Viele Unternehmer nutzen unterschiedliche Tools der Google Ireland Ltd bzw der Google LLC („Google“) zur Analyse und Optimierung des Userverhaltens auf ihrer Website, zur Implementierung von Standortdaten oder zur besseren Auffindbarkeit ihres Webauftritts in Suchmaschinen. Zuletzt gab es insbesondere rund um Google Analytics datenschutzrechtliche Diskussionen.
Wie funktioniert Google Analytics?
Der Google-Dienst Google Analytics verwendet Cookies, die eine Nutzungsanalyse der Webseite ermöglichen. Die durch den Cookie erzeugten Informationen über die Nutzung der Website werden an einen Google-Server gesendet und dort gespeichert. Google nutzt diese Informationen unter anderem, um das Userverhalten auf der Webseite auszuwerten, Reports über Webseiten-Aktivitäten zusammenzustellen, die Wirkung digitaler Werbung zu analysieren und individuelle Anpassungen zu verbessern.
Was ist nun das datenschutzrechtliche Problem?
Der Kern des Problems ist das Risiko einer Datenübertragung in die USA. Da die diesbzgl Standardvertragsklauseln laut EuGH unzureichen waren, haben sich die meisten Website-Betreiber auf eine ausdrückliche Einwilligungserklärung des Nutzers nach Art 49 Abs 1 lit a DSGVO gestützt. Es war unklar, ob diese Ausnahmeregelung nur für Einzelfälle oder eben auch für ein Massengeschäft (wie Google Analytics) gilt.
Inzwischen hat sich die Rechtslage geändert: Aufgrund des EU-US-Data Privacy Frameworks und der Zertifizierung der Google LLC ist derzeit davon auszugehen, dass ein angemessenes Datenschutzniveau iSd Art 45 Abs 1 DSGVO vorliegt und Daten grundsätzlich an Google übertragen werden können. Allerdings haben Datenschützer bereits Bedenken an diesem neuen Privacy Framework geäußert – es ist nicht auszuschließen, dass dieses vom EuGH wieder aufgehoben wird.
Praxistipp
Wenn Sie Google Analytics weiter nutzen möchten, sollten Sie zumindest Ihre Datenschutzerklärung und den Cookie-Banner im Hinblick auf die Rechtsgrundlage zur Verwendung von Google Analytics überprüfen. Außerdem sollte eine Art 28 bzw Art-28-Vereinbarung mit Google abgeschlossen werden, damit die Übermittlung an Google keiner gesonderten Rechtsgrundlage bedarf. Ob die Konstellation "gemeinsame Verantwortlichkeit" oder "Auftragsverarbeitung" vorliegt, dürfte letztlich am Finetuning der Datenfreigabeeinstellungen liegen.
Parallel sollten Sie als Website-Betreiber die weiteren Entwicklungen (etwa Judikatur) beobachten.
Sie haben weitere Fragen im Datenschutzrecht?
Sie haben weitere Fragen zur rechtskonformen Gestaltung Ihrer Datenschutzerklärung oder möchten sich in anderen Bereichen des Datenschutzrechts beraten lassen? Melden Sie sich gerne bei uns unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.