Datenschutz

Risiko Consent Mode: Google Analytics datenschutzkonform nutzen (FAQ zum Einwilligungsmodus)

von Dr. Thomas Schwenke
/

Der Einwilligungsmodus von Google Analytics (auch als “Consent Mode” bekannt) ist ein neues Einwilligungsverfahren von Google Analytics, das ab März 2024 für Analytics-Nutzer, die personalisierte Anzeigen schalten oder messen wollen, verbindlich wird.

Dabei kann sowohl die Bezeichnung als auch die Option, Nutzer ohne Cookies zu tracken, zu dem Gedanken verleiten, dass der Einsatz von Google Analytics nunmehr auch ohne Einwilligung möglich ist.

Diesem Irrtum sollten Sie nicht unterliegen. Daher erfahren Sie im folgenden Beitrag, wie der Einwilligungsmodus funktioniert, was die “Richtlinie zur Einwilligung der Nutzer in der EU” beinhaltet und wie Sie beide rechtssicher implementieren können.

Zum Abschluss erhalten Sie eine Zusammenfassung der wichtigsten Punkte für den Praxiseinsatz.

Hinweis zur Aktualität und Vollständigkeit: Dieser Beitrag gibt den Stand am genannten Datum wieder. Aus Gründen der Übersichtlichkeit werden technische Vorgänge nur insoweit dargestellt, wie sie rechtlich relevant sind. Ferner beruht der Beitrag auf den Angaben von Google und geht davon aus, dass diese zutreffend sind. Hinweise dazu oder andere Ansichten sind in den Kommentaren herzlich willkommen.

Welchen Zweck hat der Einwilligungsmodus?

Der Einwilligungsmodus ist ein Verfahren, mit dem Google als ein sogenannter “Gatekeeper” seinen gesetzlichen Pflichten aus dem neuen und ab 6. März 2024 Google verpflichtenden Gesetz über digitale Märkte (Englisch: “Digital Markets Act”, kurz DMA) nachkommen will:

  • Gatekeeper: “Gatekeeper” sind marktbeherrschende Akteure. Sie bieten mindestens einen wesentlichen Plattformdienst an. Google zählt im Bereich der Online-Werbung zu diesen Gatekeepern.
  • Einwilligungspflicht: Gatekeeper wie Google müssen die Einwilligung der Nutzer einholen (Artikel 5 Abs. 2 lit b) DMA). Diese ist notwendig, bevor Nutzerdaten für personalisierte Werbung verarbeitet werden.
  • Einwilligung für Google: Bislang erteilten Nutzer ihre Einwilligungen primär den Betreibern von Webseiten. Diese bezogen sich auf die Nutzung ihrer Daten und Cookies. Der Einwilligungsmodus verändert dies. Nun muss die Einwilligung auch direkt gegenüber Google erfolgen.
  • Transparenzpflicht: Gatekeeper sind verpflichtet, Nutzer umfassend zu informieren. Dies betrifft die Verwendungszwecke, eingesetzte Dienste, Cookies und vergleichbare Techniken sowie deren Anbieter.
  • Verbot von Dark Patterns: Unter Dark Patterns versteht man Designentscheidungen, die Nutzer subtil zur Einwilligung bewegen. Ein Beispiel ist die Gestaltung von Cookie-Opt-In-Bannern. Hierbei wird oft der “Akzeptieren”-Button groß und auffällig dargestellt, während die Option zum Ablehnen klein und weniger sichtbar ist.
  • Einfaches Opt-Out: Nutzer müssen die Möglichkeit zum Widerruf ihrer Einwilligung einfach erkennen und wahrnehmen können.

Der Einwilligungsmodus delegiert somit die Verantwortung für die Einholung von Einwilligungen von Google an die Betreiber von Webseiten und Apps. In erster Linie dient dies den Interessen von Google.

Was ist die Google Richtlinie zur Einwilligung der Nutzer in der EU?

Googles “Richtlinie zur Einwilligung der Nutzer in der EU” (Englisch “EU user consent policy”) ist eine Vorgabe für die Einholung der Einwilligung beim Einsatz von Google Analytics im Einwilligungsmodus.

Sie definiert, wie eine Einwilligung einzuholen ist, damit diese auch gegenüber Google wirksam wird. Anwender von Google Analytics werden zu folgenden Maßnahmen und Informationen verpflichtet:

  • Protokollierung: Die Einwilligungen müssen von den Anwendern, also Ihnen, protokolliert werden.
    Transparenz: Einwilligende müssen über Verwendungszwecke, eingesetzte Dienste, Cookies und vergleichbare Techniken sowie deren Anbieter informiert werden.
    Einfaches Opt-Out: Nutzer müssen einfach erkennen, wie sie ihre Einwilligungen einfach widerrufen können. D.h. zum einen sollten die Einwilligungen mittels einer “Ablehnen”-Schaltfläche genauso einfach abgelehnt wie abgegeben werden können. Es sollte ferner stets eine leicht zugängliche Option zum Anpassen der Cookie-Einstellungen geben, beispielsweise über eine Schaltfläche oder einen Link im Fußbereich der Webseite.
  • Pflicht zur Verpflichtung von Subunternehmern: Wenn die an Google übertragenen Daten mithilfe von Diensten Dritter erzeugt werden, sind Sie verpflichtet, ‘wirtschaftlich vertretbare Anstrengungen zu unternehmen, um sicherzustellen, dass der Dritte als Verantwortlicher für einen solchen Dienst die oben genannten Verpflichtungen erfüllt.’

Zusammenfassend lässt sich sagen, dass die Richtlinie zur Einwilligung der Nutzer in der EU keine grundlegenden Neuerungen gegenüber den gesetzlichen Pflichten einführt.

Der Unterschied besteht darin, dass bei einem Verstoß nicht nur Sanktionen von Behörden drohen, sondern auch von Google. Dies kann insbesondere den Ausschluss von der Nutzung von Google Analytics bedeuten.

Ersetzt der Consent Mode die Cookie-Einwilligung?

Wenn Website- und App-Anbieter Cookies verwenden, um das Verhalten von Nutzern über verschiedene Websites hinweg zu verfolgen, ist die Einwilligung der Nutzer erforderlich (auch als “Opt-In” bezeichnet). Diese Einwilligung wird üblicherweise über “Cookie-Opt-In-Banner” oder technisch als “Consent-Management-Platform” oder “Consent-Management-Tool” (CMP, bzw. CMT) bezeichnete Pop-ups eingeholt.

Daran ändert sich auch mit dem neuen Einwilligungsmodus von Google Analytics nichts.

Der Einwilligungsmodus ersetzt nicht Ihr eigenes Opt-In-Verfahren.

Der Einwilligungsmodus stellt lediglich eine Schnittstelle zwischen Ihrem Opt-In-Verfahren und Google Analytics dar, damit die Einwilligung auch gegenüber Google gilt. Bei der Umsetzung des Einwilligungsmodus müssen Sie die Vorgaben der Google EU user consent policy beachten.

Kompatibilität der Consent-Management-Plattformen mit dem Einwilligungsmodus: Um den Anforderungen von Google gerecht zu werden, ist es notwendig, eine Cookie-Management-Plattform einzusetzen, die mit dem Einwilligungsmodus und seinen Parametern kompatibel ist. Mittlerweile erfüllen die meisten gängigen Anbieter diese Voraussetzungen.

Wer muss den Einwilligungsmodus nutzen?

Screenshot eines Menüs in Google Analytics, wobei der Menüpunkt 'Zusammenfassung' in der linken Seitenleiste blau hervorgehoben ist und ein roter Pfeil darauf zeigt. Auf der rechten Seite ist die Überschrift 'Zusammenfassung' sichtbar, und ein weiterer roter Pfeil weist auf die Option 'Diagnose', die teilweise durch eine rote Überdeckung verdeckt ist.
Ob der Einwilligungsmodus bei Ihnen aktiv ist, können Sie im Rahmen Ihres Google Ads-Kontos prüfen. Weitere Details zur Nutzung können Sie Googles Anleitung entnehmen.

Der Einwilligungsmodus ist nach dem derzeitigen Stand nicht für alle Nutzer zwingend erforderlich. Sofern Sie keine Dienste von Google einsetzen möchten, die personalisierte Marketing- und Werbeleistungen beinhalten, können Sie auf den Einwilligungsmodus verzichten. Ihr Google Analytics wird dann wie bisher ab der Einwilligung der Nutzer funktionieren.

Sofern Sie jedoch beispielsweise Google Ads schalten und Konversionen messen oder Zielgruppen für Anzeigenschaltung bilden wollen, müssen Sie ab März den Einwilligungsmodus nutzen.

Was passiert, wenn Nutzer einwilligen?

Schematische Darstellung des Consent-Modes mit Basis-Tracking mit einem roten 'G' oben, einem grünen Pfeil nach unten zu einem Computermonitor, wo ein Analytics-Symbol zu sehen ist und anschließend die Weiterleitung der Daten dargestellt wird.
Die einfache Integration des Einwilligungsmodus bringt keine rechtlichen Neuerungen mit sich. Ohne die Einwilligung der Nutzer lädt und startet Google Analytics nicht (erste Spalte im Bild). Erst nach der Einwilligung der Nutzer wird Google Analytics heruntergeladen und aktiviert (zweite Spalte). Anschließend werden Daten über den Nutzer und sein Nutzungsverhalten sowie die erteilten Einwilligungen im Opt-In-Banner (das ist neu) an Google übermittelt (dritte Spalte). Um diese Daten einem Nutzer zuordnen zu können, wird jedem Nutzer eine ID zugewiesen. Diese ID wird in einem Cookie auf dem Rechner des Nutzers gespeichert (ebenfalls dritte Spalte).

Wenn Nutzer in das Tracking mittels Google Analytics einwilligen, ändert sich wenig an dem bisherigen Verfahren ohne den Einwilligungsmodus. Nach Erteilung der Einwilligung wird der Google-Analytics-Code geladen sowie ausgeführt und es werden Cookies geschrieben und ausgelesen.

Neu ist, dass Ihre Opt-In-Plattform Informationen an Google übermittelt, ob und welche Einwilligungen erteilt wurden. Auf diese Weise weiß Google, welche Dienste es zusätzlich steuern oder verknüpfen darf, auch bekannt als “Google Tags”.

Aus rechtlicher Sicht neu ist das Verfahren bei Ablehnung der Cookies in der sogenannten “erweiterten Implementierung” des Einwilligungsmodus von Google Analytics.

Hinweise zum datenschutzkonformen Einsatz von Google Analytics 4: Was sich mit Google Analytics 4 geändert hat und wie Sie Google Analytics in der neuen Version einsetzen können, erfahren Sie in unserem Ratgeber: Google Analytics 4 & DSGVO: Ihre Datenschutz-Checkliste.

Was passiert, wenn Nutzer Analytics-Cookies ablehnen?

Vergleichstabelle zwischen erweiterter und einfacher Implementierung von Google-Tags. Links, 'Erweiterte Implementierung': Google-Tags werden geladen, bevor der Dialog zur Einholung von Einwilligungen eingeblendet wird; Tags senden Pings ohne Cookies, wenn keine Cookie-Einwilligung erteilt wurde. Rechts, 'Einfache Implementierung': Google-Tags sind blockiert, bis eingewilligt wurde.
Wenn Nutzer die Einwilligung ablehnen, verhält sich Google Analytics je nach Art der Integration anders. Während bei der “einfachen Implementierung” wie bisher Google Analytics nicht ausgeführt wird (grün markiert), wird Google Analytics bei der erweiterten Implementierung ausgeführt, sendet reduzierte Daten, setzt aber keine Cookies (rot markiert).

Wenn Nutzer ihre Einwilligung in das Tracking durch Google Analytics verweigern, werden keine Cookies auf ihren Endgeräten gespeichert.Allerdings bekommt der neue Einwilligungsmodus eine Erweiterung, die es dennoch ermöglicht, Nutzerdaten zu erfassen:

  • Einfache Implementierung des Einwilligungsmodus (“basic implementation”): Es werden keine Informationen der Nutzer gesammelt und im Browser gespeichert. Wie bisher ist hierzu die Einwilligung der Nutzer notwendig.
  • Erweiterte Implementierung des Einwilligungsmodus (“advanced implementation”): Auch ohne Einwilligung Daten der Nutzer wird Google-Code ausgeführt und sendet einen “Ping” mit einer einzigartigen “Ping-ID”, also eine für diesen Aufruf erzeugte Nummer an Google. Google hat auch Zugriff auf automatisch übermittelte Informationen wie IP-Adresse, Browserdetails, System und die besuchte URL.
Schematische Darstellung des erweiterten Consent-Modes mit einem roten 'G' oben, Pfeilen, die Datenflussrichtungen anzeigen, einem Computermonitor mit gelben durchgekreuztem Kreis (Cookie) und einem symbolisierten Datensatz, der an G gesendet wird (User-Icon mit Binärcode).
Anders als bei der einfachen Implementierung wird bei dieser Methode der Google Analytics Code auf die Rechner der Nutzer heruntergeladen und ausgeführt. Dabei werden nur stark eingeschränkte Nutzerdaten an Google gesendet. Es wird kein Cookie geschrieben.

Die erfassten Websitebesucher erhalten jedoch keine persistente Nutzer-ID zu Zwecken der Datensammlung über verschiedene Webseiten zugeordnet. Für Google erscheint jeder Seitenaufruf wie ein neuer Nutzer. Konventionelles Tracking findet nicht statt.

Das heißt jedoch nicht, dass diese Praxis ohne Einwilligung der Nutzer rechtlich zulässig ist.

Details zum Ping-Verfahren: Details zu der Funktionsweise werden in dem Beitrag “What Google Consent Mode is doing, but not telling” von Dimitri Dries am 01.12.2023 beschrieben.

Was ist der Unterschied zwischen einem Cookie-Opt-In und der erweiterten Implementierung?

Der wesentliche Unterschied zwischen der regulären Nutzereinwilligung und dem erweiterten Einwilligungsmodus liegt darin, dass die Einwilligung Google ermöglicht, das Nutzerverhalten über verschiedene Webseiten hinweg nachzuvollziehen, also ein sogenanntes “Tracking” durchzuführen. Das bedeutet, dass immer derselbe Datensatz mit neuen Informationen angereichert wird:

Schematische Darstellung des Consent-Modes mit Tracking, bei dem ein User-Icon mit Binärcode und Ja-Nein-Option Daten an einen Computermonitor mit einem gelben Cookie-Symbol sendet, das über drei Sequenzen konstant bleibt. 'Ja' ist blau und 'nein' rot unterlegt.
Wenn Webseitenbesucher eine Einwilligung erteilen, darf Google ihr Verhalten über verschiedene Webseiten hinweg nachvollziehen, was als “Tracking” bezeichnet wird. Dies wird durch einen Cookie ermöglicht, der auf dem Rechner des Webseitenbesuchers gespeichert wird. In diesem Cookie ist die Nummer des Datensatzes gespeichert, der bei Google zum jeweiligen Webseitenbesucher hinterlegt ist. Wenn sich ein Nutzer beispielsweise im ersten Schritt ein Produkt anschaut, kann Google im dritten Schritt eine darauf abgestimmte Werbung für dieses Produkt einblenden. Dadurch wird das Interesse des Nutzers gezielter angesprochen. Dieses Vorgehen wird als “Remarketing” bezeichnet, oder im weiteren Sinne auch als “Targeting”.

Bei der erweiterten Implementierung des Einwilligungsmodus besteht dagegen keine Möglichkeit, das Nutzerverhalten in einem zusammenhängenden Kontext zu analysieren.

 

Schematische Darstellung des Consent-Modes ohne Tracking mit einem roten 'G' oben, drei User-Icons mit Binärcode, die alle die Nein-Option gewählt haben, welche rot unterlegt ist, und drei Monitoren mit einem roten 'X' über dem gelben Cookie-Symbol.
Ohne das Cookie ist es nicht möglich, den an Google gesendeten Datensatz einem bestimmten Nutzer zuzuordnen. Daher kann Google die Aktivitäten der Webseitenbesucher nicht über mehrere Webseiten hinweg verfolgen. Für Google Analytics erscheinen Besuche auf verschiedenen Webseiten als Aktivitäten von drei unterschiedlichen Besuchern. Im Gegensatz zur Situation mit Einwilligung weiß Google beim dritten Besuch nicht, was der Nutzer während des ersten oder zweiten Besuchs getan hat.

Lassen sich ohne Einwilligung Google-Ads-Konversionen messen?

Auch ohne Einwilligung der Nutzer können bei erweiterter Implementierung des Einwilligungsmodus Google-Ads-Konversionen gemessen werden. Das bedeutet, es kann ohne Einwilligung der Nutzer nachvollzogen werden, ob Websitebesucher über eine Google-Werbeanzeige auf die Webseite weitergeleitet wurden (mittels sogenannter “Conversion-Pings“).

Die Weiterverfolgung der Nutzeraktivität auf dem Endgerät ist durch URL-Parameter oder ähnliche Mittel möglich.

Dies hat datenschutzrechtliche Bedeutung. Abhängig von der Interaktion mit der Werbeanzeige könnte Google vorhandene Profile mit der Ping-ID verknüpfen. Ob dies geschieht, ist ungewiss, aber Datenschutzbehörden betrachten dies als Risiko für die Identifizierbarkeit der Nutzer und potenzielle Datenschutzverstöße ohne deren Einwilligung.

Behavioral- und Conversion Modelling: Ohne umfassendes Tracking sind die Analytics-Daten weniger genau. Google entwickelt Methoden, um mit vorhandenen Daten und Vergleichsgruppen genauere Nutzerinformationen zu generieren (Weitere Informationen zu Conversion-Modellierung und Verhaltensmodellierung. Die letztere ist jedoch nur im Fall des erweiterten Einwilligungsmodus möglich).

Wann ist eine Einwilligung notwendig?

Für die Beurteilung der Einwilligungspflicht sind sowohl technische als auch rechtliche Aspekte relevant. Zwei wichtige Punkte müssen dabei beachtet werden:

  • Dreifache Einwilligung erforderlich: Nutzer müssen sowohl gemäß dem TDDDG (Telekommunikation-Telemedien-Datenschutz-Gesetz) als auch nach der DSGVO (Datenschutz-Grundverordnung) in Cookies einwilligen. Dies bedeutet, dass selbst wenn eine Einwilligung nach einem der Gesetze nicht nötig ist, sie nach dem anderen Gesetz erforderlich sein kann. Ein Beispiel hierfür ist die Irrelevanz der Anonymität in bestimmten Fällen. Zusätzlich kommt im Fall von Google Analytics auch die Pflicht, eine nach dem Gesetz über digitale Märkte wirksame Einwilligung für Google einzuholen.
  • Anonymität schließt Einwilligung nicht aus: Der Personenbezug ist nur für die DSGVO relevant. Für das TDDDG, das auch für anonyme Daten eine Einwilligung vorsehen kann, ist dieser nicht zwingend.
  • Keine Cookies bedeutet nicht keine Einwilligung: Sowohl das TDDDG als auch die DSGVO beziehen sich nicht ausschließlich auf Cookies. Sie regeln allgemein die Verfahren der Zugriffe auf Endgeräte und die Verarbeitung personenbezogener Daten, unabhängig von den verwendeten technischen Methoden.

Diese Punkte werden nachfolgend detaillierter erläutert.

Ratgeber Cookie-Opt-In: Die rechtlichen Hintergründe sowie praktische Tipps für den Einsatz von Cookies erfahren Sie in unserem Ratgeber: Der ultimative Cookie-Ratgeber – Praxistipps, TDDDG- & DSGVO-Checkliste

Warum sind drei Einwilligungen erforderlich?

Alt-Text für das Bild: "Grafikdarstellung mit einem gelben Computermonitor, auf dem ein blauer Bildschirm mit einem gelben Cookie-Symbol zu sehen ist. Unterhalb des Cookies stehen die Worte '1. ePrivacy/TDDDG' in weißer Schrift auf blauem Hintergrund. Neben dem Monitor befindet sich ein Icon einer Person mit blauen Haaren und einem Code aus Binärzahlen '101010'. Unter dem Icon sind die Worte '2. DSGVO' und '3. DMA' aufgelistet, was auf rechtliche Regelwerke hinweist. Im unteren rechten Bereich befindet sich das Logo von 'Datenschutz-Generator.de
Bei der Nutzung von Cookies müssen Websitebetreiber zunächst zwei Arten von Vorschriften zu berücksichtigen: 1. Die ePrivacy-Richtlinie (in Deutschland im § 25 TDDDG umgesetzt) schützt Endgeräte vor unbefugtem Zugriff, unabhängig von der Art der gespeicherten oder abgerufenen Daten. 2. Die Datenschutz-Grundverordnung (DSGVO) hingegen schützt ausschließlich personenbezogene Daten, unabhängig davon, ob sie auf Endgeräten gespeichert sind oder sich außerhalb von Endgeräten befinden. 3. Wenn Sie Google Analytics nutzen, müssen Sie zusätzlich eine Einwilligung gemäß dem Gesetz über digitale Märkte einholen, die speziell zugunsten von Google gilt.

Im Rahmen der Verwendung von Cookies müssen zwei Regelungsarten beachtet werden: Die ePrivacy schützt Endgeräte vor fremden Zugriffen, unabhängig von der Art der dabei gespeicherten oder gelesenen Daten. Der Datenschutz (DSGVO) schützt wiederum nur personenbezogene Daten, aber unabhängig davon, ob sie sich in Endgeräten oder außerhalb von Endgeräten befinden.

Beim Einsatz von Google Analytics werden drei rechtliche Bereiche und entsprechende Gesetze relevant:

  • Datenschutz (DSGVO): Der Datenschutz zielt darauf ab, durch Regelung der Verarbeitung von personenbezogenen Daten die Freiheit und Grundrechte der Menschen, vor allem vor Missbrauch und Überwachung zu schützen. Die wesentlichen Regelungen des Datenschutzes sind in der Datenschutz-Grundverordnung (DSGVO) festgelegt.
  • ePrivacy (TTDGS): Der Fokus der sog. ePrivacy liegt nicht auf der Regelung personenbezogener Daten, sondern vielmehr auf dem Schutz der Integrität von Endgeräten. Ähnlich dem Schutz eines Hauses vor unbefugtem Zutritt wird hier das „digitale Haus“ – wie Smartphones, Desktopcomputer oder Smart-Home-Geräte – vor unbefugten Zugriffen, egal ob mittels personenbezogener- oder anonymer Daten, geschützt. Die Regelungen von ePrivacy finden sich in nationalen Gesetzen, basieren jedoch auf Vorgaben der Europäischen Union in der ePrivacy-Richtlinie (Art. 5 Abs. 3 Richtlinie 2002/58/EG).
  • Gesetz über digitale Märkte (Digital Markets Act, DMA) – Dieses Gesetz verpflichtet Google aufgrund der Marktmacht des Unternehmens eine gesonderte Einwilligung der Nutzer in die Verarbeitung ihrer personenbezogenen Daten einzuholen. Es gilt zusätzlich zu den beiden vorgenannten Gesetzen.

In der Konsequenz müssen alle drei Gesetze separat geprüft werden. Eine Einwilligungspflicht entfällt erst, wenn die Anforderungen aller Gesetze nicht zutreffen.

EU- und nationale Regelungen der ePrivacy: Während in Deutschland der §25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TDDDG) relevant ist, entspricht in Österreich der § 96 Abs. 3 des Telekommunikationsgesetzes (TKG) dieser Regelung. Andere EU-Länder haben ähnliche Gesetze, die der ePrivacy-Richtlinie der EU entsprechen. In der Schweiz existiert keine vergleichbar strenge Einwilligungspflicht wie in der EU. Allerdings müssen Schweizer Unternehmen, die auch EU-Bürger tracken, Googles  Richtlinie zur Einwilligung der Nutzer in der EU und die DSGVO beachten (s. dazu unseren Beitrag: Schweizer Datenschutzgesetz (DSG) – FAQ und Checkliste für Unternehmen und Webseiten).

Einwilligung nach dem TDDDG/ePrivacy

Laut § 25 Abs. 1 S. 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TDDDG) ist die Speicherung von und der Zugriff auf Informationen auf den Endeinrichtungen der Nutzer nur mit deren Einwilligung zulässig. Der relevante Gesetzestext lautet:

§ 25 TDDDG – Schutz der Privatsphäre bei Endeinrichtungen
Abs. 1: “Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. […]”

Bei der Beurteilung, ob nach § 25 TDDDG eine Einwilligung erforderlich ist, sind folgende Begriffe und Kriterien entscheidend:

  • Endeinrichtung: Der Begriff „Endeinrichtung“ umfasst insbesondere nahezu jedes Gerät, das mit dem Internet verbunden ist (z.B. Computer, Smartphones, TV-Geräte, Fahrzeuge).
  • Anonymität irrelevant: Die Pflicht zur Einwilligung besteht unabhängig davon, ob die auf den Endgeräten gespeicherten oder ausgelesenen Informationen personenbezogen oder anonym sind. Das Gesetz umfasst somit praktisch den gesamten Datenstrom, der auf Endgeräten ein- und ausgeht, einschließlich aller personenbezogenen Daten.
  • Speichern und Auslesen von Informationen: Entscheidend ist, dass Informationen jeglicher Art auf den Endgeräten gespeichert oder ausgelesen werden. Der Begriff „Cookies“ ist hierbei nicht ausschließlich maßgeblich, sodass jede Form der Informationsspeicherung (z.B. als Textdatei, im flüchtigen Browser-Zwischenspeicher (z.B. “Session-Storage”) oder dauerhaft auf der Festplatte (z.B. “Local-Storage”) relevant ist.

Betrachtet man unter Beachtung dieser Kriterien den erweiterten Modus von Google Analytics, wird deutlich, dass dieses Verfahren schon von Grund auf, hinsichtlich der Erzeugung der notwendigen Nutzerdaten, zum Scheitern verurteilt ist.

Werden im Rahmen des Einwilligungsmodus Informationen gespeichert und gelesen?

Benutzeroberfläche eines Analysewerkzeugs mit dem Abschnitt 'Allgemein' hervorgehoben, in dem eine 'Client ID' mit der Nummer '2102238160.1701361974' innerhalb eines gelb markierten Feldes angezeigt wird.
Anzeige der an Google ohne Einwilligung der Nutzer übermittelte Ping-ID. Quelle

Im Rahmen der erweiterten Implementierung des Einwilligungsmodus von Google Analytics werden Informationen der Nutzer auf deren Endgeräten gespeichert und verarbeitet, und zwar auch ohne ausdrückliche Einwilligung der Nutzer:

  • Speichern und Auslesen der Ping-ID: Die erzeugte Ping-ID wird zwar nicht dauerhaft im Browser gespeichert, aber sie muss denknotwendig zumindest zwischenzeitig gespeichert werden, um versendet werden zu können.
  • Speichern des JavaScript-Codes: Computercode besteht aus einer Vielzahl von Informationen. Folglich führt das Speichern von Code, auch wenn es nur Code ist, auf Endgeräten der Nutzer zu einer grundsätzlichen Einwilligungspflicht. Dies gilt auch für den Analytics-Code, der über den Browser auf Endgeräte der Nutzer heruntergeladen wird, um eine Ping-ID zu erzeugen.

Da ein Speicher- und Lesevorgang stattfindet, bedarf auch der erweiterte Einwilligungsmodus von Google Analytics der Einwilligung der Nutzer. Es sei denn, der Einsatz von Google Analytics wäre für die von den erfassten Nutzern abgefragten Dienste unbedingt erforderlich.

Abweichende Behandlung der IP-Adresse: Die IP-Adresse der Nutzer wird von deren Browsern an Google-Server gesendet. Die derzeit überwiegende Rechtsmeinung sieht darin kein Auslesen von Informationen, sondern ein bloßes Empfangen. Demnach wird die digitale Privatsphäre der Nutzer nicht verletzt, da die Informationen erst außerhalb ihrer Geräte vernommen werden. Im Gegensatz dazu wird die Ping-ID nicht vom Browser generiert und gesendet, sondern erst durch einen ausführbaren Code, der von den Betreibern der Website und Google bestimmt wird, erzeugt und abgesendet.

Notwendigkeit des Einsatzes von Google Analytics

Gemäß § 25 Abs. 2 Nr. 2 TDDDG (und ähnlichen Regelungen in anderen EU-Staaten) ist eine Einwilligung nicht nötig, wenn das Speichern und Auslesen von Informationen aus den Endgeräten der Nutzer unbedingt erforderlich ist.

Das wird beim Einsatz von Google Analytics in der Regel nicht der Fall sein:

  • Strenge Auslegung: Die Aufsichtsbehörden legen die Erforderlichkeit streng technisch aus. Es ist davon auszugehen, dass auch Gerichte diese strenge Auslegung anwenden werden. Wichtig ist hierbei: Wirtschaftliche Gründe des Anbieters spielen keine Rolle. Entscheidend sind ausschließlich die Interessen der Nutzer, die üblicherweise die Webseite sehen, aber nicht von Trackingmaßnahmen erfasst werden wollen.
  • Tracking für Dritte nicht erforderlich: Bei Tracking-Maßnahmen betrachten die Behörden die Weitergabe von Daten an Dritte zur eigenen Nutzung (wie bei Google, wo Daten auch für Google oder andere Nutzer verwendet werden) als nicht erforderlich. Eine Ausnahme bilden lokale Webanalyse-Tools. Diese sind erlaubt, wenn sie ohne Speicherung von Informationen auf den Endgeräten der Nutzer operieren und eine zeitlich beschränkte Pseudonymisierung anwenden. Beispiele hierfür sind die Dienste Matomo oder Piwik.

Im Ergebnis sollten Sie damit rechnen, dass eine unbedingte Erforderlichkeit des Einsatzes von Google Analytics auch im Einwilligungsmodus von Datenschutzbehörden und Gerichten als nicht erforderlich und einwilligungspflichtig betrachtet werden.

Daneben muss zusätzlich die Einwilligungspflicht nach der DSGVO geprüft werden.

Ansichten der Aufsichtsbehörden: Die Ansichten der Aufsichtsbehörden zu Cookies und anderen Tracking- sowie Einwilligungsverfahren finden sich für Deutschland in der “Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien” vom 1. Dezember 2021 (OH Telemedien 2021).

Einwilligungspflicht nach der DSGVO

Neben der Einwilligung gemäß TDDDG/ePrivacy ist bei der Verwendung von Cookies zur Nutzernachverfolgung, die nicht unbedingt erforderlich ist, auch eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich.

In der Praxis erfolgt die Einwilligung zu beiden Einwilligungen häufig mit einem Klick auf die Schaltfläche „Alle Cookies akzeptieren“ oder eine ähnlich benannte Option.

Wenn Nutzer die Einwilligung jedoch verweigern, wird dennoch eine Ping-ID an Google übermittelt wird. Zu dieser Ping-ID erhält Google auch die IP-Adresse, die vom Endgerät der Nutzer gesendet. Auch wenn Google die IP-Adresse für den Folgeprozess kürzt,  des Nutzers und die Nutzungszeitpunkte erhält, ist anzunehmen, dass Aufsichtsbehörden und Gerichte dies mit Bezug auf den EUGH als Verarbeitung personenbezogener Daten einstufen und eine Einwilligung fordern werden.

  • Personenbezug: Zum einen wird bei IP-Adressen generell ein Personenbezug angenommen. Wenn die IP-Adresse zusammen mit der Ping-ID empfangen wird, kann die Ping-ID der IP-Adresse zugeordnet werden. Dadurch wird auch die Ping-ID zu einem personenbezogenen Datum.
  • Berechtigte Interessen statt Einwilligung: Es stellt sich die Frage, ob ein Unternehmen statt auf eine Einwilligung eher auf berechtigte betriebswirtschaftliche Interessen am Tracking verweisen kann, die höher gewichtet werden als die Schutzinteressen der Nutzer (Art. 6 Abs. 1 lit. a DSGVO). Es ist zu erwarten, dass, ähnlich wie im Fall des TDDDG, die fehlende Erforderlichkeit auch nach der DSGVO eine Einwilligung notwendig machen wird.

Zusammenfassend ist festzuhalten, dass sowohl nach § 25 TDDDG/ePrivacy als auch nach der DSGVO eine Einwilligung der Nutzer erforderlich ist, bevor ein Google Analytics Code ausgeführt und eine Ping-ID an Google gesendet wird.

Kein Google Analytics ohne Einwilligung?

Sie sind verpflichtet, eine rechtswirksame Einwilligung dieser Endnutzer für folgende Aktivitäten einzuholen: den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist; und die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.
Interessanterweise verbietet Google in seiner eigenen “Richtlinie zur Einwilligung der Nutzer in der EU” die Nutzung der erweiterten Integration des Einwilligungsmodus, indem die Richtlinien die Einhaltung der gesetzlichen Einwilligungsvorgaben vorschreiben.

Bei der Vielzahl der Einwilligungen kann man leicht den Überblick verlieren. Es ist jedoch ausreichend, dass sich die Einwilligungspflicht aus einem Gesetz ergibt, wie es beim § 25 TDDDG (beziehungsweise § 96 Abs. 3 TKG-AT) der Fall ist.

Es mag sein, dass Google im Fall des erweiterten Einwilligungsmodus keine Einwilligung nach dem Gesetz über digitale Märkte einholen muss. Dies bedeutet jedoch nicht, dass die für Sie geltenden Einwilligungspflichten entfallen. Sie müssen also stets sicherstellen, dass der Google Analytics-Code erst nach der Einwilligung der Nutzer ausgeführt wird.

Man könnte Google daher vorwerfen, dass der Einwilligungsmodus durch die Benennung und Betonung des Verzichts auf Cookies den falschen Eindruck erwecken könnte, auch für die Kunden Vorteile bei der Einholung von Einwilligungen zu bieten.

Serverseitige Nutzung von Google Analytics ohne Einwilligung möglich?

Aufgrund der gesetzlichen Einschränkungen des Einwilligungsmodus rückt erneut die Option der serverseitigen Nutzung von Google Analytics in den Fokus. Sie wird zunehmend als Lösung für Datenschutz- und Cookie-Probleme gehandelt.

Das Konzept des “serverseitigen Trackings” bezieht sich auf die Erfassung von Nutzerinformationen, ohne dass Daten direkt vom Browser der Nutzer an Google übermittelt werden. Der technische Ablauf ist dabei wie folgt:

  • Erfassung von Nutzerdaten: Websitebetreiber sammeln Daten, die Nutzer an den Server senden. Dazu zählen IP-Adresse, Referrer-URL, besuchte URLs und Zeitpunkte.
  • Digitaler Fingerabdruck und Pseudonymisierung: Gesammelte Daten werden als „digitaler Fingerabdruck“ gespeichert und pseudonymisiert. IP-Adressen werden beispielsweise durch Nutzer-IDs ersetzt, die nur der Websitebetreiber kennt. Wichtig ist auch die Entfernung der Nutzer-ID, die bei einem Ping an Google entsteht, da sie eine direkte Zuordnung zu einem Nutzer ermöglichen kann.
  • Übermittlung pseudonymisierter Daten: An Google werden nur pseudonymisierte Daten weitergeleitet.
Schematische Darstellung des Consent-Modes für serverseitiges Tracking, wobei Daten von einem User-Icon mit Binärcode und Ja-Nein-Option über einen grauen Pfeil zu einem gelben Server-Schrank fließen, mit einem roten 'G' oben rechts. 'Ja' ist grün und 'nein' rot unterlegt.
Beim serverseitigen Tracking mit digitalem Fingerabdruck wird der Analytics-Code nicht auf dem Rechner der Nutzer ausgeführt. Zudem werden keine Cookies auf den Rechnern der Nutzer gespeichert. Stattdessen werden ausschließlich die von den Nutzern an den Server gesendeten Daten verarbeitet. Diese Daten werden dann auf dem Server pseudonymisiert – insbesondere erhält Google keine IP-Adresse der Nutzer – und anschließend an Google gesendet. Diese sichere Konstellation kann durch viele Faktoren variiert werden, was sowohl Einfluss auf die Notwendigkeit einer Einwilligung als auch auf die Risiken der Nutzung hat.

Bezüglich der Einwilligungspflicht nach e-Privacy/§ 25 TDDDG würde in dieser Konstellation keine Speicherung oder Auslesung von Nutzergeräten vorliegen, wodurch die Einwilligungspflicht entfallen könnte.

Dies entspricht der herrschenden Meinung, die in serverseitig empfangenen Informationen kein Auslesen sieht, womit die Einwilligungspflicht des TDDDG und der ePrivacy nicht zur Anwendung käme.

Aber umgekehrt wird vor allem seitens der Behörden und auch Gerichte eine Einwilligungspflicht nach der DSGVO. gesehen (s. Entscheidungen der Aufsichtsbehörden in Folge der Anzeigen der Organisation nyob (ÖsterreichItalien, Frankreich und Norwegen). Ihrer Meinung nach kann Google die Nutzer aufgrund der Menge der zu einzelnen Nutzern gesammelten Daten individualisieren, sodass die Daten auch für Google als personenbezogen gelten (s. ).

Im Ergebnis senkt serverseitiges Tracking aufgrund der zusätzlichen Pseudonymisierungsstufe die datenschutzrechtlichen Risiken, bietet aber keine vollständige Rechtssicherheit, da die Einwilligungspflicht durchaus bestehen kann.

Voraussetzungen der französischen Datenschutzbehörde CNIL an serverseitiges Tracking: Die französische Datenschutzaufsicht CNIL hat klare Anforderungen an ein “Proxy-Verfahren”, d.h. auch serverseitiges Tracking formuliert: a) Es darf keine IP-Adresse an das Zielgerät, das die Messungen vornimmt (Webanalysetool), übermittelt werden; b) Die IP-Adresse muss durch eine Benutzer-ID auf dem Proxy-Server ersetzt werden; c) Erforderlich ist die Unterdrückung der Information der Website, von der der Nutzer auf die aktuelle Website gekommen ist (Referrer); d) Erforderlich ist die Entfernung aller in den gesammelten URLs enthaltenen Parameter; e) Die Verarbeitung aller Informationen, die einem digitalen Fingerabdruck entsprechen, muss unterlassen werden; f) Die Sammlung von Kennungen (Identifikatoren) oder deterministischen Daten zwischen Websites (cross-website) muss unterlassen werden; g) Alle Daten, die die zu einer Re-Identifizierung führen könnten, müssen gelöscht werden; h) Der Proxy-Server muss unter Bedingungen gehostet werden, die verhindern, dass personenbezogene Daten in ein Land außerhalb der Europäischen Union übermittelt werden.

Muss ich meine Datenschutzhinweise aktualisieren?

Acht Module von Google Analytics. Oben links: 'Google Analytics (aktuelle Vers. 4 mit Einwilligungsmodus)'. Oben zweiter von links: 'Google Analytics: Erweiterte Implementierung des Einwilligungsmodus'. Oben zweiter von rechts: 'Google Analytics: Zielgruppenbildung (Analytics-Audiences)'. Oben rechts: 'Google Analytics: Serverseitige Nutzung'. Unten links: 'Google Analytics: Keine Erhebung detaillierter Standort- und Gerätedaten'. Unten Mitte: 'Google Analytics: Aktivierte Google Signals'. Unten rechts: 'Firebase'. Der unterste rechte Block ist leer mit dem Titel 'Google Tag Manager'.
In unserem Datenschutzerklärung-Generator können Sie Module für den Einsatz von Google Analytics mit einfacher oder auch erweiterten Implementierung des Einwilligungsmodus auswählen.

Die Pflicht, den Zweck und die Rechtsgrundlagen der Nutzung personenbezogener Daten darzulegen ergibt sich aus den Informationspflichten der DSGVO im Art 13 Abs. 2 lit c) DSGVO und Googles Richtlinie zur Einwilligung der Nutzer in der EU.

Zudem fungiert die Datenschutzerklärung als eine zusätzliche Informationsebene zum Einwilligungsverfahren. Um wirksam zu sein, setzt eine Einwilligung voraus, dass Nutzer wissen in welche Zugriffe auf Ihre Geräte sie einwilligen, wer der Einwilligungsempfänger ist und was mit ihren personenbezogenen Daten passiert.

Auch wenn Sie die erweiterte Implementierung des Einwilligungsmodus ohne Nutzereinwilligung verwenden werden sollten, müssen Sie die Nutzer über die Funktionsweise informieren. Damit erfüllen Sie die Transparenzpflicht,  auch wenn dies nicht automatisch bedeutet, dass der Einsatz von Google Analytics ohne Einwilligung zulässig ist.

Folgen bei Rechtsverstößen

Bisher haben sich die Aufsichtsbehörden, nach Kenntnis des Verfassers, nicht ausdrücklich zum “Google Consent Mode” positioniert. Es ist jedoch unwahrscheinlich, dass sie eine auf Endgeräten der Nutzer ausgeführte und Daten an Google übermittelnde Software als einwilligungsfrei ansehen werden.

In dem Fall drohen die folgenden Rechtsfolgen:

  • Bußgelder: Im schlimmsten Fall drohen Bußgelder. Die Behörden können dabei nicht nur auf die vergleichsweise niedrigen Bußgelder gemäß des TDDDG zurückgreifen, sondern auch die Bußgelder der DSGVO ausschöpfen. Diese können bis zu 4% des vergangenen Jahresumsatzes betragen.
  • Prüfung- und Untersagungsverfahren: Die bisherige Erfahrung zeigt, dass zumindest mit einem Prüfungsverfahren zu rechnen ist. Dies kann zu weiteren Verfahren, Zeit- und Geldaufwand und im schlimmsten Fall zur Verhängung von Bußgeldern führen.
  • Abmahnungen und Schmerzensgeldforderungen: Es ist auch denkbar, dass Schmerzensgeld- und Unterlassungsansprüche von Nutzern oder klagebefugten Organisationen, wie Verbraucherschutz- und Wettbewerbszentralen, durch Abmahnungen geltend gemacht werden.

Daher sollte vor dem Senden von Pings an Google eine Einwilligung eingeholt werden.

Datentransfer in die USA: Die datenschutzrechtlichen Risiken, die sich aus dem Umstand ergeben, dass Google Daten in den USA verarbeitet, haben sich dank dem neuen EU-US-Privacy-Framework zwar nicht gänzlich gelöst, aber immerhin so entspannt, dass sie als alleiniges Risiko dem Einsatz von Google Analytics in der Praxis nicht entgegenstehen müssen. Dazu können Sie unseren Beitrag nachlesen: Data Privacy Framework (DPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?.

Checkliste und Praxisempfehlung

Die folgenden Fragen und Antworten fassen den vorstehenden Beitrag zusammen:

  1. Welchen Zweck hat der Einwilligungsmodus? Nach dem Gesetz über digitale Märkte muss Google eine eigene Einwilligung von den Webseitenbesuchern in die Nutzung ihrer Daten für personalisierte Werbung einholen. Mithilfe des Einwilligungsmodus wird diese Einwilligung in den regulären Cookie-Bannern eingeholt.
  2. Was ist die Google Richtlinie zur Einwilligung der Nutzer in der EU? Googles ‘Richtlinie zur Einwilligung der Nutzer in der EU’ (Englisch: ‘EU user consent policy’) ist eine Vorgabe für die Einholung der Einwilligung beim Einsatz von Google Analytics im Einwilligungsmodus. Ihr Inhalt entspricht im Wesentlichen den gesetzlichen Vorgaben.
  3. Wer muss den Einwilligungsmodus nutzen? Den Einwilligungsmodus müssen alle nutzen, die Google-Dienste verwenden, welche personalisierte Marketing- und Werbeleistungen beinhalten (z.B. Google Ads).
  4. Ersetzt der Einwilligungsmodus mein Cookie-Opt-In-Banner/Verfahren? Nein, der Einwilligungsmodus ist kein Ersatz für ein Cookie Management Tool, sondern eine Schnittstelle zwischen diesem und Google.
  5. Bringt mir die Nutzung des Einwilligungsmodus datenschutzrechtliche  Vorteile? Nein, wenn keine anderen Gründe oder Pflichten für die Nutzung des Einwilligungsmodus bestehen, ist dessen Einsatz auch aus datenschutzrechtlicher Sicht aufgrund fehlender Vorteile nicht erforderlich.
  6. Bedarf die erweiterte Implementierung des Einwilligungsmodus (advanced implementation) einer Einwilligung? Ja, der erweiterte Einwilligungsmodus darf nur mit einer Einwilligung ausgeführt werden, da hier der Google Code ausgeführt wird und Informationen an Google übermittelt.
  7. Bedarf die einfache Implementierung des Einwilligungsmodus (basic implementation) einer Einwilligung? Im Fall des einfachen Einwilligungsmodus wird kein Google-Code ohne die Einwilligung der Nutzer ausgeführt. Eine spezielle Einwilligung ist nicht erforderlich.
  8. Gibt es rechtliche Vorteile beim Einsatz des erweiterten Einwilligungsmodus? Da auch für die erweiterte Implementierung des Einwilligungsmodus eine Einwilligung erforderlich ist, könnte man ebenso direkt eine reguläre Einwilligung für den Einsatz von Google Analytics einholen. Das bedeutet, dass die erweiterte Implementierung unter EU-Gesetzgebung keine signifikanten rechtlichen Vorteile bietet.
  9. Wie stelle ich sicher, dass Google Analytics nicht ohne Einwilligung der Nutzer ausgeführt wird? Diese Funktion sollte von Ihrem Consent Management Plattform- bzw. Tool-Anbieter bereitgestellt werden, wenden Sie sich also mit dieser Anfrage daher am besten an den jeweiligen Anbieter und prüfen selbst in Ihrem Browser ob der Analytics-Code ohne Einwilligung effektiv geblockt wird.
  10. Ist serverseitiges Tracking ohne Einwilligung möglich? Serverseitiges Tracking kann das rechtliche Risiko minimieren, obwohl je nach Rechtsauffassung eine Einwilligung notwendig sein könnte. Bis der Europäische Gerichtshof (EuGH) diese Frage anderweitig entscheiden sollte, betrachtet der Verfasser die Nutzung von Google Analytics ohne eine Einwilligung als möglich und das Risiko als wirtschaftlich vertretbar.
  11. Muss ich auf den Einsatz von Google Analytics im Einwilligungsmodus in der Datenschutzerklärung hinweisen? Ja, es ist wichtig, die Funktionsweise von Google in der Datenschutzerklärung zu erläutern. Auch wenn Sie die erweiterte Implementierung ohne Nutzereinwilligung verwenden, müssen Sie die Nutzer über dessen Funktionsweise informieren. Dies erfüllt die Transparenzpflicht, bedeutet jedoch nicht, dass der Einsatz ohne Einwilligung rechtlich zulässig ist.

Fazit

Der Einwilligungsmodus dient in erster Linie Google. Er soll sicherstellen, dass die auf Webseiten eingeholten Einwilligungen der Nutzer auch direkt für Google gelten. Auf diese Weise erfüllt Google die ab März nach dem Gesetz über digitale Märkte für das Unternehmen geltende Einwilligungspflicht.

Zwar ermöglicht der Einwilligungsmodus auch die cookielose Erfassung von Nutzern. Die erweiterte Implementierung des Einwilligungsmodus bei Google Analytics ist allerdings nach dem EU-Recht praktisch nutzlos, da sie nur mit einer Einwilligung eingesetzt werden kann.

Das Ziel, auf eine Einwilligung zu verzichten, lässt sich daher nur mit einem serverseitigen Tracking durch Google Analytics umsetzen. Jedoch ist auch in diesem Fall die rechtliche Lage nicht vollständig klar und risikofrei.

In jedem Fall zeigt sich erneut, dass der Einsatz von Google Analytics rechtlich anspruchsvoll bleibt und rechtlich sorgfältig vorbereitet werden muss.

Empfehlung für Ihren rechtlichen Schutz

Für die Aktualisierung Ihrer Datenschutzhinweise im Hinblick auf Googles Einwilligungsmodus empfehlen wir unseren Datenschutzerklärungs-Generator. Dieser ermöglicht es Unternehmen, rechtssichere Datenschutzerklärungen zu erstellen. Sie genießen dabei folgende Vorteile:  vom Anwalt  mit Siegel  kein Abo  Dokumente ohne zeitliches Limit nutzbar Download als Word-Datei oder PDF Nachträgliche Bearbeitung der Eingaben.

In unserem Shop erhalten Sie eine Übersicht unserer Angebote: