Das Thema der Einwilligungen auf Webseiten begleitet uns seit einiger Zeit gefühlt durchgehend. Es ging um die grundsätzliche Einwilligungspflicht in den Einsatz von Cookies, um die Form der Einwilligung und auch um den Umfang der Einwilligung. Darüber hinaus sind wir sicher, dass in nicht allzu ferner Zukunft noch weitere Entscheidungen im Umfeld der Einwilligungen in Bezug auf Webseiten ergehen werden. Hierzu gehört unseres Erachtens beispielsweise die mittlerweile sehr häufig anzutreffende Zusammenfassung der einwilligungspflichtigen Cookies bzw. Verarbeitungszwecke in Kategorien wie „Analyse“, „Personalisierung“, „Werbung“ und gegebenenfalls weitere. 

In diesem Artikel soll es nun um die Frage gehen, ob Google unter anderem für seinen Dienst Google Analytics mittlerweile eine Möglichkeit geschaffen hat, mit der dieser Dienst auch ohne Einwilligung durch den Nutzer datenschutzkonform einsetzbar ist. Uns haben in den letzten Wochen zahlreiche Anfragen zu dieser Fragestellung erreicht, so dass wir ihr einen eigenen Beitrag widmen wollen.

Die Google Consent Mode API

Google hat Anfang September die Google Consent Mode API bereitgestellt. Hierbei handelt es sich nicht um eines der üblichen Consent-Banner, über die beim Nutzer Einwilligungen unterschiedlichster Art eingeholt werden. Die Google Consent Mode API ist eine Schnittstelle (API = Application Programming Interface), über die eine Webseite Google mitteilen kann, wie der Nutzer sich entschieden hat, beziehungsweise, ob er sich überhaupt schon entschieden hat und wie bis zur Entscheidung zu verfahren ist. Das Einholen der Einwilligung und die Nachweisführung bleibt weiterhin im Verantwortungsbereich des Seitenbetreibers. Die Anbieter von Consent-Tools brauchen also nicht um ihr Geschäftsmodell zu fürchten.

Aber wieso keine Einwilligung?

Google folgt dem Wunsch der Nutzer bezüglich Tracking, Cookies, Marketing-Pixeln und zukünftig vielleicht weiter Instrumente. Voraussetzung dafür ist die Nutzung der Google Consent Mode API durch den Webseitenbetreiber, was aus technischer Sicht weder kompliziert noch aufwändig ist.

Sofern die Einwilligung beispielsweise für ein Tracking über Google Analytics vom Nutzer nicht erteilt wird („analytics_storage: denied“), werden nach Aussage von Google alle Daten anonymisiert, also ohne Zuordnung zu einer Client-ID erfasst. Darüber hinaus sollen die Daten auch nur noch aggregiert erfasst werden.

Mit einer zweiten Funktionalität („ad_storage: denied“) kann verhindert werden, dass Werbe-Cookies gesetzt oder gelesen werden.

Damit wären die beiden „großen“ Verarbeitungen durch Google, bei denen klassischerweise eine Einwilligung durch den Nutzer erfolgen muss, sozusagen entschärft. Wird eine Webseite so programmiert, dass sie die beiden Einwilligungen gar nicht erst beim Nutzer abfragt, sondern immer „denied“ für beide Funktionalitäten an die Google Consent Mode API übergibt, müsste doch beispielsweise ein Tracking mittels Google Analytics aufgrund der Anonymisierung ohne weitere Einwilligung möglich sein, oder?     

Einwilligung weiter nötig

Wir meinen, dass der Einsatz (aktuell) dennoch nicht ohne Einwilligung möglich ist. Hierfür gibt es unseres Erachtens zwei Gründe, die in Kombination zu diesem Ausschluss führen:

  • Die Orientierungshilfe der DSK für Anbieter von Telemedien
    In ihrer im März 2019 aktualisierten Orientierungshilfe für Anbieter von Telemedien stellt die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) auf Seite 13 (gelber Kasten) klar, dass die Reichweitenmessung durchaus ein berechtigtes Interesse darstellen kann. Dieses endet (beziehungsweise unterliegt dem schutzwürdigen Interesse der betroffenen Personen) allerdings nach Aussage der DSK dann, wenn die (personenbezogenen) Daten an Dritte (zum Beispiel Google) zur Verwendung für eigene Zwecke übermittelt werden.
  • Die Entscheidung des Bundesgerichtshofs (BGH, nach Vorlage an den Europäischen Gerichtshof, EuGH und dessen Urteil), dass es sich bei IP-Adressen um personenbezogene Daten handelt.
    Kurz gesagt hat der BGH entschieden, dass es sich bei IP-Adressen um personenbezogene Daten handelt. Da jegliche Kommunikation im Internet auf der Nutzung der IP-Adresse des Rechners bzw. des Internetanschlusses basiert, wird diese also immer mit übermittelt. Eine vollkommen anonyme Kommunikation im Internet ist aufgrund der technischen Ausgestaltung nicht oder nur mit weiteren Tricks (zum Beispiel durch Nutzung eines zwischengeschalteten VPN-Servers oder des TOR-Netzwerks) möglich. Keinesfalls kann ein Webseitenbetreiber jedenfalls davon ausgehen, dass alle seine Nutzer diese Tricks anwenden. Im Gegenteil: Den meisten Nutzern wird die Verwendung derartiger Technologien zu umständlich sein oder sie sind zu deren Implementierung gar nicht in der Lage.

Kurz gesagt wird die Kommunikation mit Google nur in den seltensten Fällen vollkommen anonym möglich sein. Damit handelt es sich bei den erfassten Tracking-Daten (bleiben wir mal bei diesem Beispiel) um personenbezogene Daten. Diese dürfen gemäß der Meinung der Aufsichtsbehörden nicht auf Basis eines berechtigten Interesses an Dritte (Google) weitergegeben werden.

Nur wenn der Webseitenbetreiber sicherstellen kann, dass die Kommunikation tatsächlich garantiert in 100% der Fälle vollkommen anonym erfolgt, könnte hier auf eine Einwilligung verzichtet werden. Diese 100%ig anonyme Kommunikation würden wir als Webseitenbetreiber eher nicht garantieren wollen. Darüber hinaus gibt es ein weiteres Thema…

Google = USA = Drittstaat

Auch wenn sich Google mit der Niederlassung in Irland innerhalb der EU befindet, werden sämtliche Daten, die Google eigenverantwortlich verarbeitet gegebenenfalls auch an die Mutter in die USA übermittelt. Dies stellt Google in seinen Nutzungsbedingungen klar. Damit läge ein Drittstaaten-Transfer vor. Seit dem sogenannten „Schrems-II“-Urteil sind insbesondere Datentransfers in die USA grundsätzlich besonders zu beleuchten.

Die Wahrscheinlichkeit, dass bei der Kommunikation mit den Google-Servern eher die näher positionierten in Europa genutzt werden, ist unseres Erachtens durchaus sehr hoch. Dennoch kann dies vom Webseitenbetreiber nicht garantiert werden. Anders ausgedrückt: Ein Transfer von personenbezogenen Daten (siehe oben) in die USA kann nicht ausgeschlossen werden. Daher müssen die Webseitenbetreiber nun dafür sorgen, dass der Datenempfänger (Google) für ein angemessenes Datenschutz-Niveau sorgt. Hier kommt uns nun das Schrems-II-Urteil in die Quere, in dem der EuGH das letzte probate und einfach umzusetzende Mittel für den Nachweis solcher Garantien, das Privacy Shield Abkommen, für ungültig erklärt hatte und auch die EU-Standardverträge (Standard contractual clauses, SCC) „angezählt“ hat. Aktuell ist es unserer Meinung nach nicht möglich, mit Google rechtssicher die notwendigen Garantien zu vereinbaren.

Selbst wenn es möglich wäre, das Tracking so umzusetzen, dass keine Einwilligung hierfür notwendig wäre, müsste nach Art. 49 Abs. 1 lit. a DSGVO für die Drittstaatenübermittlung eine ausdrückliche Einwilligung des Nutzers eingeholt werden, nachdem dieser ausführlich(!) über die Risiken aufgeklärt wurde.

An dieser Stelle der kurze Hinweis, dass diese Einwilligung auch (und gesondert) eingeholt werden muss, sofern „normal“ getrackt wird. Bis ein brauchbarer Ersatz für das Privacy Shield Abkommen geschaffen wurde, sind hier also stets zwei Einwilligungen einzuholen. Nur, wenn beide erteilt werden, kann Google Analytics rechtssicher eingesetzt werden.

Der Google Tag Manager mit serverseitigem Tagging

Die sehr gut Informierten werden nun vielleicht einwenden, dass Google ebenfalls seit kurzem den Google Tag Manager auch mit serverseitigem Tagging anbietet. Damit würde bei Google lediglich die Adresse des Servers gespeichert, auf dem der Tag Manager betrieben wird und nicht mehr die des Nutzers.

Das ist korrekt. Leider bietet Google den Tag Manager aktuell, Stand 06.10.2020, noch nicht zum Einsatz auf selbst betriebenen Servern an, sondern nur auf der Google Cloud Platform. Damit landet die IP-Adresse des Nutzers dann doch wieder bei Google.

Wenn es allerdings zukünftig möglich sein sollte, den Google Tag Manager auf eigenen Servern oder sogar auf dem Webserver zu betreiben, dann wäre das gesamte Thema um die IP-Adresse schlagartig behoben.

Fazit (und Ausblick?)

Obwohl Google Anstrengungen unternimmt, den Einsatz seiner Tools möglichst datenschutzkonform zu gestalten und den Webseitenbetreibern die Nutzung möglichst ohne Einwilligung durch die Nutzer zu ermöglichen, ist deren Einsatz zumindest aktuell noch nicht ohne Einwilligung möglich. Wir erwarten allerdings, dass sich dies in der Zukunft ändert. Wann dies der Fall sein wird, weiß allerdings – wenn überhaupt – nur Google.

Sie nutzen Tracking auf Ihrer Webseite oder planen den Einsatz? Lassen Sie sich zu den datenschutzrechtlichen Folgen und Anforderungen beraten!