Google Analytics ist seit geraumer Zeit im Visier der Datenschützer. Immerhin ist das Analyse-Tool in die Mehrzahl der Webseiten integriert und bietet das Potenzial, alle gesammelten Besucherdaten in den Google-Werbekosmos zurückzuspielen. Eine aktuelle, groß angelegte Beschwerdewelle bringt nun Bewegung in die Debatte. Über 200.000 Beschwerden sollen deutschlandweit bei den Behörden eingegangen sein. Sie listen Unternehmenswebseiten, die Google Analytics angeblich nicht datenschutzkonform nutzen.
Wie der Datenschutzaktivist und Etracker-Gründer Christian Bennefeld auf seinem Blog berichtet, sind in gleich mehreren Bundesländern zu ähnlichen Zeitpunkten zehntausende Beschwerden eingegangen. In Hamburg allein soll ein einzelner Beschwerdeführer 20.000 Unternehmenswebseiten gelistet haben, die Google Analytics entgegen der aktuellen Datenschutzbestimmungen nutzen. Bennefeld möchte nun mit einer neuen Non-Profit-Initiative Missstände im Rahmen der DSGVO aufklären sowie Betroffenen bei der Durchsetzung ihrer Rechte unterstützen. Mit der Analyse-Plattform Etracker steht er allerdings in direkter Konkurrenz zu dem US-Riesen.
Auf Nachfrage erklärt Christian Bennefeld, warum der Einsatz von Analyse-Tools per se nicht gegen den Datenschutz verstößt, die Verwendung von Google Analytics jedoch einen Sonderfall darstellen kann: “Der Website-Betreiber hat ein berechtigtes Interesse an der statistischen Auswertung seiner Website, das ist richtig.” Solange also die Daten nur im Auftrag des Webseitenbetreibers verarbeitet und durch den Analyse-Dienstleister nicht selbst weiterverwendet oder -gegeben werden, müsste nach aktueller Gesetzgebung kein aktiver Consent vorliegen. “Eine Weitergabe der Daten an Dritte zu ‘anderen Zwecken’ ist aber nicht von seinem berechtigten Interesse gedeckt. Und natürlich erst recht keine Website-übergreifende Profilbildung durch einen Dritten [...]”, warnt Bennefeld und spielt auf den Umstand an, dass bei Google Analyse und andere Dienste, wie die datenbasierte Werbeschaltung, sehr nah beieinander liegen.
Der Datenschutzaktivist fährt fort: “Das Problem ist der eigene Zweck, den Google mit den Daten verfolgt und die damit verbundene Website-übergreifende Profilbildung. Ein solcher Eingriff in die Privatsphäre des Surfers ist natürlich nicht mehr vom berechtigten Interesse des Website-Betreibers gedeckt. Daher ist die explizite, freiwillige und informierte Einwilligung eines jeden Nutzers als Rechtsgrundlage die einzige Möglichkeit, diese Daten gesetzeskonform zu erfassen.” Die von den Beschwerden betroffenen Webseiten hatten vermutlich keine Einwilligung eingeholt.
Wie viel weiß Google über Webseiten-Besucher?
Dienste zur Analyse von Webseiten-Traffic dürfen also nur als Auftragsdatenverarbeiter auftreten. Laut Bennefeld erfüllt Google jedoch mehr als nur diese Funktion:
- “Jeder Nutzer, der ein Google-Konto besitzt, hat bei der Registrierung zugestimmt, dass Google sämtliche Daten ‘personenbezogen’ erfassen darf. Die Einwilligung umfasst sämtliche Google-Dienste – und explizit auch Analytics und Doubleclick. Sobald ein Nutzer sich von einem Endgerät nur einmal bei Google angemeldet hat, kann Google das Gerät erkennen und den Nutzer personenbezogen identifizieren – auch wenn er nicht mehr eingeloggt ist. Google weiß dank Analytics – oder anderer auf Websites eingebundener Google-Dienste – genau, welche Person dort surft und führt alle Daten personenbezogen in seinem Profil zusammen. Das ist unstrittig.”
- “Google sammelt die gleichen Daten, ohne sofortigen Personenbezug, wenn jemand gar kein Google-Konto hat. Durch die hohe Granularität bei der Website-übergreifenden Profilierung, kann ein solcher Nutzer natürlich häufig trotzdem leicht identifiziert werden – so geschehen beim WOT-Skandal, wo Abgeordnete und Journalisten nur durch sehr wenige aufgerufene URLs identifiziert wurden.”
In beiden von Bennefeld genannten Fällen würde die DSGVO ins Spiel kommen, da sie Daten betreffen, über die ein Individuum indirekt oder direkt identifiziert werden kann. Für den Datenschutzexperten benötigt die Verwendung von Google Analytics damit klar eine Zustimmung des Nutzers im Rahmen einer Consent-Abfrage. Eine weitere juristische Grundlage für die Beschwerden könnte das kürzliche EuGH-Urteil liefern, nachdem jegliche Cookie-Setzung und -Nutzung nur nach expliziter Einwilligung geschehen darf.
EVENT-TIPP ADZINE Live - Industry Preview - Media & Tech Agenda 2025 am 22. Januar 2025, 11:00 Uhr - 12:30 Uhr
Welche Themen sollten Advertiser und ihre Agenturen, aber auch die Medien, ganz oben auf der Agenda haben für 2025? Welche Technologien werden bei den großen Herausforderungen, wie z.B. Datenschutz, Addressability, Qualitätssicherung, Messbarkeit und Einkaufseffizienz im digitalen Mediabusiness 2025 eine wichtige Rolle spielen? Jetzt anmelden!