Google Analytics wird von vielen Webseitenbetreibern zur Analyse des Nutzerverhaltens verwendet. Das vom Unternehmen Google bereit gestellte Tool trackt hierbei die IP-Adressen der Webseitenbesucher und liefert dem Betreiber anschließend Statistiken über diverse Aspekte wie etwa Zeiten zu denen die Webseite stark besucht wird oder aber welche Teile / Links häufig angeklickt werden. Für den Webseitenbetreiber selbst werden hier - sofern keine anderen Einstellungen ausgewählt wurden - diese Statistiken in anonymisierter Form bereit gestellt, da bei den gesammelten IP-Adressen die letzten Stellen gekürzt werden.

Nach überwiegender Meinung handelt es sich hierbei - trotz der Erhebung anonymisierter (!) Daten und daher durchaus hinterfragenswerter Ansicht - um eine Auftragsverarbeitung nach Art 28 DSGVO und wird hier von Google auch standardmäßig eine solche Vereinbarung zur Verfügung gestellt. Die Hamburger Aufsichtsbehörde vertritt hier allerdings eine andere These, wonach Google Analytics einen Fall der gemeinsamen Verantwortung nach Art 26 DSGVO darstellt.

Begründet wird dies von der Hamburger Aufsichtsbehörde in ihrem Tätigkeitsbericht damit, dass neben dem Abschluss der Auftragsverarbeitervereinbarung auch ein sog Controller-Controller Agreement - also eine Vereinbarung zwischen zwei (gleichrangigen) Verantwortlichen - zur zwingenden Bedingung macht, da Google sich die Verwendung der (anonymisierten) Nutzerstatistiken auch zu eigenen Zwecken vorbehält. Nach Meinung der Behörde handelt es sich hierbei allerdings um denselben Verarbeitungsschritt (nämlich der Erhebung der IP-Adressen) und man diesen nicht auf zwei Verarbeitungsschritte aufteilen kann. In den Augen der Hamburger Aufsichtsbehörde ist eine solche doppelte Rolle (als Auftragsverarbeiter und Verantwortlicher) in Bezug auf eine Tätigkeit jedoch nicht mit der DSGVO vereinbar, sodass hier eben von einer gemeinsamen Verantwortung auszugehen sei.

Die Frage die sich Nutzer von Google Analytics nun wohl stellen ist: "Und was heißt das jetzt für mich?"

Die Antwort in Langform: Sollte sich die - durchaus kritikwürdige - Ansicht der Aufsichtsbehörde durchsetzen, dann wird es - ähnlich wie bei der Verwendung von Facebook Fanpages einer entsprechenden Vereinbarung nach Art 26 bedürfen. Aufgrund des klaren Machtungleichgwichts zwischen den einzelnen Nutzern des Dienstes und Google selbst, wird hier aber Google faktisch zur Lieferung einer Lösung verpflichtet sein. Hinzukommt noch der Umstand, dass dies eine Meinung einer Behörde unter vielen ist und dieser Standpunkt (noch) nicht in Form eines Urteils vorliegt.

Die Antwort in Kürze: einstweilen nichts! Es gilt jedoch die weitere Entwicklung abzuwarten.