17.04.2023

Google Analytics und Datenschutz – Wie Sie auf Abmahnungen reagieren sollten

Google Analytics ist ein wichtiges Werkzeug für viele Webseitenbetreiber:innen. Doch aufgrund jüngster Entscheidungen von europäischen Datenschutzbehörden bestehen Zweifel an der Datenschutzkonformität des Google-Dienstes. Dies sorgt für Unsicherheiten bei Unternehmen, insbesondere da zuletzt eine Welle von Abmahnungen und abmahnähnlichen Schreiben Aufmerksamkeit erregten.

Unverbindliches Erstgespräch vereinbaren

In den Schreiben werden Datenschutzverletzungen geltend gemacht und Schadensersatz gefordert. Doch es gilt, einen kühlen Kopf zu bewahren. Denn teilweise handelt es sich dabei um Massenabmahnungen, die vermeintlich automatisiert an Webseitenbetreiber:innen geschickt werden. Es muss stets im Einzelfall geprüft werden, ob tatsächliche Rechtsverletzungen vorliegen und inwiefern Ansprüche der Betroffenen bestehen. Der vorliegende Artikel soll einen Überblick über die Rechtslage zu Google Analytics geben. Zudem werden Handlungsempfehlungen für Adressat:innen der Abmahnschreiben gegeben.

Was ist Google Analytics?

Google Analytics ist ein Trackingtool von Google. Es dient Webseitenbetreiber:innen zur Analyse der Nutzung des Dienstes. Durch die Sammlung von Webseiten- und App-Daten kann das Verhalten von Nutzenden nachvollzogen werden. Informationen, die beispielsweise ausgewertet werden können, sind die Anzahl der Besucher:innen auf einer Website, welche Inhalte am häufigsten abgerufen werden und die Verweildauer eines jeden Besuchenden bei einzelnen Produkten. Andere wichtige Informationen, die Webseitenbetreiber:innen etwa erhalten können, sind demografische Merkmale wie Sprache und Standort, oder der zum Aufruf genutzte Browser.

Ziel ist es, durch die erfassten Daten Informationen über die Nutzung der eigenen Website zu erlangen. Die neuste Version des Marketingtools „Google Analytics 4“ (GA 4) nutzt dazu im Gegensatz zur Vorgängerversion „Universal Analytics“ (UA) künstliche Intelligenz und maschinelles Lernen. So werden Algorithmen für die Messung und Auswertung der Nutzungsdaten verwendet. Diese bestimmen automatisch anhand von Ereignisdaten (sog. Events), und nicht wie zuvor bei UA anhand von sitzungsbasierten Daten (sog. Hits), das Nutzungsverhalten des individuellen Websitebesuchenden. Unter solche Events fallen zum Beispiel Scrolls bis zum Seitenende, Klicks auf externe Links, Downloads oder Seitenaufrufe.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte rechnen Sie 2 plus 7.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Durch die Anwendung des Analysewerkzeuges können größere Zielgruppen erreicht und Werbekampagnen individualisiert und wesentlich effektiver gestaltet werden.

Welche rechtlichen Probleme entstehen durch die Anwendung von Google Analytics?

1. Welche Daten werden durch den Service erhoben?

Bei der Anwendung von Google Analytics werden verschiedene personenbezogene Daten von Webseitenbesucher:innen verarbeitet. Dies geschieht zu dem Zweck, umfangreiche Statistiken zu erstellen und Unternehmen Aufschluss über die Nutzung ihrer Websites zu geben. Die Daten werden auf Google-Servern, meist in den Vereinigten Staaten, gespeichert.

2. Welche Probleme entstehen durch die Datenerhebung?

Dass bei Verwendung von Google Analytics personenbezogene Daten in die USA, unter Datenschutzgesichtspunkten ein unsicheres Drittland, übermittelt werden, ist nicht unproblematisch. Der Dienst war deshalb schon häufiger Gegenstand von Verfahren vor europäischen Gerichten oder bei europäischen Datenschutzbehörden.

Bei Google Analytics häufen sich die kritischen Entscheidungen und Beschlüsse europäischer Datenschutzbehörden. Die erste Entscheidung bezüglich des Einsatzes des Tools ohne Einwilligung traf im Januar 2022 die österreichische Datenschutzbehörde. Vorausgegangen war eine Beschwerde des europäischen Zentrums für digitale Rechte (NOYB). Die Organisation beanstandete die Übermittlung von Daten in die Vereinigten Staaten über Google Analytics und den Dienst Facebook Connect. Anlass war das „Schrems-II-Urteil“ des Europäischen Gerichtshofs. Das Gericht hatte entschieden, dass US-Überwachungsgesetze, die es US-Sicherheitsbehörden ermöglichen, auf Daten zuzugreifen, die sich im Bestand amerikanischer Unternehmen befinden (z.B. Patriot Act, Cloud Act etc.), einen unverhältnismäßigen Eingriff in Art. 7 und 8 der zu EU-Grundrechtecharta darstellten. Für EU-Bürger:innen bestünde kein ausreichender Rechtsschutz, um sich gegen potenzielle Zugriffe auf ihre personenbezogenen Daten zu wehren. Aufgrund dessen war das EU-US Privacy Shield für ungültig erklärt worden. Laut NOYB sei deshalb in der Übermittlung von Daten in die USA ein Verstoß gegen die DSGVO zu sehen. Die österreichische Datenschutzbehörde stimmte dem zu und sah in der Nutzung von Google Analytics ohne Einwilligung insbesondere einen Verstoß gegen Art. 44 DSGVO, die allgemeinen Grundsätze der Datenübermittlung.

Andere nationale Datenschutzbehörden positionierten sich ähnlich. So sahen die niederländischen, die französischen und die italienischen Behörden den Einsatz von Google Analytics ohne Einwilligung ebenfalls als datenschutzrechtswidrig an. Von der deutschen Bundesdatenschutzbehörde, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, steht eine Entscheidung noch aus. Es ist jedoch eine Entscheidung ähnlich denen anderer europäischer Datenschutzbehörden zu erwarten. Vornehmlich, da sich im Jahr 2019 bereits 14 der 16 Landesdatenschutzbeauftragten kritisch zum Einsatz von Google Analytics äußerten.

Es ist dabei zu beachten, dass sich die bisherigen Entscheidungen der Datenschutzbehörden auf die Verwendung von Google Analytics auf Grundlage teilweise veralteter Standardvertragsklauseln und ohne die Einholung einer Einwilligung beziehen. Inwiefern die Nutzung von Google Analytics mit Einwilligung, auch in Bezug auf die Übermittlung in die USA, von den Aufsichtsbehörden bewertet würde, bleibt daher offen.

Konsequenzen der nicht rechtskonformen Nutzung der Systeme

Die Entscheidungen der Datenschutzbehörden riefen eine regelrechte Abmahnwelle in Deutschland hervor. Privatpersonen und Kanzleien versenden Schreiben, in denen sie Webseitenbetreiber:innen, welche das Google-Tool nutzen, dazu auffordern, Schadensersatz zu zahlen. Meist werden dabei Summen in Höhe von 100,- Euro oder mehr verlangt. Oft wird in den Abmahnungen ein Verstoß gegen das Datenschutzrecht und damit einhergehend eine Rechtsverletzung behauptet. Zudem berufen sich die Verfasser:innen häufig auf die Entscheidungen der Datenschutzbehörden. Für den Fall, dass die Empfänger:innen der Schreiben nicht zahlen, wird oft mit Klagen gedroht.

Die Abmahnschreiben muten häufig sehr professionell an und vermitteln den Eindruck, dass die Verfasser:innen mit dem Datenschutzrecht vertraut sind. Dadurch sollten sich Adressat:innen jedoch nicht beirren lassen. Denn auch wenn die Kritiken an der Nutzung von Google Analytics mitunter durchaus ihre Berechtigungen haben, müssen die in den Abmahnungen behaupteten Ansprüche immer im Einzelfall und vor dem Hintergrund der genauen Konfiguration und Einbindung von Google Analytics geprüft werden. Denn es steht der begründete Verdacht im Raum, dass die Webseiten der betroffenen Unternehmen teilweise automatisiert ausgewertet und Massenschreiben verschickt werden. Ferner scheint es den Absender:innen zumindest teilweise vordergründig um die Verfolgung finanzieller Ansprüche zu gehen, eventuell bestehende Auskunfts- oder Unterlassungsansprüche werden häufig nicht geltend gemacht. Dies legt die Vermutung nahe, dass es sich bei den Abmahnungen jedenfalls teilweise um rechtsmissbräuchliches Verhalten handelt. Grund zur Panik besteht in vielen Fällen deshalb oft vorerst nicht. Dennoch sollte die Problematik ernst genommen werden. Denn derartige Abmahnschreiben können sehr wohl auch von Einzelpersonen verschickt werden, die nicht rechtsmissbräuchlich handeln. Auf der sicheren Seite sind Unternehmen daher nur, wenn sie gewisse technische Maßnahmen ergreifen, um die Verwendung von Google Analytics datenschutzfreundlicher zu gestalten.

Vorgehen bei Abmahnungen und Schadensersatzansprüchen aufgrund rechtswidriger Verwendung

Wie bereits dargestellt, ist die Verwendung von Google Analytics aufgrund der aktuellen Rechtslage datenschutzrechtlich nicht unbedenklich. Erhaltene Abmahnungen sollten deshalb zum Anlass genommen werden, die Einbindung von Drittinhalten sowie das bestehende Consent Management zu überprüfen und eventuelle Fehlfunktionen zu identifizieren und zu beheben. In Bezug auf die erhaltenen Schreiben sollte untersucht werden, ob die Vorwürfe tatsächlich zutreffen. Dafür ist zunächst zu prüfen, was der konkrete Sachverhalt ist. Zudem sollte beurteilt werden, ob Schaden und Kausalität plausibel dargelegt wurden. Nachdem dann die eigenen internen Prozesse geprüft wurde, kann ein Antwortschreiben formuliert werden. Dabei können die darin geltend gemachten Ansprüche beispielsweise zurückgewiesen werden, oftmals wenn in den Schreiben Kausalität und Schaden nicht substantiiert dargelegt werden. Teilweise erfolgt von den Abmahner:innen dann keine Reaktion mehr. Abhängig von der konkreten Situation und dem Schreiben kann es jedoch auch einer umfangreicheren Beschäftigung mit der Thematik bedürfen.

Wichtig ist es ohnehin, sich dezidiert mit der Rechtmäßigkeit von Google Analytics auseinanderzusetzen. Um nicht ins Hintertreffen zu geraten, sollte daher von Beginn an auf die rechtmäßige Einbindung des Google-Tools geachtet werden. Insbesondere sollte eine Einwilligung der Webseitenbesucher:innen eingeholt werden. Auch sind bei Verwendung des Dienstes datenschutzfreundliche Einstellungen zu treffen, um dem Grundsatz von Privacy by Design und Default zu berücksichtigen. Der Umstieg von Google Universal Analytics zu Google Analytics 4 sollte zum Anlass genommen werden, sich genauer mit der genauen Datenverarbeitung und der Einbindung des Tools zu befassen.

Fazit

Wird Google Analytics nicht im Einklang mit dem Datenschutzrecht genutzt, bringt dessen Einsatz Risiken mit sich, etwa durch Abmahner:innen, die sich durch die unsichere Rechtslage schnelles Geld erhoffen. In den meisten Fällen lässt sich mit derartigen Schreiben jedoch gut umgehen und Zahlungsverpflichtungen sind nicht direkt zu befürchten. Dennoch ist die Kritik an dem Google-Dienst, auf der die Abmahnungen fußen, durchaus nicht unberechtigt. Es empfiehlt sich daher, die Schreiben zum Anlass zu nehmen, die rechtmäßige Einbindung von Google Analytics zu überprüfen.

Gerne sind wir Ihr Ansprechpartner für alle Fragen rund um den Datenschutz – auch wenn es um die rechtssichere Implementierung von Google Analytics oder den Umgang mit Abmahnschreiben geht. Kontaktieren Sie uns gerne, wenn Sie Beratungsbedarf oder weitergehende Fragen zu dem Thema haben.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Weitere Neuigkeiten