Vor einer Woche hatte mich der Chefredakteur von adzine um die Beantwortung einiger Fragen zur Beschwerdewelle über Google Analytics gebeten. Natürlich bin ich der Bitte gerne nachgekommen, denn Datenschutz-Aufklärung kommt gerade im Online-Marketing häufig zu kurz. Das Magazin für Online-Marketing konnte in seinem kurzen Artikel jedoch nur Teile des Interviews wiedergeben, so dass kleine Aspekte untergegangen sind.

Weil die Fragen von adzine treffend gestellt waren und sicher viele Betroffene vor den gleichen Fragen stehen, habe ich mir die Einwilligung geholt, mein per E-Mail geführtes Interview hier in voller Länge zu veröffentlichen. Um Licht ins Dunkle zu bringen

adzine: Hallo Christian, wir sind über deinen Post zu den Beschwerden bei den Aufsichtsbehörden über Google Analytics gestolpert: https://datenschutz-zwecklos.de/blog/2019/10/massenhafte-beschwerden-ueber-google-analytics-erschuettern-aufsichtsbehoerden/
Schöne Zusammenfassung! Aber an einem Punkt hakt es bei uns beim Verständnis: Was ist der konkrete Vorwurf?

Benne: Da sich der Beschwerdeführer leider noch nicht bei uns gemeldet hat, kann ich über die genauen Beschwerdegründe nur spekulieren. Vermutlich sind es dieselben/ähnliche, die ich auch bei meiner Beschwerde über Lieferando verwendet habe: https://datenschutz-zwecklos.de/blog/2019/10/beschwerde-ueber-lieferando-de-wegen-unrechtmaessigem-tracking/ Frag sonst mal bei Prof. Caspar nach. Nur weiß ich nicht, ob er die Info überhaupt herausgeben darf. Mir haben seine Kollegen die Info ja auch nur „aus Versehen“ durchgestochen…

adzine: Tracking basierte bislang auf einem berechtigten Interesse des Webseitenbetreibers – soweit so klar.

Benne: So einfach ist das nicht. Der Website-Betreiber hat ein berechtigtes Interesse an der statistischen Auswertung seiner Website, das ist richtig. Eine Weitergabe der Daten an Dritte zu *anderen Zwecken* ist aber nicht von seinem berechtigten Interesse gedeckt. Und natürlich erst recht keine Website-übergreifende Profilbildung durch einen Dritten mit enormen Gefahren für die Betroffenen (s. nachstehend).

adzine: Ist das Problem nun, dass Google ohne ausdrückliche Zustimmung als dritte Partei bei der Datenverarbeitung mit ins Boot geholt wird?

Benne: Das Problem ist wie gesagt der eigene Zweck, den Google mit den Daten verfolgt und die damit verbundene Website-übergreifende Profilbildung. Eine solcher Eingriff in die Privatsphäre des Surfers ist natürlich nicht mehr vom berechtigten Interesse des Website-Betreibers gedeckt. Daher ist die explizite, freiwillige und informierte Einwilligung eines jeden Nutzers als Rechtsgrundlage die einzige Möglichkeit, diese Daten gesetzeskonform zu erfassen.

adzine: Die Daten sind doch anonymisiert, also nicht personenbezogen und damit nicht relevant im Sinne der DSGVO oder?

Benne: Nein, das ist nicht richtig. Zwei Punkte dazu:

  1. Jeder Nutzer, der ein Google Konto besitzt (also z.B. Android Nutzer) hat bei der Registrierung zugestimmt, dass Google sämtliche Daten *personenbezogen* erfassen darf. Die Einwilligung umfasst sämtliche Google Dienste – und explizit auch Analytics und Doubleclick (s. Datenschutzerklärung Google). Sobald ein Nutzer sich von einem Endgerät nur einmal bei Google angemeldet hat, kann Google das Gerät erkennen und den Nutzer personenbezogen identifizieren – auch wenn er nicht mehr eingeloggt ist. Google weiß dank Analytics (oder anderer auf Websites eingebundener Google Dienste) genau, welche Person dort surft und führt alle Daten personenbezogen in seinem Profil zusammen. Das ist unstrittig.

Beispiel: Damit weiß nicht nur die Online-Apotheke, die GA verwendet, das „Stefan Meier“ sich einen Geschlechtskrankheit eingefangen hat, sondern auch Google. Da Google auch Stefans Reservierung im Nachtclub getrackt hat, wissen sie auch, wo der Infekt herkommt – und an wen er ihn vielleicht schon weiter gegeben hat. Schließlich kommuniziert er mit seinen „Freundinnen“ über GMail und speichert sie in seinen Kontakten. Dank des Routings mit Google Maps, das Stefan für seine nächtlichen Ausflüge verwendet, weiß Google sogar Meter-genau, wo die Gespielinnen tätig sind bzw. wohnen, selbst wenn sie nicht in Gmail eingepflegt sind. Die Damen können dann natürlich genauso wie Stefan leicht von Google identifiziert werden – und die „Zusammenarbeit“ wird einfach über GPS- oder WLAN-Koordinaten transparent. Nur schade, dass Google auf die gewonnenen Profildaten im Gesundheitsbereich (noch) keine Werbung schaltet. Sonst könnte Google gleich jedem „Teilnehmer“ die richtigen Medikamente empfehlen. Wäre doch super, wenn die Betroffenen noch nichts von ihrer Krankheit wissen und trotzdem gleich die passende Werbung bekommen – ist ja schließlich sehr relevant…

  1. Im Übrigen sammelt Google die gleichen Daten (ohne sofortigen Personenbezug), wenn jemand gar kein Google Konto hat. Durch die hohe Granularität bei der Website-übergreifenden Profilierung, kann ein solcher Nutzer natürlich häufig trotzdem leicht identifiziert werden (s. auch WOT Skandal, wo Abgeordnete und Journalisten nur durch sehr wenige aufgerufene URLs identifiziert wurden: https://www.heise.de/newsticker/meldung/Abgegriffene-Browserdaten-Mozilla-entfernt-Web-of-Trust-3455990.html).

In beiden Fällen kommt die DSGVO ins Spiel, da sie eben für alle Daten gilt, über die ein Individuum identifiziert werden kann. Aus Art. 4.1 DSGVO: „„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; Als identifizierbar wird eine natürliche Person angesehen, die […] indirekt […] identifiziert werden kann“ – und das ist sicher unstrittig über die Google Daten möglich. Insofern entkommt man der DSGVO nicht einfach durch eine IP-Anonymisierung bei GA.

adzine: Oder geht es hier um das Setzen und die Nutzung eines Cookies ohne Zustimmung des Users (EuGH-Urteil)?

Benne: Das ist zumindest aus meiner Sicht eine gute Möglichkeit, das Thema jetzt auf der rechtlichen Ebene anzugreifen. Die DSGVO wird von den Aufsichtsbehörden im DSK Papier zwar entsprechend interpretiert, nur wird keine Behörde hier ein Gerichtsverfahren anstreben, um die Interpretation auch bestätigen zu lassen. Das hat mir Prof. Caspar auch Mitte Oktober sehr deutlich erklärt (s. https://datenschutz-zwecklos.de/blog/2019/10/ein-jahr-rueckstand-bei-hamburger-aufsichtsbehoerde/)

Mit den EuGH (Planet49, Cookies) Urteilen haben wir nun aber *abschließende* Urteile, die Wirkung für die gesamte EU haben. Alle Gerichte werden sich daran orientieren und mit Sicherheit keine gegenteiligen Urteile fällen. Daher ist das juristisch wohl die einfachste Möglichkeit der personenbezogenen Totalüberwachung durch Google und Co. Einhalt zu bieten, bevor die ePrivacyVO „irgendwann“ dem Spuk ein Ende bereitet. Und vermutlich ist das genau das Ziel des Beschwerdeführers.

adzine: Wir würden uns freuen, wenn du Licht ins Dunkle bringen könntest!

Benne: Gerne. Lass uns sonst dazu auch nochmal telefonieren, wenn noch etwas offen ist…


Fragen gab es keine mehr und ich habe mich über den Artikel bei adzine gefreut.