Der datenschutzkonforme Einsatz von Google Analytics und ähnlichen Tracking-Lösungen gestaltet sich zunehmend anspruchsvoller. Längst erfordert er eine gezielte und umfassende Konfiguration, um keine Datenschutzverstöße zu riskieren. Doch viele Seitenbetreiber haben ihre Analytics-Systeme unzureichend angepasst. Dies kann böse enden, wie derzeit Unternehmen in Rheinland-Pfalz zu spüren bekommen.
Kernproblem ist die Erfassung personenbezogener Daten
Im Rahmen seiner Tracking-Technologie erfasst Google die IP Adressen der Seitenbesucher. IP Adressen sind als Daten mit Personenbezug zu werten. In anderen Worten: Wer Google Analytics oder ähnliche Lösungen einsetzt, übermittelt personenbezogene Daten an Google und damit an Dritte.
Mit Inkrafttreten der DSGVO wurden die Schrauben in Sachen Datenschutz und damit auch im Hinblick auf die Konfiguration von Google Analytics deutlich angezogen. Für einen sicheren Einsatz der Tracking-Lösung empfiehlt sich das Einholen einer Einwilligung der Betroffenen, d.h. Nutzer sollen erst per Klick zustimmen, bevor eine Aktivierung des Trackings erfolgt.
Genau dies geschieht in der Praxis jedoch immer noch zu selten. Etliche Seitenbetreiber haben ihr Analytics anderweitig konfiguriert, sodass bereits beim ersten Ladevorgang der Website (und damit vor einer möglichen Zustimmung des Nutzers) das Tracking erfolgt.
Was in Rheinland-Pfalz geschieht
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat sich an ausgewählte Betreiber von Websites gewendet und erste erfolgreiche Untersagungsanordnungen erlassen. Damit werden die Seitenbetreiber umgehend dazu aufgefordert, ihr Tracking den Anforderungen der DSGVO entsprechend anzupassen oder es einzustellen.
Im eigenen Newsletter begründet die Aufsichtsbehörde ihr Vorgehen wie folgt: „Der LfDI stützt seine Anweisung maßgeblich auf ein überwiegendes Interesse der Nutzer im Rahmen der Abwägung mit den berechtigten Interessen des Verantwortlichen nach Art. 6 Abs. 1 lit. f DS-GVO, welche nicht erwarten können oder müssen, dass ihre Nutzungsdaten an dritte Dienstleister weitergegeben werden. Dies entspricht der Auffassung der DSK im Rahmen ihrer Orientierungshilfe für Anbieter von Telemedien. Auch sieht sich der LfDI in seiner Anwendung von Art. 6 DS-GVO durch die Entscheidung des EuGH (EuGH, Urteil v. (01. Oktober 2019, Az. (C 673/17)) bestärkt.“
Aus der Mitteilung geht außerdem hervor, dass das Verwaltungsgericht Mainz die Anwendbarkeit von Art. 6 DS-GVO auf diese Fallkonstellation bestätigt hat und weitere Verfahren zu diesem Thema anhängig sind.
Wie sich Seitenbetreiber absichern
Im Hinblick auf die gegenwärtigen Datenschutzanforderungen ist es für Seitenbetreiber entscheidend, Google Analytics nicht in den Default-Einstellungen zu verwenden und Nutzer beim ersten Laden der Seite keinesfalls zu tracken. Stattdessen gilt es deren Einwilligung einzuholen oder ansonsten nicht zu tracken.
Keine Einfrage, die hiermit in Verbindung stehenden Einschränkungen sind nicht auf die leichte Schulter zu nehmen. Viele Seitenbetreibern droht dadurch eine erhebliche Reduzierung der Ihnen zur Webanalyse zur Verfügung stehenden Daten. Deshalb gegen geltende Datenschutzvorschriften zu verstoßen, erscheint jedoch äußerst riskant, da im Ernstfall stattliche Bußgelder drohen.
Beratung vom Datenschutzexperten
Wir betreuen Unternehmen und Behörden beim Datenschutz. Gerne stehen wir auch Ihnen zur Seite und entwickeln beispielsweise eine maßgeschneiderte Lösung. Wenn Sie mehr erfahren möchten, nutzen Sie unsere kostenlose Erstberatung. Sie erreichen uns telefonisch unter 0800 – 5600831 sowie über unser Kontaktformular.