02.04.2020
Trackingtools sind aus dem digitalen Zeitalter nicht mehr wegzudenken. Wir haben uns offensichtlich damit abgefunden, dass unser Onlineverhalten flächendeckend und URL-übergreifend gespeichert, analysiert und vermarktet wird. Unangefochtener Marktführer auf dem Gebiet ist Google Analytics. Laut einer Statistik des W3Techs-Consortiums verwenden heute ca. 54 % aller Websites weltweit die Services des kalifornischen Technologieunternehmens aus Mountain View. Aber auch abseits reiner Online-Auftritte entscheiden sich immer mehr Unternehmen zu einer Implementierung von Google Analytics in ihre Produkte oder denken aktuell darüber nach – oftmals wohl auch „um nicht den Anschluss zu verlieren“.
Tatsächlich leistet die Technologie einiges. Über ein in Echtzeit aktualisiertes Dashboard können detaillierte Auswertungen über verschiedenste Parameter von Besuchern (Benutzern) abgerufen und darauf basierende Rückschlüsse auf deren Verhaltensweisen zusammengestellt werden. Sie sollen es dem Betreiber ermöglichen, seinen Webauftritt (sein Produkt) an die Bedürfnisse oder gar Wünsche seiner „Audience“ anzupassen, während die betroffenen Personen meist selbst nicht wissen, was sie sich davon genau erhoffen. Es mag sogar einige in der Audience geben, die sich gar nichts bestimmtes wünschen, doch auch ihr Nutzerverhalten gibt aus Sicht des Services Anlass, das eigene Angebot zu überdenken und es weiter zu optimieren.
Mit Hilfe von Variablen wie der geografischen Herkunft oder anderer sozioökonomischer Parameter der getrackten Personen (z.B. deren Geschlecht, die Zugehörigkeit zu einer bestimmten Altersklasse, etc.), werden Ergebnisse graphisch aufbereitet und in anschaulicher Art und Weise dargestellt. Was darüber hinaus noch alles möglich ist, will man als Kunde vermutlich gar nicht so genau wissen. Genau hierin liegt jedoch ein zentrales Problem derartiger Technologien: Der Betreiber einer Website oder das Unternehmen, das Tools wie Google Analytics in seinen Produkten einsetzt, hat regelmäßig keinerlei Kenntnis darüber, was über die Erbringung der vom Provider angebotenen, ihm manchmal mehr, manchmal weniger bekannten, Services hinaus mit den Daten geschieht, die von den betroffenen Personen gesammelt werden - von Kontrolle ganz zu schweigen. Gleichwohl wird er aus datenschutzrechtlicher Sicht als Verantwortlicher anzusehen sein. Aber wie viel Verantwortung wird hier überhaupt gewagt?
Im Rahmen des intuitiven Einrichtungsassistenten ist zunächst die von der Google LLC dargebotene Auftragsverarbeitungsvereinbarung in ihrer jeweils aktuellen und sich beinahe monatlich ändernden Fassung sowie die Nutzungsbedingungen zu akzeptieren. Nur dem aufmerksamen Betrachter fällt überhaupt auf, dass Google seit einiger Zeit in den voreingestellten Standardeinstellungen des Vertragsprozesses eine Vereinbarung on top abzeichnen lässt, die den Namen „Measurement Controller-Controller Data Protection Terms" trägt. Was es damit auf sich hat? Die Terms regeln eine Art gemeinsame Verantwortlichkeit der Akteure. Jedoch nicht für Google Analytics insgesamt, sondern nur für einen Teilbereich der Daten, die innerhalb der Services übertragen und verarbeitet werden. Diese Daten werden als „shared data“ bezeichnet. Die dahinterliegende „Datenfreigabeeinstellung“ soll laut Definition eine Einstellung sein, „die der Kunde über die Benutzeroberfläche der Messdienste aktiviert hat und die es Google und dessen Zweigunternehmen ermöglicht, personenbezogene Daten zur Verbesserung der Produkte und Dienstleistungen von Google bzw. des jeweiligen Unternehmens einzusetzen“. Um welche Daten es sich im Einzelnen tatsächlich handelt, wird weder innerhalb der Terms, noch an irgendeiner anderen Stelle näher beschrieben. Den folgenden, innerhalb der Google Analytics Kontoeinstellungen angezeigten Satz muss man sich vor diesem Hintergrund einmal auf der Zunge zergehen lassen:
„Mit den Informationen, die Sie für Google freigeben, können wir weiter an der Verbesserung unserer Produkte und Dienste arbeiten. Vielen Dank dafür!“
Gern geschehen! Und wie lief die Produktverbesserung noch gleich ab, bevor es die Controller-Controller Vereinbarung gab? Zu diesem Zeitpunkt war vermutlich das Risiko, dass man mit dem Websitebetreiber oder Produktinhaber gemeinsam in die Verantwortlichkeit genommen würde, noch nicht akut genug. Das bis dahin verwendete Konstrukt der Auftragsverarbeitung für die Gesamtheit der Services wurde allseits als ausreichend erachtet. Die jetzige Vorgehensweise von Google ist also sicher eine Reaktion auf die Urteile des EuGH zu Facebook-Fanpages und FashionID, mit denen erneut deutlich wurde, dass der Gewährleistung eines wirksamen und umfassenden Schutzes personenbezogener Daten von natürlichen Personen in der EU höchste Priorität zukommen soll. Nach den Entscheidungen dürften an die gemeinsame Festlegung von Zwecken und Mitteln der Datenverarbeitung keine allzu hohen Anforderungen zu stellen sein. Eine detaillierte Kenntnis über die Verarbeitungstätigkeit des jeweils anderen oder das Vorliegen eines gemeinsamen Zwecks ist wohl ebenfalls nicht erforderlich, um die gemeinsame Verantwortlichkeit zu begründen.
Vor diesem Hintergrund könnte die Einbindung von Tracking- und Analysetools durchaus als ein Fall von Art. 26 Abs. 1 DSGVO anzusehen sein, für den es den Abschluss einer entsprechenden Vereinbarung zwischen den Akteuren bedarf. Auf lange Sicht wird es nicht ausreichen, dass Anbieter entsprechender Tools dem Websitebetreiber bzw. Produktinhaber eine Vereinbarung anbieten, die sich vor allem durch ihre Inhaltslosigkeit auszeichnet und die nicht einmal eindeutig regelt, für welche Daten sie überhaupt anwendbar ist. Es wird eine detailliertere Auseinandersetzung mit den Anforderungen an derartige Vereinbarungen erforderlich werden. Einen ersten Schritt in diese Richtung hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg im Mai 2019 mit der Veröffentlichung eines Musters für eine Vereinbarung über die gemeinsame Verantwortlichkeit getan. Damit kann natürlich nur eine erste Orientierung gegeben werden, die sich insbesondere für einfache Fälle anbietet. Gerade in komplexen Konstellationen mit mehreren Akteuren und Drittstaatentransfer wie im Falle von Google Analytics wird sich zeigen müssen, welche Inhalte tatsächlich erforderlich sind.