits pseudonymisierte Daten handelt und das Risiko überschaubar ist, scheint ein solcher staatlicher Eingriff nicht gerechtfertigt.

Die Anforderungen an eine Einwilligung müssten jedoch trotzdem eingehalten werden. Das bedeutet, dass die Einwilligung ausdrücklich, freiwillig und informiert erfolgen müsste. Die Anwendenden des Trackingdienstes hätten also auch hier die Nutzenden der jeweiligen Website umfassend über die Übermittlung der Daten und die damit einhergehenden Risiken zu informieren, und zwar schon vor Beginn der Verarbeitung.

Im Ergebnis bleibt die Rechtslage zu Google Analytics nicht ganz eindeutig.