HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
Demo vereinbaren
Kostenlos starten
cookiebox logo
analyse

Google Consent Mode

Google Analytics ohne Einwilligung?

data processing services & kategorisierung
google logo

Google Consent Mode

Google Analytics ist ein Trackingtool zur Analyse von Reichweite und Nutzerverhalten. Der Google Consent Mode soll Daten in dem Prozess anonymisieren und somit datenschutzfreundlicher machen. 

  • Sitz: Mountain View, Kalifornien, Vereinigte Staaten
  • Kategorie: Webanalytics
  • Rechtsgrundlage: Einwilligung erforderlich via Consent Management Platform (CMP)
Inhalt des Beitrags

Was ist der Google Consent Mode?

Mit dem Google Consent Mode hat Google eine Schnittstelle geschaffen, über die Websites anonymisiert tracken können. Es findet also keine Zuordnung der Client-ID statt und Daten werden nur aggregiert erfasst. Mit einer weiteren Funktion kann außerdem verhindert werden, dass Werbe-Cookies gesetzt oder gelesen werden.
Der Google Consent Mode kann entweder dadurch aktiviert werden, dass der User die Nutzung von Google Analytics ablehnt (analytics_storage: denied / ad_storage: denied) oder indem er direkt in den Einstellungen der Website integriert wird.

Ist eine Einwilligung bei der Analyse anonymisierter Nutzerdaten noch nötig?

Nun gehen viele davon aus, dass es aus Sicht des Datenschutz möglich sei, den Google Consent Mode ohne Einwilligung zu nutzen, da die gesammelten Daten nun anonym sind. Datenschützer sind sich jedoch einig, dass diese Annahme falsch ist. Wir erklären hier, warum.

Na, auf der Suche nach einem ganz bestimmten Service?

Ziel erreicht! 🏁 

In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!

Expertenwissen und Profi-Tipps gibt’s on top 😉

Zur Cookiepedia-Übersicht
data processing services

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

Cookies

Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:


  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon

IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon

Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon

Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

Google Consent Mode muss Bestandteil deiner Datenschutzerklärung sein!

Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!

Warum eine Einwilligung für den Google Consent Mode weiterhin erforderlich ist:

  • Eine Reichweitenmessung kann laut DSK durchaus ein berechtigtes Interesse darstellen. Dennoch wird es, wie oben beschrieben zum Problem, sobald diese Daten an Drittanbieter wie Google übermittelt werden, wo sie für eigenen Zwecke weiterverarbeitet werden.
  • Der Bundesgerichtshof ist außerdem der Auffassung, dass es sich bei IP-Adressen um personenbezogene Daten handelt. Sämtliche Kommunikation im Internet basiert auf der Nutzung der IP-Adresse bzw. des Internetanschlusses. Die IP-Adresse wird also immer mit übermittelt.
  • Zuletzt hat Google seinen Sitz und seine Server in den USA, welches als Drittland, Nicht-EU-Land gilt, indem es keine hinreichenden Maßnahmen für den Schutz personenbezogener Daten von EU-Bürgern gibt. Sämtlich Übereinkommen mit den USA, wie das Privacy Shield, sind vom EuGH gekippt worden und haben ihre Gültigkeit verloren. Daher gibt es aktuell keine Rechtsgrundlage für die Datenverarbeitung durch Drittanbieter in den USA.

Damit liegen gegen die oben genannten Anforderungen 3, 5, 7 und 9 ein Verstoß vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

 

Der Google Tag Manager in der Server-Side-Tagging (SST) Variante könnte einen Weg drum herum bieten, denn der Betrieb auf eigenen Servern könnte Rechtskonformität herstellen.

Fazit zur datenschutzkonformen Nutzung der Google Consent Mode API

Google hat einige Mühen auf sich genommen, den Einsatz von Google Analytics ohne Einwilligung zu ermöglichen. Dennoch gibt es aus datenschutzrechtlicher Sicht Verbesserungsbedarf.

 

Zusammenfassend kann man sagen, müsste Folgendes passieren, damit du für den Einsatz der Google Consent Mode API keine Einwilligung benötigst:

 

1.) Die komplette Anonymisierung der Daten (inkl. IP-Adresse) müsste gewährleistet sein

2.) Google dürfte die Daten nicht für eigene Zwecke nutzen

3.) Es müsste ein neues Datenschutzabkommen zwischen der EU und den USA geben

4.) Der Google Tag Manager müsste lokal integrierbar sein

 

Es gibt also noch einige Punkte auf der To-Do-Liste für Google bis eine Einwilligungsfreiheit für das Tool erreicht ist.

google logo

Du hast Fragen?

Kontaktiere uns  gerne für ein unverbindliches Erstgespräch:

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

Erich Panihin

Erich Panihin

CEO & Head of Product

sales@cookiebox.pro
Telefon:
Kostenlos testen
Preise & Pakete
Pakete & Preise
Kostenlos testen
cookiebox logo