Einsatz von Google-Analytics wie bisher wird risikoreicher

Der nicht datenschutzkonforme Einsatz (nach DSGVO) von Google-Analytics auf Unternehmens-Webseiten ist offenbar weiter verbreitet als man allgemein denkt. Nach dem großen Spektakel im Mai 2018 hätte man denken können, das sei kein Thema mehr. Doch wie Fachleute berichten, werden Aufsichtsbehörden mehrerer Bundesländer mit einer regelrechten Beschwerdeflut konfrontiert. So heißt es, dass ein einzelner Beschwerdeführer für den Raum Hamburg 20.000 Unternehmenswebseiten gelistet hat, die allesamt in unzulässiger Weise Google-Analytics nutzen. Eine noch höhere Anzahl soll bei der zuständigen Behörde in Nordrhein-Westfalen mit 70.000 beanstandeten Seiten zu Bearbeitung anhängig sein.

Google-Analytics ist nach wie vor das populärste Webanalyse-Tool weltweit. Der kostenlose Dienst von Google kann für seine Nutzer die statistische Auswertung ihrer Seite übernehmen – und dokumentiert unter anderem die Herkunft der Besucher, ihre Verweildauer auf einzelnen Seiten, und Bereiche, in denen der Nutzer am meisten klicken. Und natürlich ist es so möglich, ein umfassendes Benutzerprofil von Besuchern einer Webseite zu erzeugen.

ebseitenbetreiber werden aber vermutlich beim Einsatz von Google-Analytics und anderen Tracking-Tools zukünftig nicht mehr ohne die Abfrage einer vorherigen Einwilligung auskommen können.

Best-Practice-Lösung beim Einsatz von Google-Analytics war bis jetzt die aktive IP-Anonymisierung und die Möglichkeit eines Opt-Outs (Widerspruchsmöglichkeit). Die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, vertrat sogar länger die Auffassung, dass ein datenschutzkonformer Einsatz von Google-Analytics & Co ohne eine vorherige Einwilligung der Webseitenbesucher grundsätzlich nicht möglich ist.

Wenn es um strittige Rechtsfragen zur DSGVO ging, hielten sich jedoch die Behörden bei der Verhängung von Bußgeldern bis dato meist zurück. Das könnte sich jetzt ändern. Durch die Cookie-Entscheidung des EuGH ist auch für die Aufsichtsbehörden in das Thema neuer Schwung gekommen. Nationale Gerichte, wie der Bundesgerichtshof, aber auch Behörden, werden beim Webtracking langfristig nicht gegen des Unionsrechts und dessen Auslegung durch den EuGH entscheiden oder agieren (können).

Die Aufsichtsbehörden werden daher nicht umhin kommen, so das Fachportal “datenschutzbeauftragter-info”als sich mit den genannten Massenbeschwerden in irgendeiner Art und Weise zu befassen. Welche behördlichen Maßnahmen künftig auf Betreiber zukommen werden, lässt sich jedoch nur schwer vorhersagen. Webseitenbetreiber werden aber vermutlich beim Einsatz von Google-Analytics und anderen Tracking-Tools zukünftig nicht mehr ohne die Abfrage einer vorherigen Einwilligung auskommen können. Wer auf Nummer sicher gehen möchte, sollte wohl besser zeitnah auf ein Opt-In umstellen.

Führt die Meldung einer eigenen Datenpanne automatisch zu einer Geldbuße?

Nach der Datenschutz-Grundverordnung sind die für Datenverarbeitung Verantwortlichen (die „Datenschutzbeauftragten“) eines Unternehmens verpflichtet, bei einer wie auch immer zustande kommenden Panne – bei der personenbezogene Daten im Spiel sind – die zuständige Datenschutzbehörde zu informieren. Dabei stellt sich natürlich die Frage, ob die Meldung einer Datenpanne eventuell zu einem Bußgeldverfahren führt – also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist so einfach nicht der Fall.

Binnen 72 Stunden, nachdem Verantwortliche ein Problem entdeckt haben, sollten die entsprechenden Information übermittelt werden. Viele Datenschutz-Aufsichtsbehörden bieten dazu inzwischen die Möglichkeit über ihre Webseiten entsprechende Datenpannen online zu melden. Es ist also ein eher geringer Aufwand, der aber nicht dazu verleiten sollte, auf eine solche Meldung zu verzichten.

In bestimmten Fällen muss ein Unternehmen die Datenpanne auch den direkt Betroffenen, also etwa den Kunden melden. Voraussetzung ist, dass die Verletzung  zu einem voraussichtlich hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Als Firma muss man also eine Prognose treffen, ob ein solcher Fall eintreten wird. Datenpannen mit personenbezogenen Daten müssen gemeldet werden, sonst droht ein Bußgeld.Übrigens: die Benachrichtigung muss unverzüglich erfolgen und zudem in einer klaren und einfachen Sprache übermittelt werden.

Um es klar zu sagen: Versäumte oder verspätete Meldungen stellen einen Verstoß dar und können mit Bußgeld geahndet werden. Sofern von einer Meldung abgesehen wird, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen zu bestehen scheint, ist dies sorgfältig zu dokumentieren und zu begründen.

Wie muss man als Unternehmer bei einer Datenpanne vorgehen?

Liegt hingegen die Verletzung personenbezogener Daten vor, sind für eine Risikobeurteilung insbesondere folgende Fragen zu stellen:

  • In welcher Form ist eine Datenpanne aufgetreten?
  • Welche Schäden können für die betroffene Person eintreten?
  • Durch welche Handlung und Umstände kann ein solches Schadensereignis eintreten?

So führt beispielsweise der Verlust von Kreditkartendaten durch ein Problem mit dem Server des Betreibers zum Risiko eines Kreditkartenmissbrauchs – und eventuell auch zu einem materiellen Schaden in Form einer unbefugten Kreditkarten-Nutzung.

Wobei nach dem Bundesdatenschutzgesetz einschränkend gilt, dass die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden darf. Das gilt auch für die Einleitung eines Strafverfahrens. Wer diese Zustimmung also nicht erteilt, braucht somit nicht zu befürchten, dass die Datenschutz-Aufsicht auf Grundlage der eigenen Meldung ein Bußgeld-Verfahren einleitet.

Aber, sollten Dritte die Datenpanne melden – so steht die gegebenenfalls bußgeldbewehrte Frage im Raum, warum die Verantwortlichen diese Panne nicht gemeldet haben.

Foto: fizkesstock.adobe.com