Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des
Bundes und der Länder – 12.05.2020

Hinweise zum Einsatz von Google Analytics
im nicht-öffentlichen Bereich
Google Analytics ist eines der weitest verbreiteten Tools für Website-Betreiber (Anwender).
Mit Hilfe dieses Tools lassen sich umfassende statistische Auswertungen der
Webseitennutzung vornehmen. Aus diesem Grund besteht ein großer Beratungsbedarf
hinsichtlich des Einsatzes von Google Analytics.
Die Datenschutzaufsichtsbehörden haben vor dem Hintergrund des neuen Rechtsrahmens
mit Geltung der DS-GVO den Einsatz von Google Analytics neu bewertet. Ältere
Auffassungen der Datenschutzaufsichtsbehörden, die unter Berücksichtigung der Rechtslage
vor dem 25.05.2018 kommuniziert wurden, gelten damit als überholt.1
Im Folgenden handelt es sich keinesfalls um eine abschließende Beurteilung. Die folgenden
Ausführungen stellen eine Ergänzung der Orientierungshilfe für Anbieter von Telemedien2
dar und betreffen lediglich die häufigsten Fragestellungen beim Einsatz von Google
Analytics. Die folgenden Ausführungen stellen keine Empfehlung zum Einsatz von Google
Analytics dar, sondern beschreiben nur die datenschutzrechtlichen Mindestanforderungen,
die von Seitenbetreibern nach derzeitigem Stand zwingend eingehalten werden müssen.

Die Auffassungen der Datenschutzaufsichtsbehörden stehen unter dem Vorbehalt einer
zukünftigen - möglicherweise abweichenden - Auslegung durch den Europäischen
Datenschutzausschuss und der Rechtsprechung des EuGH.
Die Ausführungen gelten für den Fall, dass der Anwender von Google-Analytics die von
Google derzeit3 empfohlenen Standardeinstellungen nutzt. Für den Fall, dass der Anwender
von Google Analytics von den empfohlenen Einstellungen abweicht und/oder ergänzende
Funktionen verwendet (z. B. Google Analytics 360) oder Google die Verarbeitung oder die
vertraglichen
Grundlagen
ändert,
wird
auf
die
von
den
deutschen
Datenschutzaufsichtsbehörden veröffentlichten Ausführungen der Orientierungshilfe für
Anbieter von Telemedien verwiesen.

1 Dies gilt insbesondere für die Veröffentlichung des Hamburgischen Beauftragten für Datenschutz und
Informationsfreiheit, „Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen“.
2 Abrufbar unter: https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf
3 Stand: 11.03.2020.

I.

Personenbezogene Daten

Beim Einsatz von Google Analytics werden immer personenbezogene Daten der Nutzer
verarbeitet.
In den Google Analytics-Hilfen4 erläutert Google, dass Nutzungsdaten keine
„personenidentifizierbaren Informationen“ seien. Diese Auffassung steht nicht nur im
Widerspruch zur Definition des Begriffs „personenbezogene Daten“ in Art. 4 Nr. 1 der DSGVO, sondern ist auch missverständlich, da Google im Weiteren Folgendes ausführt:
„Bitte beachten Sie, dass Daten, die Google nicht als personenidentifizierbare Informationen
einstuft, im Rahmen der DS-GVO als personenbezogene Daten gelten können.“
Die Datenschutzaufsichtsbehörden weisen daher ausdrücklich darauf hin, dass es sich bei
den mit Google Analytics verarbeiteten Daten (Nutzungsdaten und sonstige
gerätespezifische Daten, die einem bestimmten Nutzer zugeordnet werden können) um
personenbezogene Daten i.S.d. DS-GVO handelt.

II.

Verhältnis zwischen Google Analytics-Anwender und Google

Google hat die Verarbeitungsprozesse von Google Analytics fortlaufend angepasst. Dies hat
dazu geführt, dass Google Analytics nicht mehr nur ein Tool zur statistischen Analyse
(Reichweitenmessung) ist, sondern dem Anwender eine Vielzahl an weiteren Funktionen
bietet, mit denen der Anwender verschiedene Zwecke verfolgen kann.
Nach Auffassung der Datenschutzaufsichtsbehörden ist die Verarbeitung im Zusammenhang
mit Google Analytics keine Auftragsverarbeitung gemäß Art. 28 DS-GVO. Nach Art. 4 Nr. 7,
Art. 28 Abs. 10 DS-GVO hat der Verantwortliche die Zwecke und Mittel der Verarbeitung
selbst zu bestimmen. Daraus folgt die Pflicht des Auftragsverarbeiters, die Daten
ausschließlich auf Weisung des Verantwortlichen zu verarbeiten (Art. 29 DS-GVO). Beim
Einsatz von Google Analytics bestimmt der Website-Betreiber nicht allein über die Zwecke
und Mittel der Datenverarbeitung. Diese werden vielmehr zum Teil ausschließlich von
Google vorgegeben, sodass Google insoweit selbst verantwortlich ist, und vom
Seitenbetreiber vertraglich akzeptiert. Die Verarbeitung beim Einsatz von Google Analytics
stellt einen einheitlichen Lebenssachverhalt dar, in dem die verschiedenen Aspekte der
Verarbeitung nur als Ganzes einen Sinn ergeben. Dies hat zur Folge, dass die Beteiligten
innerhalb einer Verarbeitungstätigkeit nicht ihre Rolle als Auftragsverarbeiter und/oder
Verantwortlicher wechseln können.
Zwar bietet Google weiterhin einen Vertrag zur Auftragsverarbeitung an, stellt aber zusätzlich
in den „Google Measurement Controller-Controller Data Protection Terms“5 klar, dass für
4 Abrufbar unter der URL: https://support.google.com/analytics/answer/7686480 [Stand: 27.09.2019].
5 Das „Google Measurement Controller-Controller Data Protection Terms“, abrufbar unter:
https://support.google.com/analytics/answer/9012600, Fassung vom 4. November 2019, Ziff. 4, gilt u.a. für den
Fall, dass Google-Produkte und –Dienste in den Einstellungen zur Datenfreigabe aktiviert sind.

2

bestimmte Verarbeitungsprozesse Google und der Anwender (Website-Betreiber) getrennt
verantwortlich seien. Zudem stellt Google in den Nutzungsbedingungen6 klar, dass Google
die Daten für eigene Zwecke, insbesondere auch zum Zweck der Bereitstellung seines
Webanalyse- und Trackingdienstes, verarbeite. Gemäß Artikel 28 Abs. 10 DS-GVO handelt
es sich bei Google damit nicht mehr um einen Auftragsverarbeiter.
Unter Berücksichtigung der aktuellen Rechtsprechung des EuGH sind Google und der
Google-Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich, sodass die
Anforderungen des Art. 26 DS-GVO zu beachten sind.

III.

Rechtsgrundlage

Der Einsatz von Google Analytics kann in aller Regel nicht auf Art. 6 Abs. 1 lit. b) DS-GVO
gestützt werden, da der Einsatz von Google Analytics nicht zur Vertragserfüllung zwischen
Website-Betreiber und Nutzer erforderlich ist.
Der Einsatz von Google Analytics ist in der Regel auch nicht nach Art. 6 Abs. 1 lit. f) DSGVO rechtmäßig. Angesichts der konkreten Datenverarbeitungsschritte beim Einsatz von
Google Analytics überwiegen die Interessen, Grundrechte und Grundfreiheiten der Nutzer
regelmäßig die Interessen der Website-Betreiber. Insbesondere rechnet der Nutzer
vernünftigerweise nicht damit, dass seine personenbezogenen Daten mit dem Ziel der
Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen
Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und
umfassend ausgewertet werden.7 Dies geht weit über das hinaus, was im Rahmen des Art. 6
Abs. 1 lit. f) DS-GVO zulässig ist.8 Die Situation weicht insoweit erheblich von dem Fall einer
Statistik-Funktion auf der eigenen Website oder mittels Auftragsverarbeitung ab.
Google verpflichtet in den vertraglichen Regelungen den Anwender von Google Analytics,
unter bestimmten Voraussetzungen für den Einsatz des Dienstes eine Einwilligung der
Besucher der Webseite einzuholen.9 Die Datenschutzaufsichtsbehörden weisen ausdrücklich
darauf hin, dass es für den rechtmäßigen Einsatz von Google Analytics nicht auf die
vertraglichen Vereinbarungen zwischen Google und dem Anwender ankommt. Die
Rechtmäßigkeit richtet sich ausschließlich nach dem Gesetz.
6 Abrufbar unter: https://marketingplatform.google.com/about/analytics/terms/de/, Fassung vom 17. Juni
2019, Ziff. 6, 7.
7 Datenschutzerklärung von Google unter: https://policies.google.com/privacy, Fassung wirksam ab dem 15.
Oktober 2019, unter der Überschrift „Messung der Leistung“.
8 Nähere Erläuterungen in der „Orientierungshilfe für Anbieter von Telemedien“.
9 Vgl. „Nutzungsbedingungen“, abrufbar unter:
https://marketingplatform.google.com/about/analytics/terms/de/, Fassung vom 17. Juni 2019;
„Richtlinienanforderungen für Google Analytics-Werbefunktionen“, abrufbar unter:
https://support.google.com/analytics/answer/2700409, Fassung vom 16. Dezember 2016; „Richtlinie zur
Einwilligung der Nutzer in der EU“, abrufbar unter: https://www.google.com/about/company/user-consentpolicy.html, ohne Datum, zuletzt abgerufen am 23. Januar 2020.

3

Im Ergebnis ist ein rechtmäßiger Einsatz von Google Analytics in der Regel nur aufgrund
einer wirksamen Einwilligung der Webseitenbesuchenden gem. Art. 6 Abs. 1 lit. a), Art. 7
DS-GVO möglich.

IV.

Maßnahmen

Sofern Website-Betreiber nicht auf alternative und datensparsame Werkzeuge zur
Reichweitenmessung ausweichen, sondern weiterhin Google Analytics verwenden, sind
insbesondere folgende Maßnahmen umzusetzen:
1)

Einholung einer informierten, freiwilligen, aktiven und vorherigen Einwilligung der
Nutzer

Eine Einwilligung ist nur wirksam, wenn die Anforderungen gem. Art. 4 Nr. 11, Art. 7 DSGVO und ggf. Art. 8 DS-GVO erfüllt sind. Das bedeutet insbesondere:








Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete
Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit
verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.
In der Einwilligung muss klar und deutlich beschrieben werden, dass die
Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym
sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen
Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um
Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und
Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit
verbundenen Verarbeitungen nicht transparent gemacht werden.
Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne
Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus,
vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine
Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der
Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine
Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das
bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.
Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und
eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne
dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an
die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen
Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die
Einwilligung nicht freiwillig und damit unwirksam ist.

Um die Anforderungen einer wirksamen Einwilligung auf Websites oder in Apps umzusetzen,
sind folgende Gestaltungshinweise zu beachten:


Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der
Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die
4







2)

Tragweite
der
Entscheidung
eingegangen
wird,
wie
beispielsweise
„Datenverarbeitung Ihrer Nutzerdaten durch Google“.
Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche
Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links
verschleiert werden.
Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von
Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics
verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese
Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden
Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie
beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer
Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft
werden.
Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht
verhindert oder eingeschränkt werden.

Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung

Beim Einsatz von Google Analytics muss stets ein einfach und immer zugänglicher
Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung
implementiert sein. Gleiches gilt für Apps, die zum Beginn der Nutzung eine Einwilligung
erfragen. Auch hier muss in den Einstellungen eine einfach zugängliche Möglichkeit zum
wirksamen Widerruf der Einwilligung vorhanden sein.
Hatte ein Nutzer einmal seine Einwilligung erteilt und widerruft er sie zu einem späteren
Zeitpunkt, so ist sicherzustellen, dass nach dem Widerruf das Google-Analytics-Skript nicht
nachgeladen oder ausgeführt wird.
Google stellt ein Browser-Add-On zur Deaktivierung von Google Analytics zur Verfügung. Es
ist nicht zulässig, den Nutzer ausschließlich auf dieses Add-On zu verweisen, da dies keine
hinreichende Widerrufsmöglichkeit darstellt. Gemäß Art. 7 Abs. 3 S. 4 DS-GVO ist der
Widerruf so einfach wie die Erteilung der Einwilligung zu gestalten. Das von Google zur
Verfügung gestellte Add-On erfüllt diese Anforderungen nicht, da der Nutzer zum
Herunterladen von weiteren Programmen gezwungen wird. Im Übrigen entspricht das AddOn aufgrund der Vielzahl an Browsern und Betriebssystemen weder dem Stand der Technik
noch ist es geeignet, um die Datenverarbeitung in Apps zu unterbinden.
3)

Transparenz

Anwender müssen gemäß Art. 13 DS-GVO die Nutzer in den Datenschutzbestimmungen
umfassend über die Verarbeitung personenbezogener Daten im Rahmen von Google
Analytics informieren. Bezüglich der Anforderungen an diese Informationspflicht wird auf die
Leitlinie zur Transparenz10 des Europäischen Datenschutzausschusses sowie auf die
Orientierungshilfe für Anbieter von Telemedien verwiesen.

10 Abrufbar unter: https://www.datenschutzkonferenz-online.de/media/wp/20180411_wp260_rev01.docx

5

4)

Kürzung der IP-Adresse

Zusätzlich zu den o. g. Maßnahmen sollten Anwender von Google Analytics durch
entsprechende Einstellungen die Kürzung der IP-Adressen veranlassen. Dazu ist auf jeder
Internetseite mit einer Google Analytics-Einbindung der Trackingcode um die Funktion
„_anonymizeIp()“ zu ergänzen. Weitere Details können der technischen Anleitung von
Google entnommen werden, abrufbar unter:
https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization
Die Kürzung der IP-Adresse stellt eine zusätzliche Maßnahme gem. Art. 25 Abs. 1 DS-GVO
zum Schutz der Nutzer dar, sie führt jedoch nicht dazu, dass die vollständige
Datenverarbeitung anonymisiert erfolgt. Beim Einsatz von Google Analytics werden neben
der IP-Adresse weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu
bewerten sind, wie z. B. Identifizierungsmerkmale der einzelnen Nutzer, die auch eine
Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben. Aus diesem
Grund ist in jedem Fall der Anwendungsbereich der DS-GVO eröffnet, sodass Anwender von
Google Analytics auch dann verpflichtet sind, die Anforderungen der DS-GVO zu beachten,
wenn sie die Kürzung der IP-Adressen veranlasst haben. In der Datenschutzerklärung ist der
Umstand, ob die Kürzung der IP-Adressen veranlasst ist, entsprechend anzugeben.

Im Übrigen gelten die Ausführungen der Orientierungshilfe für Anbieter von Telemedien.

6