Machen wir es zum Anfang kurz:
Der Einsatz von Google Anlaytics in der EU ist ohne Einwilligung des Nutzers nicht rechtskonfrom und stellt ein erhöhtes Abmahn-, Bußgeld- und Schadensersatzrisiko dar!
Das gilt natürlich ebenso für alle anderen Analyse-Tools die Cookies beim Nutzer setzen, ohne das dies für die Funktionalität der Webseite unbedingt erforderlich ist.
Sie müssen prüfen, ob Sie Dienste oder Tools in die Webseite eingebunden habe, welche vor allem der Analyse des Nutzungsverhaltens der User dienen.
Sollte dies der Fall sein, müssen Sie sicherstellen, dass die Analysedienste erste „zu arbeiten“ beginnen, nachdem der Nutzer nach ganz bestimmten Kriterien eingewilligt hat.
Für alle die es genauer wissen wollen:
In der sog. Planet 49 – Entscheidung des Europäischen Gerichtshof (EuGH) , entschied dieser nach Vorlagefragen des Bundesgerichtshofs (BGH) u.a., dass das Setzen von Cookies, welche nicht zwingend erforderlich sind für die Zurverfügungstellung einer Webseite, der vorherigen Einwilligung der Nutzer bedarf.
Auf europäischer Ebene war das zwar keine neue Erkenntnis, allerdings setzte Deutschland die schon seit 2002 geltenden Vorgaben aus der EU Richtlinie 2002/58 nicht entsprechend in nationales Recht um, sodass, bis heute, gem. § 15 TMG die sog. „Widerspruchslösung“ für Cookies gilt, nach welcher das Cookie-Setzen nur nach aktivem Widerspruch des Nutzers nicht mehr zulässig ist. In diesem Zuge setzten sich auch die „Cookie-Banner“ durch (ohne das ein Gesetz diese forderte), welche ausschließlich mit Standardtexten auf den Cookie-Einsatz hinwiesen, jedoch letztendlich weder Wahlmöglichkeiten enthielten, noch einen gesteigerten Informationsgehalt hatten.
Zusätzlich bestimmte der EuGH, dass die Anforderungen daran, wie so eine Einwilligung der Nutzer aussehen muss damit diese wirksam abgegeben wird, sich nach denen der Datenschutz-Grundverordnung (DS-GVO) richten, vgl. Artt. 6 Abs. 1 a), 7 DS-GVO.
D.h. diese muss
- freiwillig (ja od. nein Möglichkeit), informiert (mind. Art. 13 DS-GVO), grds. für den Einzelfall und
- vor der Cookie-Setzung
erteilt werden.
Webseitenbetreiber müssen daher zunächst für sich feststellen, ob Cookies die gesetzt werden „zwingend erforderlich“ für die Webseitendarstellung sind oder eben nicht und dann im nächsten Schritt dafür Sorge tragen, dass alle nicht-erforderlichen Cookies erst nach wirksamer Einwilligung der Nutzer gesetzt werden. In der Praxis läuft dies zwangsläufig auf ein Cookie-Management-Tool hinaus.
Nebenbei:
Der Einsatz von Google Analytics ist nach Anicht dt. Datenschutzaufsichtsbehörden grds. nicht ohne Einwilligung möglich ebenso wie der Einsatz von Tools die z.B. sog. (personenbezogene) Heatmaps von Nutzerinteraktionen erstellen.
Art. 5 Abs. 3 der Richtlinie 2002/58 lautet in Auzügen:
„[…] die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer […] seine Einwilligung gegeben hat. […] oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Nachdem sich nun auch ein beachtlicher Teil der deutschen Aufsichtsbehörden klar gegen den Einsatz von Google Analytics im Besonderen und allen anderen Drittanbieter-Analysetools im Allgemeinen ohne Einwilligung der Nutzer positioniert hat (siehe hier: https://www.lda.bayern.de/media/pm/pm2019_14.pdf und hier: https://www.baden-wuerttemberg.datenschutz.de/zum-einsatz-von-cookies-und-cookie-bannern-was-gilt-es-bei-einwilligungen-zu-tun-eugh-urteil-planet49/ und hier: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Google-Analytics-und-aehnliche-Dienste-nur-mit-Einwilligung-nutzbar/Google-Analytics-und-aehnliche-Dienste-nur-mit-Einwilligung-nutzbar.html und und und),
geht der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit (TLFDI) bzgl. der Cookie-Setzung in die Offensive und versendet Fragebögen an Webseitenbetreiber (https://www.staemmler.pro/ueberpruefung-websites-von-thueringer-verantwortliche-einwilligung-bei-einsatz-analysetools/).
Nach den Angaben des Blogs von Rechtsanwalt André Stämmler (link siehe oben), sind danach folgende Fragen durch die Webseitenbetreiber zu beantworten:
„1. SetzenSie Dritt-Dienste, also z. B. Analyse-Tools, welche Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergeben und diese die personenbezogenen Daten auch für eigene Zwecke nutzen ein (wie z.B. Google Analytics, facebook pixel, mixpanel, eCouda, Jimdo Analytics)?
Wenn „Ja“, welche Dienste setzen Sie ein?
2. Sollten Sie Dritt-Dienste einsetzen:
Wird jeweils eine Einwilligung gemäß Art. 6 Abs. 1 Satz 1 fit. a) i. V. m. Art. 7 DS-GVO der Nutzerin / des Nutzers eingeholt?
Sollte eine Einwilligung eingeholt werden:
3. Auf welche Weise wird die Einwilligung eingeholt? Bitte Verfahren spezifizieren (z. B. Banner mit Schaltflächen) ggf. mit Screenshots.
4. Welche Informationen werden dem Einwilligenden auf welche Weise zur Verfü- gung gestellt?
5. Wie ermöglichen Sie den Widerruf der Einwilligung (bitte genaue Beschreibung des Verfahrens)?
Sollte keine Einwilligung eingeholt werden:
6. Welche Maßnahme(n) werden Sie bis wann ergreifen?“
Quelle: https://www.staemmler.pro/ueberpruefung-websites-von-thueringer-verantwortliche-einwilligung-bei-einsatz-analysetools/, letzter Abruf am 09.12.2019