Google Consent Mode API DSGVO

Google Analytics ohne Einwilligung?

header-monitoring
service_google

Google Consent Mode API

Google Analytics ist ein Trackingtool zur Analyse von Reichweite und Nutzerverhalten. Die Google Consent Mode API soll Daten in dem Prozess anonymisieren und somit datenschutzfreundlicher machen. 

Sitz: Mountain View, Kalifornien, Vereinigte Staaten von Amerika
Kategorie:
 Marketing Service
Rechtsgrundlage: Einwilligung erforderlich via Constent Management Platform (CMP)

Was ist die Google Consent Mode API?

Mit der Google Consent Mode API hat Google eine Schnittstelle geschaffen, über die Websites anonymisiert tracken können. Es findet also keine Zuordnung der Client-ID statt und Daten werden nur aggregiert erfasst. Mit einer weiteren Funktion kann außerdem verhindert werden, dass Werbe-Cookies gesetzt oder gelesen werden.
Die Google Consent Mode API kann entweder dadurch aktiviert werden, dass der User die Nutzung von Google Analytics ablehnt (analytics_storage: denied / ad_storage: denied) oder indem sie direkt in den Einstellungen der Website integriert wird.

Ist eine Einwilligung bei der Analyse anonymisierter Nutzerdaten noch nötig?

Nun gehen viele davon aus, dass es aus Sicht des Datenschutz möglich sei, die Google Consent Mode API ohne Einwilligung zu nutzen, da die gesammelten Daten nun anonym sind. Datenschützer sind sich jedoch einig, dass diese Annahme falsch ist. Wir erklären hier, warum.

Rechtlicher Hintergrund

Für die Frage der Rechtskonformität der Web-Analyse bzw. des Trackings auf Websites sind die folgenden Richtlinien entscheidend:

  1. Die Datenschutzgrundverordnung(DSGVO), die in Bezug auf die Verarbeitung personenbezogener Daten regelt, ob eine Einwilligung zum Tracking erforderlich ist.
  2. Die E-Privacy-Richtlinie 2002/58/EG(Cookie-Richtlinie), die sich ganz allgemein auf den Zugriff auf das Endgerät des Nutzers bezieht, also mit der Einwilligung zu Cookies und ähnlichen Technologien.

Aus diesen beiden Schriften ergeben sich folgende Regelungen für die Einwilligung:

Datenverarbeitung durch Cloudflare

Tracking-Einwilligung

Laut DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) ist eine Einwilligung zum Tracking in zwei Fällen erforderlich:

  1. Wenn für den Zweck ein milderes, gleich effektives Mittel zur Verfügung steht.
  2. Wenn die Verarbeitungen nicht den vernünftigen Erwartungen der Nutzer entsprechen.

Definitiv einwilligungspflichtig sind:

  1. Mousetracking bzw. Techniken zur Erfassung von Tastatur-, Maus- und Wischbewegungen auf Touchscreens
  2. Zählpixel von Werbenetzwerken
  3. Die Einbindung von Drittanbietern, die die gesammelten Daten mit eigenen verknüpfen oder beispielsweise Daten von verschiedenen Websites zusammenführen.

Cookie-Einwilligung

Gemäß Art. 5 Abs. 3 der E-Privacy Richtlinie 2002/58/EG (Cookie-Richtlinie) ist eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die nicht technisch unbedingt erforderlich sind.

Unter den Begriff Cookies fallen nicht nur kleine Textdateien und Pixel, die Informationen speichern, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Geräte herauszugreifen, zu verknüpfen oder herzuleiten. Einwilligungspflichtig ist also jede Verarbeitung von Informationselementen, die die Identifizierung einer Person ermöglichen.

Welche Cookies setzt meine Website?

Die Anforderungen an die Einwilligungsfreiheit

Tracking und Web-Analyse ohne Zustimmungspflicht ist möglich. Aus den spezifischen Bedingungen für die Einwilligungspflicht – die ja gerade keine pauschale Forderung nach Einwilligungen formulieren – lassen sich folgende Anforderungen an die einwilligungsfreie Web-Analyse ableiten:

  1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
  2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
  4. Der Auftrgasverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
  5. Der im Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
  6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen zum Tracking in der Datenschutzerklärung
  7. IP-Anonymisierung („Privacy by Default“)
  8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
  9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber

 

Warum eine Einwilligung für „Google Consent Mode API“ weiterhin erforderlich ist:

  • Eine Reichweitenmessung kann laut DSK durchaus ein berechtigtes Interesse darstellen. Dennoch wird es, wie oben beschrieben zum Problem, sobald diese Daten an Drittanbieter wie Google übermittelt werden, wo sie für eigenen Zwecke weiterverarbeitet werden.
  • Der Bundesgerichtshof ist außerdem der Auffassung, dass es sich bei IP-Adressen um personenbezogene Daten handelt. Sämtliche Kommunikation im Internet basiert auf der Nutzung der IP-Adresse bzw. des Internetanschlusses. Die IP-Adresse wird also immer mit übermittelt.
  • Zuletzt hat Google seinen Sitz und seine Server in den USA, welches als Drittland, Nicht-EU-Land gilt, indem es keine hinreichenden Maßnahmen für den Schutz personenbezogener Daten von EU-Bürgern gibt. Sämtlich Übereinkommen mit den USA, wie das Privacy Shield, sind vom EuGH gekippt worden und haben ihre Gültigkeit verloren. Daher gibt es aktuell keine Rechtsgrundlage für die Datenverarbeitung durch Drittanbieter in den USA.

Damit liegen gegen die oben genannten Anforderungen 3, 5, 7 und 9 ein Verstoß vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

Auch der Google Tag Manager bietet hier keinen Weg drum herum, da nur der Einsatz auf selbst betriebenen Servern rechtskonform wäre und dies nach aktuellem Stand nicht möglich ist.

Fazit zur datenschutzkonformen Nutzung der Google Consent Mode API

Google hat einige Mühen auf sich genommen, den Einsatz von Google Analytics ohne Einwilligung zu ermöglichen. Dennoch gibt es aus datenschutzrechtlicher Sicht Verbesserungsbedarf.

Zusammenfassend kann man sagen, müsste Folgendes passieren, damit Sie für den Einsatz der Google Consent Mode API keine Einwilligung benötigen:

  1. Die komplette Anonymisierung der Daten (inkl. IP-Adresse) müsste gewährleistet sein
  2. Google dürfte die Daten nicht für eigene Zwecke nutzen
  3. Es müsste ein neues Datenschutzabkommen zwischen der EU und den USA geben
  4. Der Google Tag Manager müsste lokal integrierbar sein

Es gibt also noch einige Punkte auf der To-Do-Liste für Google bis eine Einwilligungsfreiheit für das Tool erreicht ist.

service_google

Fordern Sie ein Angebot an

Sie möchten Google Analytics nutzen und brauchen eine DSGVO konforme Konfiguration oder Hilfe beim Cookie-Banner? Beantworten Sie uns kurz die folgenden 5 Fragen. Wir melden uns so schnell wie möglich bei Ihnen.

An dieser Stelle haben wir eigentlich ein sehr komfortables Typeform-Element für Sie platziert; Typeform ist ein Anbieter für Formulare mit Sitz in Barcelona, Spanien. So weit so datenschutzkonform; leider nutzen die freundlichen Typeformer ein zusätzliches Tracking-Steuer-Element, das wir ohne Ihre Erlaubnis nicht einsetzen möchten: Segment. Wenn Sie das nicht weiter stört, können Sie mit Klick auf “Zustimmen” zu besagtem Formular gelangen. Andernfalls können Sie sich natürlich auch gerne über unsere Kontaktseite mit uns in Verbindung setzen.

Fordern Sie ein Angebot an