von RA Phil Salewski

Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse

News vom 25.10.2019, 08:24 Uhr | 5 Kommentare 

Nach dem Grundsatzurteil des EuGH (Az. C-673/17) vom 01.10.2019 gilt eine generelle Einwilligungspflicht für technisch nicht notwendige Cookies. Weil hiervon vor allem Tracking- und Analysedienste weitgehend betroffen sind, wird zur Vermeidung des Einwilligungserfordernisses nunmehr vielfach erwogen, bei Möglichkeit das Setzen von Cookies in Anwendungseinstellungen generell zu deaktivieren. Der nachfolgende Beitrag der IT-Recht Kanzlei beschäftigt sich mit dem cookie-losen Betrieb des beliebten Analysedienstes „Google Analytics“, zeigt die hierfür notwendigen Handlungsschritte auf und geht auf die verbleibenden Risiken ein.

I. Cookies in Google Analytics deaktivieren (Nutzung von „localStorage“)

Google (Universal) Analytics setzt in seiner Standard-Version grundsätzlich Cookies ein. Diese Cookies werden so auf dem jeweiligen Endgerät des Nutzers abgelegt, dass diesem mittels der Cookies eine einmalige „Client ID“ zugewiesen und diese geräteübergreifend nachverfolgt werden kann.

Über diese Client-ID lassen sich nun Nutzerhandlungen nachvollziehen.

Bei Google Analytics besteht nun aber die Möglichkeit, die maßgebliche Client ID nicht über Cookies, sondern über den Browser-Speicher des Nutzers (localStorage) zu manifestieren. Wird diese Einstellung gewählt, lassen sich Cookies von Google (Universal) Analytics abstellen, während das Nutzerverhalten weiterhin nachvollziehbar bleibt.

Für das Abstellen von Cookies und die damit zusammenhängende Speicherung der Client ID in „localStorage“ ist der JavaScript-Code von Google (Universal) Analytics anzupassen.

Verwenden Sie hierfür folgendes Skript:

var GA_LOCAL_STORAGE_KEY = 'ga:clientId';

if (window.localStorage) {
  ga('create', 'UA-XXXXX-Y', {
    'storage': 'none',
    'clientId': localStorage.getItem(GA_LOCAL_STORAGE_KEY)
  });
  ga(function(tracker) {
    localStorage.setItem(GA_LOCAL_STORAGE_KEY, tracker.get('clientId'));
  });
}
else {
  ga('create', 'UA-XXXXX-Y', 'auto');
}
ga('set', 'anonymizeIp', true);

ga('send', 'pageview');

Hinweis:
'UA-XXXXXX-Y’ ist dabei mit Ihrem, von Google individuell vergebenen Tracking-Code, zu ersetzen.

Durch Vornahme dieser Änderung wird die ClientID nun im lokalen Browserspeicher des Nutzers mit der Folge hinterlegt, dass das Setzen von Cookies durch Google (Universal) Analytics unterbunden wird.

asd

II. Auswirkung der Cookie-Deaktivierung auf die Einwilligungspflicht

Beim Einsatz von Google (Universal) Analytics sind in Bezug auf eine potenzielle Einwilligungspflicht zwei verschiedene Ansatzpunkte zu differenzieren.

So kommt zum einen eine Einwilligungspflicht gemäß Art. 5 Abs. 3 der Cookie-Richtlinie in der Fassung der Richtlinie 2009/136/EG für Cookies und cookie-ähnliche Mechanismen in Betracht.

Zum anderen kann sich eine hiervon zu trennende Einwilligungspflicht aber auch aus Art. 6 Abs. 1 lit. a DSGVO für Konstellationen ergeben, in denen durch Google Analytics personenbezogene Daten verarbeitet.

1.) Entfallen der Cookie-Einwilligungspflicht bei Nutzung von „localStorage“ und Deaktivierung von Cookies?

Nach Ansicht des Europäischen Gerichtshofs dürfen Cookies, die für den Betrieb einer Webseite nicht technisch notwendig sind, nur dann gesetzt werden, wenn der jeweilige Nutzer in deren Verwendung zuvor wirksam und informiert eingewilligt hat. Zu den verpflichtenden Informationen gehören nach Ansicht des Gerichts auch die Empfänger von über die Cookies verarbeitenden Informationen sowie die Funktionsdauer der Cookies. Für die Einwilligungspflicht unerheblich soll es sein, ob die technisch nicht notwendigen Cookies im Einzelfall personenbezogene Daten verarbeiten oder nicht.

Daraus ließe sich schlussfolgern, dass die Cookie-Einwilligungspflicht entfällt, wenn das Setzen von Cookies für Google (Universal) Analytics grundsätzlich deaktiviert wird.

Tatsächlich kann mangels Cookie-Einsatzes zwar eine Einwilligungspflicht nicht mehr an das Setzen technisch nicht notwendiger Cookies geknüpft werden.

Allerdings hat der EuGH in seiner Entscheidung vor allem Artikel 5 Abs. 3 der EU-Richtlinie 2002/58/EG in Bezug genommen, der in seiner durch die EU-Richtlinie 2009/136/EG geänderten Fassung wie folgt lautet:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Nach der Vorschrift gilt die Einwilligungspflicht also nicht nur für Cookies, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.

Für Google (Universal) Analytics wird dies insofern relevant, als dass der Dienst auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ ein bestimmtes Nutzerverhalten nachvollziehen kann.

Unter Device Fingerprinting werden (vom Nutzer meist nicht zu erkennende) Technologien verstanden, die vom verwendeten Endgerät spezifische Informationen (etwa den Gerätetyp, die Geräteleistung, das Betriebssystem, Log-Ins etc.) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.

Auch beim Device Fingerprinting wird im Sinne von Art. 5 Abs. 3 der Richtlinie 2002/58/EG aber so auf Informationen vom Endgerät zugegriffen, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden könnte.
Zwar ist die Entscheidung des EuGH nur spezifisch zu Cookies ergangen. Es ist aber nicht unwahrscheinlich, dass die für Cookies bestätigte Einwilligungspflicht auch für das von Google (Universal) Analytics stets betriebene Device Fingerprinting Geltung beansprucht.

Zwar ist dahingehende Rechtsprechung bislang nicht bekannt. Das Abstellen von Cookies kann aber das derzeit bestehende Risiko nicht abbedingen, dass bereits aufgrund des Device Fingerprinting bei Google (Universal) Analytics eine eigenständige Nutzereinwilligung vor dem jeweiligen Einsatz des Dienstes erforderlich wäre.

2.) Datenschutzrechtliche Einwilligungspflicht bei Verwendung von Google Analytics?

Losgelöst von der Einwilligungspflicht für Cookies und (voraussichtlich) derjenigen für vergleichbare Technologien wie das „Device Fingerprinting“ kommt beim Einsatz von Google Analytics auch die Notwendigkeit einer datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Betracht.

So verarbeitet Google (Universal) Analytics in seiner Standardvariante neben anderen Informationen auch stets die vollständige IP-Adresse des Nutzers, die als personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO gilt.

Im Google Analytics-Skript lässt sich nun allerdings eine Einstellung vornehmen, welche die IP-Adresse der Nutzer vor deren Verarbeitung anonymisiert und so den Personenbezug aufhebt.
Konkret erfolgt dieses durch Aktivierung des Zusatzes „_anonymizeIp()“ im Analytics-Tracking-Code

Eine Anleitung zur Anonymisierung der IP-Adressen in Google Analytics und zur Implementierung weiterer datenschutzrechtlicher Voraussetzungen stellt die IT-Recht Kanzlei in diesem Beitrag bereit.

Bisher war dieses Verfahren von den Datenschutzbehörden so anerkannt, dass bei wirksamer Anonymisierung der IP-Adresse der Einsatz von Google Analytics datenschutzrechtlich über überwiegende berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden könnte.

Jüngst allerdings hat sich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) neu zu Google (Universal) Analytics positioniert und vertritt nun eine abweichende Auffassung.

Nach Ansicht der Behörde entfällt eine Rechtfertigung über berechtigte Interessen im Falle von Google (Universal) Analytics deswegen, weil diese eine Abwägung widerstreitender Interessen voraussetze und hierfür vollständige Kenntnisse über die konkreten Umstände der Datenverarbeitung bei den Anbietern notwendig seien. Über solche würden Anbieter aber wegen intransparenter Informationen von Google nicht verfügen.

Nach Ansicht des BayLDA setzt also selbst bei Anonymisierung der IP-Adressen die Verwendung von Google (Universal) Analytics eine Nutzereinwilligung voraus. Eine Rechtfertigung über berechtigte Interessen sei wegen eines Informationsdefizites auf der Verwenderseite nicht möglich.

Mithin besteht beim einwilligungslosen Betrieb von Google (Universal) Analytics nach derzeitigem Stand unabhängig von der Cookie-Deaktivierung ein datenschutzrechtliches Risiko.

III. IT-Recht Kanzlei stellt neue Klauseloptionen für die Datenschutzerklärung bereit

In Anbetracht der Möglichkeit eines cookie-losen Einsatzes von Google (Universal) Analytics stellt die IT-Recht Kanzlei Ihren Mandanten ab sofort Klauseln für die Datenschutzerklärung zur Verfügung, welche für den Betrieb von Google (Universal) Analytics ohne Cookies zugeschnitten sind.

Zu beachten ist allerdings, dass trotz der Deaktivierung von Cookies eine Einwilligungspflicht voraussichtlich nicht entfällt. Der einwilligungslose Einsatz von Google (Universal) Analytics ohne Cookies birgt also ein Risiko.

Wir raten daher unabhängig von einer Cookie-Deaktivierung zur Einholung einer ausdrücklichen Einwilligung des Seitenbesuchers im Rahmen der Nutzung von Google Analytics!

IV. Fazit

Unter Verwendung eines lokalen Speichers lässt sich über Google Analytics ein bestimmtes Nutzerverhalten auch ohne den Einsatz von Cookies nachvollziehen.

Allerdings ist zu beachten, dass damit eine Einwilligungspflichtigkeit des Dienstes voraussichtlich nicht entfällt.

So setzt Google (Universal) Analytics weiterhin sogenanntes „Device Fingerprinting“ ein, welches als cookie-ähnliche Technolie eigenständig Geräteinformationen auslesen und damit für sich gesehen einwilligungspflichtig sein könnte.

Im Übrigen macht das beim Seitenbetreiber vorhandene Informationsdefizit über die konkreten Datenverarbeitungsvorgänge zumindest nach derzeitiger Ansicht des BayLDA bei der Verwendung von Google (Universal) Analytics eine ausdrückliche datenschutzrechtliche Nutzereinwilligung erforderlich.

Selbst beim Abstellen von Cookies in Google (Universal) Analytics besteht daher ein nicht zu missachtendes Risiko, wenn der Einsatz des Dienstes nicht von einer ausdrücklichen Nutzereinwilligung abhängig gemacht wird.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Antwort zu "Matomo (Piwik)"

12.11.2019, 13:30 Uhr

Kommentar von Stefan Riegel

Im Urteil des EuGH geht es primär um Tracking mittels Cookies und ähnlichen Verfahren. Analysetools, die sich auf Daten aus Logfiles etc. stützen, haben stark eingeschränkte Tracking-Möglichkeiten....

Ausweitung der Einwilligungspflicht ist Sache der Gerichte

29.10.2019, 12:09 Uhr

Kommentar von IT-Recht Kanzlei

Sehr geehrter Herr Mager, vielen Dank für Ihren Kommentar. Wie im Beitrag erörtert, beschränkt sich die von der RL 2002/58/EG etablierte Einwilligungspflicht nicht auf Cookies, sondern umfasst vom...

Das Gesetz unterscheidet nicht zwischen Cookie, local storage, oder fingerprinting

29.10.2019, 11:08 Uhr

Kommentar von Christian Mager

Es macht laut Gesetz keinen Unterschied ob ich via Cookie, local storage oder fingerprinting tracke. Wie kann man nur schreiben, es besteht "gegebenenfalls eine Einwilligungspflicht"; die besteht...

Consent Tool

24.10.2019, 23:53 Uhr

Kommentar von Christoph

Liebe IT-Recht-Kanzlei Team, Ich habe eine Frage: wann wird Cookie Consent Tool für uns zur Verfügung bereit gestellt? Wegen Urteil von EUGH benutze ich zur Zeit nur die technisch notwendigen Cookies...

Matomo (Piwik)

24.10.2019, 20:16 Uhr

Kommentar von Sebastian Enders

Gilt das Risiko auch beim Einsatz vom selbst gehosteten Matomo (Piwik) Analyse Tool, wenn dies ohne Cookies implementiert ist. Wenn ja dürfte man Webserverfiles eigentlich auch nicht auswerten mit...

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller