Dieser Blogbeitrag ist etwas länger geworden; das eigentlich Spannende kommt am Ende. Dennoch ist auch die Vorgeschichte und das Intermezzo interessant: Für Ungeduldige und Schnellleser bzw. zum besseren „Überfliegen“ könnten Sie auch direkt zur Überschrift „Schlussakt“ springen. Sie verpassen dann aber etwas Hintergrundwissen.
Die Vorgeschichte
Vor dem Wirksamwerden der Datenschutzgrundverordnung (DSGVO) konnten sich Websitebetreiber, die feststellen wollten, wie häufig ihre Website besucht wird, auf die relativ klaren Spielregeln des § 15 Abs. 3 Telemediengesetz (TMG) berufen. Nutzer von Matomo und Google Analytics in der Standardimplementierung befanden sich bei richtiger Konfiguration der Tools und bei der Einhaltung der definierten Spielregeln somit auf der sicheren Seite.
Noch kurz vor Wirksamwerden der DSGVO war auch nicht damit zu rechnen, dass sich hier etwas ändern würde. Denn unabhängig von der Frage, ob § 15 Abs. 3 TMG von der DSGVO verdrängt wird oder nicht, konnte man sich damals (aus unserer Sicht) auf den Standpunkt stellen, dass die bewährten Spielregeln fortan entweder über § 15 Abs. 3 TMG oder ansonsten bei gleichen Rahmenbedingungen nach Art. 6 Abs. 1 lit. f DSGVO Geltung behalten würden.
Für „normale“ Tools zur Besuchermessung war daher die vorherige Information der Nutzer, ein Widerspruchsrecht, die Anonymisierung der IP-Adresse und ggf. ein Vertrag zur Auftragsverarbeitung mit Google erforderlich.
Eine Einwilligung hätte man allerdings (aus unserer Sicht) für alle darüberhinausgehenden Trackingmaßnahmen benötigt, etwa Remarketing, Google Analytics mit demografischen Merkmalen, Einbindung von Facebook Pixeln etc.
Das Intermezzo
Diese relativ klare Sortierung wurde jedoch kurz vor Wirksamwerden der DSGVO von den deutschen Aufsichtsbehörden gehörig durcheinandergewirbelt. So vertraten die deutschen Aufsichtsbehörden, dass § 15 TMG mit der DSGVO nicht mehr angewendet werden könne und für alle Trackingmaßnahmen eine Einwilligung erforderlich sei. Auf Grund der Unbestimmtheit der Positionsbestimmung musste auch davon ausgegangen werden, dass hiervon die klassischen Tools zur Besuchermessung umfasst waren. Im Fazit durften Matomo und Google Analytics in der Standardimplementierung nur noch mit Einwilligung eingesetzt werden.
Im 27. Hamburgischen Tätigkeitsbericht lässt sich der weitere Fortgang des Schauspiels unter Ziffer III.10 nachlesen:
„An der Positionsbestimmung wurde vorrangig von Vertretern der Wirtschaft sowie der Medien- und Verlagsbranche teils heftige Kritik geübt. So fordert die Positionsbestimmung, entgegen der bisher gelebten Praxis des sogenannten Opt-Out-Verfahrens, also eine Widerspruchslösung für das Verarbeiten personenbezogener Daten im Internet, nunmehr ein Opt-In-Verfahren, also eine vorherige informierte Einwilligung in die Verarbeitung personenbezogener Daten. Dies führe nach Ansicht der Medienvertreter u.a. zu erheblichen Einnahmeverlusten im Bereich der Werbefinanzierung und bedrohe so den Journalismus insgesamt. Aufgrund der Tragweite der Positionsbestimmung hat die Datenschutzkonferenz ein Konsultationsverfahren eröffnet, in dem Verbände und Unternehmen schriftlich zur behördlichen Positionsbestimmung bis zum 29. Juni 2018 Stellung nehmen konnten. Im weiteren Verlauf schloss sich eine mündliche Konsultation an, die am 16. Oktober 2018 in Berlin stattgefunden hat. Im Rahmen des Konsultationsverfahrens konnte insbesondere zu der Frage, welche Verarbeitungstätigkeiten im Rahmen des Webtrackings einer Einwilligung bedürfen und welche auf eine Interessenabwägung gestützt werden können, kein Konsens gefunden werden. Die Aufsichtsbehörden haben sich darauf verständigt, eine Konkretisierung der Positionsbestimmung in Form einer Orientierungshilfe zu verabschieden.“
Tatsächlich entstand durch die Positionsbestimmung der Aufsichtsbehörden eine ungünstige Situation:
- Websitebetreiber, die einfach nur messen wollten, wie häufig ihre Seite aufgerufen und wie die Seiten genutzt wurden, sahen sich hohen Hürden ausgesetzt.
- Die Position der Aufsichtsbehörden beinhaltete an dieser Stelle auch eine nicht zu unterschätzende Gefahr – denn es konnte durchaus die etwas provokante Frage gestellt werden: Wenn sowieso jede Form des Trackings im Internet einer Einwilligung (in Form eines Cookie-Banners) bedarf, welche Anreize bestehen für Websitebetreiber dann noch, sich sogar nur auf eine zurückhaltende Messung der Besucher zu beschränken?
- Cookie-Banner wurden inflationär genutzt, wobei diese Banner häufig nicht mehr als ein „Feigenblatt“ waren. So wurde in vielen Fällen trotz Banner bereits getrackt. Auch eine ausdrückliche Einwilligung wurde meistens nicht eingeholt, sondern ein „Weiternutzen der Seite“ jedweder Art als konkludente Einwilligung gewertet. Nutzer erhielten zudem nur selten die Wahlmöglichkeit, auch „Nein“ sagen zu können; und wenn diese Möglichkeit doch gegeben wurde, war die Nutzung der Seite häufig an eine Einwilligung gekoppelt. Zusätzlich fehlten nicht selten Widerrufsmöglichkeiten; insgesamt wurde eine umfassende und verständliche Information der Nutzer häufig nicht erreicht.
Die im Hamburger Tätigkeitsbericht erwähnte Kritik an der Positionsbestimmung der Aufsichtsbehörden kam daher nicht nur aus der Wirtschaft und der Medien- und Verlagsbranche, sondern wurde auch von Datenschutzberatern und ihren Datenschutzgesellschaften geäußert.
Schlussakt?
Knapp ein Jahr nach der ursprünglichen Positionsbestimmung haben die Aufsichtsbehörden nun eine „Orientierungshilfe für Anbieter von Telemedien“ verabschiedet. Hierin stellen die Aufsichtsbehörden fest, dass § 15 TMG nicht anwendbar ist und es bei der generellen Anwendbarkeit der DSGVO bleibt. Als Rechtsgrundlage kommen daher die unterschiedlichen Erlaubnistatbestände des Art. 6 DSGVO in Betracht. Mit diesen setzt sich die Orientierungshilfe dann auch auseinander.
Im Zusammenhang mit der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO treffen die Aufsichtsbehörden dabei endlich klare (und angemessen strenge) Vorgaben an wirksame „Cookie-Banner“ und „Consent-Tools“. Mit den genannten Vorgaben dürften den bisherigen „Feigenblattlösungen“, die oben beschrieben wurden, der Argumentationsboden entzogen worden sein. Gefordert werden nun ausdrücklich wirksame Tools, die jedwedes einwilligungsbedürftige Tracking unterbinden, bis die Einwilligung durch ausdrückliche Handlung vom Nutzer erteilt wurde.
Im Hinblick auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO trifft die Orientierungshilfe zu den wirklichen spannenden Fragen leider kaum klare und eindeutige Aussagen. Zwar wird die Möglichkeit, bestimmte Datenverarbeitungen auch auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zu stellen, erörtert. Dabei werden immerhin auch konkrete Tipps gegeben, wie eine Verhältnismäßigkeitsprüfung aussehen kann. Es bleibt jedoch dabei, dass eine solche im Einzelfall durchgeführt werden muss und dabei u.a. folgende Kriterien zu berücksichtigen sind:
- Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz
An dieser Stelle ist spannend, dass die Aufsichtsbehörden ausführen, dass Nutzer normalerweise nicht erwarten werden, dass Informationen über die Nutzung der besuchten Seite an Dritte weitergegeben werden. Eine Informationsweitergabe an Dritte dürfte z.B. beim Einsatz von Facebook-Trackingpixeln sowie Remarketing-Cookies vorliegen. Diese Funktionen werden nach unserer Lesart daher eine Einwilligung erforderlich machen (dies konnte man aber schon früher so vertreten und selbst Anbieter wie Google und Facebook sahen dies in Ihren Nutzungsbedingungen so vor).
Auch die Nutzung von Tools, die zwar lokal ausgeführt werden, jedoch die Interaktion mit der Website exakt nachvollziehen (also z.B. Tastatur- und Maus- bzw. Wischbewegungen aufzeichnen), entsprechen nach Ansicht der Aufsichtsbehörden nicht den vernünftigen Erwartungen der Nutzer. Ohne Einwilligung ist eine solche vollständige Interaktionsaufzeichnung also unzulässig.
Erfreulicherweise scheinen die Aufsichtsbehörden an dieser Stelle keine Probleme mit Tools zu haben, die eine zurückhaltende Besuchermessung durchführen. Sofern hier keine andauernde Wiedererkennung, keine stetig umfangreiche Profilbildung, keine Weitergabe an Dritte erfolgt, kann die Abwägung auch zugunsten des Websitebetreibers ausfallen. Aus unserer Sicht sind damit die gängigen Tools wie Google Analytics in der Standardimplentierung sowie Matomo grundsätzlich wieder auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO einsetzbar.
- Interventionsmöglichkeiten der betroffenen Personen
Nutzer müssen die Datenverarbeitung widerrufen können. Je weniger Hürden an den Widerruf gestellt werden, desto eher fällt die Interessenabwägung zu Gunsten des Websitebetreibers aus. Auch hier haben die gängigen Tools wie Google Analytics in der Standardimplentierung sowie Matomo alle erforderlichen Möglichkeiten an Bord.
Probleme scheinen die Aufsichtsbehörden an dieser Stelle mit Device-Fingerprints zu haben. Das dies tatsächlich so ist, zeigt ein Blick über den Tellerrand in Kapitel 23.8 des aktuellen Tätigkeitsberichts des BayLDA zum Browser-Fingerprinting:
„Wir sind der Auffassung, dass ein Einsatz von Browser-Fingerprinting-Technologien nur mit Einwilligung der Nutzer zulässig ist. Auf eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DS-GVO können sich die Verwender dieser Technologie nicht stützen, da die schutzwürdigen Interessen der Nutzer hier eindeutig überwiegen.“
Leider muss man an dieser Stelle entgegnen, dass die Aufsichtsbehörden hier zu wenig differenzieren. Tatsächlich gibt es auch Device-Fingerprints mit einer sehr geringen Wiedererkennbarkeit, die noch nicht einmal eine sessionübergreifende Besuchermessung zulässt. Bestes Beispiel hierfür: Die cookielose Variante von Matomo (die bei richtiger Einstellung sogar weniger eingriffsintensiv ist, als die Variante mit Cookies). Man wird also auch hier eher sagen müssen, dass es auf den Einzelfall ankommt, und kann nicht von vornherein einer Technologie die Zulässigkeit absprechen.
- Verkettung von Daten
Auch die Möglichkeit der Verkettung von Daten muss in den Blick genommen werden – insbesondere die Möglichkeit der geräteübergreifenden Verkettung. An dieser Stelle spricht also viel dafür, dass die Funktion der Google Analytics User-ID nicht ohne Einwilligung genutzt werden darf; ebenso das Measurement-Protokoll zur Verknüpfung von On- und Offlinedaten (vgl. auch unsere Position hier).
- Beteiligte Akteure
Je mehr Verantwortliche, Auftragsverarbeiter und sonstige Empfänger ggf. sogar in unterschiedlichen Jurisdiktionen involviert sind, desto größer sei die Beeinträchtigung des Betroffenen. Nach unserer Einschätzung ist jedoch die Nutzung eines Dienstleisters, der z.B. in den USA sitzt, mit dem ein Vertrag zur Auftragsverarbeitung abgeschlossen wurde und der unter das Privacy Shield fällt, noch in Ordnung (Google Analytics in der Standardimplementierung).
- Dauer der Beobachtung
Hier gilt: Je kürzer, desto besser. Entsprechende Einstellungsmöglichkeiten bieten sowohl Matomo als auch Google.
- Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)
Betreiber von Seiten, die sich an Kinder oder andere besonders schutzbedürftige Personen richten, müssen dies im Rahmen ihrer Interessenabwägung berücksichtigen. Gegen eine zurückhaltende Besuchermessung mit z.B. Matomo und Google Analytics in der Standardimplementierung dürfte auch hier bei Nutzung eines kurzen Trackingzeitraums nichts sprechen.
- Datenkategorien und Umfang der Datenverarbeitung
Diese können – je nach Webseite – zum Problem werden: Die Speicherung von auf der Seite eingegeben Suchbegriffen, von unvollständig ausgefüllten Formularen sowie die Frage, welche konkreten Daten zur Nutzungsprofilbildung verarbeitet werden, bedürfen jeweils einer sorgfältigen Prüfung. Maßgeblich dabei ist auch und gerade die Überlegung, ob ein Zusammenspiel von mehreren dieser Faktoren eine Verbindung zu einzelnen Personen ermöglichen. Besonders vorsichtig sollten z.B. Seiten sein, die Daten verarbeiten, die Rückschlüsse auf besondere Kategorien personenbezogener zulassen.
Fazit:
Die jetzige Orientierungshilfe ist leider alles andere als eindeutig. Im Hinblick auf die vor der DSGVO gängigen Analysetools zur Besuchermessung (Matomo und Google Analytics) scheint ein Einsatz auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO aber grundsätzlich wieder möglich zu sein. Zumindest hier zeichnet sich ein Ende der Odyssee ab, und Websitebetreiber haben künftig die Wahl:
- Zurückhaltende Besuchermessung ohne Nutzung eines Consent-Tools oder
- Diensteanbieterübergreifendes Tracking mit Consent-Tool und angemessen strengen Anforderungen an die Einwilligung (keine Feigenblattlösungen).
Im Ergebnis kann mit diesem Ansatz ein guter Ausgleich zwischen den Risiken für die Rechte und Freiheiten der betroffenen Person einerseits und den Interessen von Websitebetreibern andererseits gefunden werden.
[Update: Da es einige Nachfragen gab, möchte ich noch einmal deutlich schreiben, dass es zur zurückhaltenden Besuchermessung m.E. auch gehört, dass die IP-Adressen bei Verwendung von Google Analytics und Matomo anonymisiert werden. Das wurde auch früher von Aufsichtsbehörden zu Recht gefordert und sollte weiterhin im Rahmen der Interessenabwägung vorausgesetzt werden. Mit Google muss zudem ein Vertrag zur Auftragsverarbeitung geschlossen werden. Ebenso mit einer etwaigen Agentur, falls diese für den Websitebetreiber Matomo hostet.]
23. April 2019 @ 17:58
Google verwendet die Daten auch für eigene Zwecke und verknüpft sie mit anderen Daten. Wie man da zu dem Schluss kommen kann, dass keine Weitergabe der Daten an Google statt finden würde, bleibt schleierhaft.
23. April 2019 @ 19:17
Sofern Google Analytics in der Standardimplementierung genutzt wird, liegt mir keine Kenntnis der zweckwidrigen Nutzung durch Google oder einer Verknüpfung der Daten mit anderen Quellenvor. Im Gegenteil. Google schließt hier ja sogar Verträge zur Auftragsverarbeitung ab und selbst die Aufsichtsbehörden haben eine vertrags- bzw. zweckwidrige Verwendung in der Vergangenheit nicht angenommen (vgl. hier: https://web.archive.org/web/20170224093106/https:/www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_fuer_Webseitenbetreiber_in_Hamburg_2017.pdf).
Eine Verknüpfung wird vorgenommen, sofern Google Analytics über die Standardimplementierung hinaus genutzt wird. Also z.B. bei der Nutzung der Google Analytics-Werbefunktionen (Remarketing, Berichte zu Impressionen im Google Displaynetzwerk, Berichte zur Leistung nach demografischen Merkmalen und Interessen, sonstige integrierte Dienste – vgl. hier: https://support.google.com/analytics/answer/2700409?hl=de). Diese bedürfen daher einer Einwilligung. Das fordert aber selbst Google über seine Nutzungsbedingungen (https://www.google.com/intl/de/about/company/user-consent-policy.html). Man muss hier also differenzieren.
24. April 2019 @ 16:37
Das ist so nicht richtig. Google nutzt sehr wohl in der Standardimplementierung die Daten der Nutzer für eigene Zwecke und verlangt auch die explizite Zustimmung zu „Controller-Controller Data Protection Terms“. In denen heißt es unter anderem: „Each Party: […] is an independent controller of Controller Personal Data under the Data Protection Legislation“.
Außerdem nimmt sich Google explizit das Recht heraus, über die Zwecke und Mittel der Verarbeitung zu entscheiden. Das recht beider vetragspartner, die Daten zu nutzen, wird explizit nicht eingeschränkt.
Der Nutzer von Google Analytics wird verpflichtet, eine Einwilligung der Webseitennutzer einzuholen.
Liest eigentlich irgendwer das Zeug, dem er zustimmt?
24. April 2019 @ 19:08
Ja, wir lesen es. Ich vermute, Sie verwechseln hier die zu Grunde liegenden Nutzungsbedingungen bzw. Verträge. Ich versuche mal ein wenig Licht ins Dunkel zu bringen – es ist tatsächlich etwas unübersichtlich.
1.) Rolle von Google bei der Nutzung von Google Analytics
Wenn Sie Google Analytics nutzen wollen, bietet Ihnen Google über Ihr Google Konto unter Analytics ==> Verwaltung ==> Zusatz zur Datenverarbeitung die Möglichkeit, diesen Zusatz (https://www.google.com/analytics/terms/dpa/dataprocessingamendment_20180109.html) abzuschließen. Dabei handelt es sich klar um einen Vertrag zur Auftragsverarbeitung der auch die Zwecke, Rollen und Weisungsbefugnisse regelt. U.a. heißt es hier in Ziffer 5.1.1: „(b) Google is a processor of Customer Personal Data under the Data Protection Legislation; (c) Customer is a controller or processor, as applicable, of Customer Personal Data under the Data Protection Legislation;„.
Ein Joint Controllership, wie von Ihnen beschrieben, liegt hier also gerade nicht vor. Ich vermute, Ihr Zitat bezieht auf ein anderes Google Produkt – z.B. Google Maps, dort findet sich ein entsprechender Text unter Ziffer 4.1 (https://cloud.google.com/maps-platform/terms/maps-controller-terms/). Das ist aber ein völlig anderes Produkt.
2.) Einwilligungserfordernis nach Google Nutzungsbedingungen
Für Google Analytics in der Standardimplementierung sieht Google keine Einwilligung vor. Ein Einwilligungserfordernis über die Google Nutzungsbedingungen kann sich z.B. aus Googles „Richtlinie zur Einwilligung der Nutzer in der EU“ ergeben. Diese bestimmt gleich zu Beginn ihren eigenen Anwendungsbereich: „Wenn Ihre Vereinbarung mit Google diese Richtlinie einbezieht oder Sie anderweitig einen Google-Dienst verwenden, für den diese Richtlinie gilt, müssen Sie ...“. Man muss also jetzt die Nutzungsbedingungen für Google Analytics nach der Anwendbarkeit der Google Einwilligungsrichtlinie durchsuchen.
Machen wir uns auf den Weg und beginnen hier https://www.google.com/analytics/terms/de.html. Ich finde hier kein Einwilligungserfordernis hinsichtlich der Websitebesucher für Google Analytics. Aber es erfolgen Verweise auf viele andere Policies – etwa unter Ziffer 7.
Nun gut, machen wir uns auch hier auf den Weg und landen nach einiger Zeit in den https://support.google.com/analytics/answer/4597324. Dort wird es spannend! In der „Richtlinie zu Datenschutzaspekten“ heißt es: „Wenn Sie Google Analytics auf Ihrer Website oder in Ihrer App verwenden, müssen Sie dies offenlegen und angeben, wie Daten erhoben und verarbeitet werden.“ Okay, wir müssen informieren. Das sieht Art. 13 DSGVO ja auch so. Mehr nicht. Es besteht kein Verweis auf die Einwilligungsrichtline von Google.
Anders sieht das aus, wenn man die „Richtlinienanforderungen für Google Analytics-Werbefunktionen“ durchliest: „Bei Verwendung der Google Analytics-Werbefunktionen ist zudem die Richtlinie zur Einwilligung der Nutzer in der EU einzuhalten„. Die „Richtlinienanforderungen für Google Analytics-Werbefunktionen“ beginnen aber mit der Klarstellung, dass die Google Analytics-Werbefunktionen nicht Bestandteil der „Standardimplemtierung“ sind: „Die Google Analytics-Werbefunktionen umfassen folgende Funktionen in Analytics, die in Standardimplementierungen nicht verfügbar sind: – Remarketing mit Google Analytics, – Berichte zu Impressionen im Google Displaynetzwerk, …„.
Aus diesem Grund habe ich im obigen Artikel auch so häufig und mit Links hinterlegt den Begriff „Google Analytics in der Standardimplementierung“ verwendet.
Ja, ich weiß, ganz schön kompliziert. Das ist aber schon seit Jahren so, ich hatte das mal hier dargestellt: https://shop.heise.de/katalog/durchblick-im-cookie-wirrwarr
Viele Grüße
25. April 2019 @ 10:04
Nein, ich verwechsele nichts. Die Standardimplementierung ist das, was Google standardmäßig anbietet und aktiviert. Und in eben dieser muss man den bereits erwähnten „Controller-Controller Data Protection Terms“ zustimmen. Die natürlich kein Nutzer durchliest, zumal sie auf Englisch sind.
Da Google solche Dinge üblicherweise unübersichtlich gestaltet, mag dies in anderen Situationen schwerer auffindbar sein. In der Standardimplementierung verlangt Google aber die Zustimmung zu den „Controller-Controller Data Protection Terms“ und sichert sich explizit das Recht, die Daten auch für eigene Zwecke zu nutzen.
Abgesehen davon kann man sich natürlich fragen wie glaubwürdig es ist, wenn Google an anderen Stellen behauptet, sie seien nur Auftragsverarbeiter. Schließlich sind sie eben technisch in der Lage, die Daten zusammenzufassen.
Und im Zusammenhang mit dem oben erwähnten Papier stellt sich die Frage, wie die Aufsichtsbehörden dies sehen. Daraus wird m.E. klar, dass Google Analytics eben keine Auftragsverarbeitung ist (auch wenn Google dies als Datensammler gerne hätte). Der Einsatz von Google Analytics ist auch nicht erforderlich für die Wahrung der legitimen berechtigten Interessen.
Warum viele Seitenbetreiber heimlich ihre Nutzer an Google verraten wollen, das hat mir sowieso noch nie eingeleuchtet.
25. April 2019 @ 11:01
Posten Sie doch bitte einmal den konkreten Link zu den „Controller-Controller Data Protection Terms“, auf die Sie sich beziehen.
Viele Grüße
25. April 2019 @ 19:17
Die konkreten „Controller-Controller Data Protection Terms“ haben keine eigene URL, sondern werden nur in einem Layer bei der Aktivierung angezeigt.
25. April 2019 @ 21:24
Hallo Max,
ich habe mir mal testweise einen ganz neuen Google-Account erstellt und die Registrierung eines Google-Analytics-Kontos nachvollzogen. Das ist schon spannend, was Google da macht:
1.) Mit dem frischen Google Account eingeloggt bin ich auf die Google-Analytics-Registrierungsseite gegangen (Bild 1).
2.) Dort musste ich einige Angaben zur Generierung einer Tracking ID machen und wurde mit vorangekreuzten (!) Kästchen im Hinblick auf meine „Einstellungen für die Datenfreigabe“ konfrontiert (Bild 2).
3a) Ich habe im ersten Schritt alle Haken angekreuzt gelassen und habe auf „Tracking-ID abrufen“ geklickt. Im nächsten Schritt wurde ich aufgefordert, die Google Analytics Terms of Service zu akzeptieren. Zusätzlich wurden mir tatsächlich die von Ihnen erwähnten Google Measurement Controller-Controller Data Protection Terms (hier der Text) angezeigt. (Bild 3a).
3b) Etwas anders stellt sich die Situation dar, wenn man auf der ursprünglichen Seite Bild 2 das Häkchen bei der Auswahl „Google-Produkte und -Dienste“ entfernt. Dann werden einem nach dem Klick auf „Tracking-ID abrufen“ nur die Google Analytics Terms of Service angezeigt und nicht mehr die Google Measurement Controller-Controller Data Protection Terms (Bild 3b).
Ich gebe zu, das ist ganz schön kniffelig und nicht wirklich transparent oder nutzerfreundlich. Privacy by default sieht auch anders aus. Bei Matomo gibt es diese Fettnäpfchen nicht. Danke für den Hinweis!
26. April 2019 @ 9:56
Ja, genau!
Aber auch wenn man diese (von Google dringend empfohlene!) Einstellung weg lässt, ändert sich ja m.W. nichts am Code. Es gibt also keine nachprüfbare Garantie, dass Google die Daten nicht doch zu weiteren Zwecken verwendet. Die Übermittlung der Daten an Dritte bzw. Speicherung bei Dritten kann und sollte man sowieso kritisch sehen, auch das ist nach der Orientierungshilfe der DSK eben nicht ohne Einwilligung zulässig (siehe Seite 13). Erforderlich für Statistiken ist das nicht. Selbst der lokale Einsatz von Matomo wäre nicht erforderlich, da es andere Mittel gibt, die beispielsweise auch problemlos die Anzahl der Downloads von PDFs zählen können.
26. April 2019 @ 10:33
Eine nachprüfbare Garantie, dass Auftragsverarbeiter nur das machen, was beauftragt ist, gibt es insgesamt nur sehr sehr selten. Ein Auftragsverarbeiter ist auch kein Dritter im rechtlichen Sinne. Im Hinblick auf Google gibt es m.E. – anders als bei z.B. Facebook – auch keinen offenkundigen Gegensatz zwischen dem, was man zusichert und dem, was man tut. Das Problem bei Google ist eher, dass kaum noch jemand versteht, was Google tut und die entsprechenden Erklärungen und Nutzungsbedingungen, die man als Nutzer von Google abgeben soll, deutlich hinterfragt werden können. Das Thema würde den Rahmen jetzt aber sprengen und hier gibt es ja auch schon die ersten Bußgelder gegen Google.
Insgesamt halte ich den Einsatz von Messtools – auch den lokalen Einsatz von Matomo – schon für sehr wichtig für Websitebetreiber, Blogbetreiber etc. Viele Menschen (und Unternehmen) stecken ihre Zeit in die Produktion von Content und gestalten mit viel Herzblut und Aufwand ihre Webauftritte. Aus meiner Sicht sollte man da schon erfahren dürfen, wie viele Einzelbesucher man so auf den Seiten hatte, welche Artikel besonders häufig gelesen werden und ob der ganze Aufwand eigentlich Sinn macht bzw. wo man sich verbessern kann. Die Anzahl von Downloads oder die Anzahl der Aufrufe einzelner Seiten reicht da leider in der Regel nicht aus . Die zurückhaltende Besuchermessung zu eigenen Zwecken wird ja auch von den Aufsichtsbehörden nicht kritisiert. Selbst die Art. 29 Datenschutzgruppe hat hierfür schon vor langer Zeit eine Privilegierung vorgeschlagen und die bisherigen Fassungen der ePrivacy-VO auch (vgl. Beitrag hier). Aber auch das würde den Rahmen sprengen.
Viele Grüße!
16. April 2019 @ 17:46
Aber werden Daten bei Google Analytics nicht an Dritte weitergegeben? Danke
20. April 2019 @ 19:13
Google bietet den Abschluss von Verträgen zur Auftragsverarbeitung an.
Nach Art. 4 Nr. 10 DSGVO sind Auftragsverarbeiter keine Dritten.
Somit dürfte der Einsatz im oben beschriebenen Umfang zulässig sein.