DSGVO: Google Analytics Einsatz nur nach Opt-In erlaubt?
Muss nach der DSGVO Google Analytics nun aktiv vom Onlineshop-Besucher aktiviert werden?
In Art. 4 Abs. 4 DSGVO heißt es zu Profiling:
"Profiling" jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
Tracking ist also nicht gleich Profiling.
Also wie ist es nun? Klärung nötig!
Die DSGVO ist anzuwenden, sobald personenbezogene Daten nach Artikel 4 Ziffer 1 DSGVO verarbeitet werden. Dann wird für sämtliche Datenverarbeitungsvorgänge eine Rechtsgrundlage nach Art. 6 DSGVO benötigt.
Google selbst verbietet in seinen Nutzungsbedingungen für Google Analytics die Übermittlung von personenbezogenen Daten (siehe Google Nutzungsbedingungen, Punkt 7).
2011 wurde dann die Möglichkeit zur IP-Anonymisierung eingeführt, die durch Verhandlungen des Datenschutzbeauftragten für Hamburg beschlossen wurde, um Analytics rechtskonform zu verwenden.
Werden also bewußt keine personenbezogenen Daten durch den Onlineshopbetreiber übertragen und die IP-Anonymisierung verwendet wird, stünde die Frage im Raum, inwieweit hier überhaupt noch die DSGVO greift.
Ja, da vom Browser des Besuchers mit Aufruf einer Internetseite die Google Analytics einsetzt auch eine Verbindung zum Google Server aufgebaut wird. Da auch die IP-Adresse personenbezogen ist, findet die DSGVO hier Anwendung.
Durch den erforderlichen Vertrag zur Auftragsdatenverarbeitung (ADV), der nach Art. 28 Abs. 9 DSGVO fortan auch im Google Analytics Backend unter Kontoeinstellungen elektronisch abgeschlossen werden darf, sichert Google jedoch zu, diese IP-Adressen unter Anwendung der IP-Anonymisierung um das letzte Oktett der IP zu kürzen, was einer Anonymisierung gleichkommt.
Die DSGVO ist also für Google Analytics anzuwenden, jedoch findet eine Datenverarbeitung im Sinne des Rechtsverhältnisses zwischen dem Onlineshopbetreiber zum Besucher durch Einsatz von Google Analytics nur in der technisch erforderlichen initialen Verbindungsaufnahme statt. Gleiches geschieht bei dem Einsatz von externen CDN-Lösungen, externe Einbindung von CSS, JavaScript Bibliotheken, Schriftarten, Bildern, Videos oder zahlreichen anderen gängigen technischen Implementierungsszenarien von Websites.
Auf Grundlage dieser Herleitung und getroffenen umfangreichen Schutzmaßnahmen seitens des Google Analytics Anwenders sollte es völlig legitim sein, sich hier auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) als Rechtsgrundlage nach entsprechender Interessenabwägung in den Datenschutzbestimmungen zu berufen, wie es auch bei den übrigen angeführten Beispielen häufig in der Praxis umgesetzt wird. Weiter ist Google nach dem Privacy-Shield-Abkommen zertifiziert.
Ergebnis
Nach dieser Herleitung (im Original bei webcellent von Dominik Bödger erschienen) ist in dieser Form der technischen und vertraglichen Integration von Google Analytics kein vorheriges Opt-In erforderlich.
Wir empfehlen in jedem Fall die Opt-Out Lösung zu verwenden, sodass sich Besucher vom Tracking abmelden können. Das ist guter Stil und aus unserer Sicht auch kundenfreundlich.