Menschensilhouetten hinter einer Matrix aus grünen Nullen und Einsen.

Viele Einrichtungen setzen auf ihren Webseiten Analyse-Tools ein, um das Nutzungsverhalten der Besucher zu untersuchen. Ein häufig verwendetes Tool ist Google Analytics. Bei dessen Verwendung wird das Nutzungsverhalten der Besucher einer Webseite von Google ausgewertet. Dies geht grundsätzlich mit einer Offenlegung personenbezogener Daten einher. Überdies behält sich Google bei Nutzung dieses Dienstes in den Standardeinstellungen vor, die Daten der Besucher für eigene Zwecke zu verwenden. Diese Art der Datenverarbeitung durch Google und die verantwortliche Stelle ist nur zulässig, wenn eine Einwilligung der Webseitenbesucher vorliegt. Diese Einwilligung ist aus Sicht aller Aufsichtsbehörden für den Datenschutz bei dieser Konstellation kurzfristig einzuholen. Eine Einwilligung ist nur dann wirksam, wenn die Besucher der Datenverarbeitung eindeutig und informiert zustimmen (u. a. wer bekommt welche Daten zu welchem Zweck). Erst nachdem eine wirksame Einwilligung eingeholt wurde, darf auch mit der Datenverarbeitung begonnen werden. Ein reines Weitersurfen, z. B. im Rahmen eines Cookie-Banners, stellt keine wirksame Einwilligung dar. Das Gleiche gilt für vorab aktivierte Kästchen bei Einwilligungserklärungen. Diese Einschätzung hat der Europäische Gerichtshof in seinem Urteil vom 1. Oktober 2019 (EuGH, Urteil vom 1.10.2019 – C-673/17 – „Planet49“) ausdrücklich bestätigt.

Neben Google Analytics gibt es andere Analyse-Tools, die beispielsweise auf dem eigenen Server der Einrichtungen betrieben werden können, sodass Daten an Dritte im Rahmen der Analyse gar nicht erst offengelegt werden müssen. Überdies können Analyse-Programme auch so konfiguriert werden, dass keine personenbezogenen Daten anfallen. Grundsätzlich sollten Einrichtungen prüfen, ob und in welchem Umfang sie Tracking- und Analyse-Tools benötigen, da der datenschutzkonforme Betrieb in der Regel einige Maßnahmen bzw. zusätzliche Einstellungen erfordert.

Dem Beauftragten für den Datenschutz der EKD liegen einige Beschwerden hinsichtlich des Einsatzes von Google Produkten auf Webseiten kirchlicher Einrichtungen vor. Er nimmt dies zum Anlass, entsprechende Überprüfungen auf Zulässigkeit einzuleiten, um etwaige Verstöße gegen das EKD-Datenschutzgesetz (sowie die aktuelle Rechtsprechung des europäischen Gerichtshofes) abzustellen.

Für weitere Informationen zum datenschutzkonformen Betrieb einer Webseite verweisen wir auf unsere Arbeitshilfe zur Erstellung einer Datenschutzerklärung.

Bildquellen