Datenschutzkonferenz: Neue Vorgaben für Google Analytics
Danach soll nun das Folgende gelten:
Google Analytics darf nicht mehr über eine Auftragsverarbeitung (AVV) gem. Art. 28 DSGVO eingebunden werden. Google sei vielmehr selbst der datenschutzrechtlich Verantwortliche.
Es liegt eine gemeinsame Verantwortlichkeit zwischen Google und dem Webseitenbetreiber gem. Art. 26 DSGVO vor, sodass eine gesonderte Vereinbarung mit Google erforderlich wird.
In der Regel könne die Datenübermittlung an Google Analytics und damit der Einsatz von Google Analytics nicht auf eine Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DSGVO gestützt werden und auch nicht auf eine Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO. Es sei in der Regel vielmehr stets eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erforderlich.
Die Einwilligung muss verschiedenen Anforderungen genügen. Insbesondere muss eine vorherige, aktiv erklärte Einwilligung erfolgen, der Einwilligungs-Banner oder Cookie-Banner darf das Feld „Impressum“ und „Datenschutz“ nicht verdecken, der Einwilligungstext muss transparent sein, ausreichende Informationen gem. Art. 13 DSGVO müssen erteilt werden, der Webseitenbesucher muss die Einwilligung auch verweigern können und der Webseitenbesucher muss ebenso einfach widerrufen können. Für den Widerruf genüge die Verwendung des von Google zur Verfügung gestellten Browser-Add-ins nicht.
Die Verwendung der Funktion „anonymize_ip“, also der Funktion die IP-Adresse zu kürzen, wird als Teil der datenschutzfreundlichen Voreinstellung gem. Art. 25 DSGVO empfohlen.