Wie mit der Pressemitteilung vom 13. Juni 2024 der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) bekannt wurde, hat diese etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrolliert. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Die betroffenen Stellen werden aufgefordert, die Nutzung von Google Analytics konform auszugestalten sowie die bis zum Zeitpunkt der Umstellung rechtswidrig verarbeiteten personenbezogenen Daten zu löschen. Kommen Verantwortliche dieser Aufforderung nicht nach, droht ihnen im Rahmen einer erneuten Überprüfung die Eröffnung eines förmlichen Verwaltungsverfahrens.
Kein Tracking ohne Einwilligung
„Tracking-Dienste wie Google Analytics gewähren tiefgehende Einblicke in das Verhalten und die Privatsphäre von Websitebesuchern. Datenschutzrechtlich stehen die Interessen der Betreiberinnen und Betreiber deshalb zurück. Das bedeutet, möchten Verantwortliche Google Analytics nutzen, sind sie verpflichtet, von Nutzerinnen und Nutzern eine Einwilligung einzuholen“, so Dr. Juliane Hundert im Rahmen der Pressemitteilung. An sich ist es keine neue Anforderung, dass Verantwortliche die Nutzung von Google Analytics von der freiwilligen und informierten Einwilligung der Nutzerinnen und Nutzer abhängig machen müssen. Bereits im Jahr 2020 machte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Rahmen eines Hinweises darauf aufmerksam, dass der Einsatz von Google Analytics in der Regel der Einwilligung bedürfe.
Dennoch konnten nun in etwa 2.300 Fällen Verstöße wegen einer fehlenden oder unvollständigen Einwilligung ermittelt werden. Hinsichtlich der Gründe für die Verstöße lässt sich nur spekulieren. Regelmäßig lassen sich auf bereits lange bestehenden Internetseiten Rückstände früherer Implementierungen von Google Analytics finden, eine Nutzung von Google Analytics erfolgte ohne Rücksprache mit dem Datenschutzbeauftragten und ohne datenschutzrechtliches Know-how der Marketing-Agenturen oder es handelt sich um eine „Schatten-Internetseite“, die ohne Kenntnis des Verantwortlichen – zum Beispiel durch eine Fachabteilung – eigenmächtig und ebenfalls ohne datenschutzrechtliche Prüfung veröffentlicht wurde.
Aus diesem Grund sind Verantwortliche gut beraten, an einer zentralen Stelle eine Übersicht der aktuellen Internetseiten und Präsenzen in sozialen Netzwerken zu pflegen. Diese sollten zudem in regelmäßigen Abständen, beispielsweise mit Unterstützung des Datenschutzbeauftragten, hinsichtlich der jeweiligen Datenverarbeitungen sowie der Umsetzung der einschlägigen datenschutzrechtlichen Anforderungen überprüft werden. Technische Unterstützung für einen Quick-Check der Internetseite bieten hierbei Dienste wie Webbkoll oder Browser-Add-Ins wie uBlock Origin.
Google Analytics und der Datenschutz
Die datenschutzrechtliche Zulässigkeit der Nutzung von Google Analytics wird regelmäßig diskutiert. So sorgte beispielsweise die auf eine Musterbeschwerde von noyb folgende Untersagung der Nutzung von Google Analytics für ein Unternehmen in Österreich für Aufsehen. Hintergrund war dort insbesondere die rechtswidrige Übermittlung personenbezogener Daten in die USA. Auch die zwingende Einführung des Consent Mode v2 im Frühjahr dieses Jahres führte erneut zu der Frage, ob Google Analytics datenschutzkonform eingesetzt werden könne.
Zum Unmut vieler Betreiber und Betreiberinnen von Internetseiten kann diese Frage nicht mit einem klaren „ja“ oder „nein“ beantwortet werden. Vielmehr kommt es auf die konkrete Implementierung und die vorgenommenen Einstellungen an. Neben der sauberen Implementierung eines Einwilligungsmanagements („Cookie-Banner“), sollte darauf geachtet werden, Google Analytics möglichst datensparsam und unter dem Blickwinkel der Erforderlichkeit einzurichten (z. B. Reduzierung der Speicherdauer, Berichte zu demografischen Merkmalen gegebenenfalls deaktivieren).
Darüber hinaus sollten auch die neben Google Analytics bestehenden Alternativen geprüft werden. Zwischenzeitlich bestehen eine Reihe sinnvoller Anwendungen, deren Datenverarbeitung ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums stattfindet. Zwar kann so das Einwilligungserfordernis nicht umgangen, aber ein Nutzertracking abseits etwaiger Übermittlungsproblematiken in datenschutzrechtliche Drittländer realisiert werden.
Fazit
Die SDTB lässt im Rahmen der Pressemitteilung durchblicken, dass von nun an derartige Prüfungen auch im vorliegenden Größenumfang regelmäßiger vorkommen können. Hierfür stehe der Aufsichtsbehörde seit kurzem ein entsprechendes IT-Labor zur Verfügung: „Das IT-Labor ist wie eine Werkstatt. Zu den wichtigsten Werkzeugen gehört moderne Hard- und Software, mit denen wir Websites, Apps und IT-Produkte datenschutzrechtlich analysieren können. Damit bin ich mit meiner Behörde in der Lage, auch künftig Kontrollen in größerem Umfang vornehmen zu können.“ Somit sollten Verantwortliche in Sachsen ab sofort regelmäßiger die eigenen Internetangebote, Apps und IT-Produkte auf Datenschutzkonformität kritisch prüfen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
