Vorsicht bei Einbindung von Analyse-Diensten auf Websites – Website-Betreiber sollten ihr Angebot überprüfen
Aufgrund einer Vielzahl von Anfragen, Beschwerden und Kontrollanregungen weist die Landesbeauftragte für Datenschutz Schleswig-Holstein auf Folgendes hin:
Hinsichtlich der rechtlichen Bewertung der Einbindung von Analyse-Diensten auf Websites und Apps haben sich die Aufsichtsbehörden des Bundes und der Länder in der Orientierungshilfe für Anbieter von Telemedien[Extern] auf ein gemeinsames Rechtsverständnis geeinigt.
Rechtsauffassungen, die unter Berücksichtigung der Rechtslage vor dem 25.05.2018 veröffentlicht wurden, wie z. B. die „Hinweise des HmbBfDI zum Einsatz von Google Analytics“, sind überholt und werden von den Aufsichtsbehörden des Bundes und der Länder nicht mehr vertreten.
Anbieter von Telemedien sind aufgrund von Art. 5 Abs. 1, 2 Datenschutz-Grundverordnung (DSGVO) verpflichtet, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die sie durch die Einbindung von Analyse-Diensten in ihren Angeboten zu verantworten haben, nachzuweisen.
Bei mehreren Analyse-Diensten ist bereits aus deren Nutzungsbedingungen ersichtlich, dass eine Verarbeitung personenbezogener Daten in einem Umfang vorgenommen wird, der über das erforderliche Maß hinausgeht, oder eine Verarbeitung auch zu eigenen Zwecken des Analyse-Dienste-Anbieters stattfindet. Der Einsatz eines solchen Dienstes würde – vorbehaltlich einer konkreten Prüfung im Einzelfall – auf Grundlage der Kriterien, die in der Orientierungshilfe für Anbieter von Telemedien aufgestellt worden sind, den Spielraum überschreiten, den die Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f DSGVO bietet. In diesen Fällen wäre der Einsatz solcher Dienste – wenn überhaupt – nur auf Grundlage einer der anderen in Betracht kommenden Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO, wie z. B. einer wirksamen Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO, denkbar.
Hinsichtlich der Vorgaben, denen eine wirksame Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO genügen muss, wird auf die Leitlinien des Europäischen Datenschutzausschusses zur Einwilligung[Extern] und das Urteil des Europäischen Gerichtshofs (EuGH) im Verfahren „Planet 49“[Extern] verwiesen.
Die Datenschutzaufsichtsbehörden prüfen die an sie herangetragene Beschwerden und Kontrollanregungen und werden die darin vorgebrachten Hinweise auf Verstöße gegen die DSGVO nach pflichtgemäßem Ermessen verfolgen.