Kundenreaktionen zu messen, ist im Zeitalter des Internets verhältnismäßig einfach. Es gibt eine ganze Reihe entsprechender Analysetools, die sich in Websites einbinden lassen und Parameter wie Sitzungsdauer, Absprungrate oder Mediennutzung erfassen. Das mit weitem Abstand populärste Trackingtool ist Google Analytics: Unter den Websites, die Trackingprogramme verwenden, besitzt die Anwendung einen Marktanteil von 84 Prozent.
Rechtssicherer Einsatz kaum möglich
© Simon @Pixabay
Bei aller Beliebtheit, der Einsatz von Google Analytics ist im Geltungsbereich der Europäischen Datenschutzgrundverordnung (DSGVO) spätestens seit der Unwirksamkeit des Privacy Shield 2018 höchst problematisch. Denn schließlich werden IP-Adressen an die Server von Google in den USA übertragen, was den Tatbestand der Übermittlung personenbezogener Daten in ein Drittland erfüllt. Dieser Export von Informationen ist jedoch nur in eng umrissenen Fällen erlaubt. Eine pauschale Einwilligung der Seitenbesucher über ein sogenanntes Consent-Banner einzuholen, ist risikobehaftet. Denn nach Ansicht der deutschen Datenschutzbehörden greifen die einschlägigen Vorschriften der DSGVO bei Analysetools nicht. Grund: Bei den diesbezüglichen Passagen handele es sich um Ausnahmetatbestände, die für wiederkehrende, massenhafte Übermittlungen persönlicher Daten nicht infrage kämen. Eine Auftragsverarbeitung dürfe hier ebenfalls nicht vorliegen.
Millionenzahlungen drohen
Beschwert sich ein User aufgrund der Einbindung von Analytics, kann dies für den Seitenbetreiber teure Konsequenzen haben. Die DSGVO sieht Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Dazu können Schadenersatzansprüche der User nach Art. 82 kommen. In einem aktuellen Fall zur Einbindung von Google Fonts verurteilte das Landgericht München I eine Websitebetreiberin auf dieser Grundlage zu einer Zahlung von 100 Euro. Für sich gesehen nicht weiter tragisch, aber pro Seitenbesucher gerechnet, kommen schnell erhebliche Summen zusammen.
Versichert oder nicht?
Kann für derartige Zahlungen eine eventuell bestehende Cyberversicherung in Anspruch genommen werden? Eine pauschale Antwort auf diese Frage gibt es nicht. Denn die Leistungspflicht hängt von den konkreten Formulierungen in den Vertragsbedingungen ab. Wichtig ist, ob die Übernahme der Kosten durch Datenschutzverletzungen an eine Informationssicherheitsverletzung gekoppelt ist oder nicht. Stellt die Police diesen grundsätzlichen Zusammenhang her, muss die Assekuranz keine Zahlung leisten. Aber nicht alle Versicherungsverträge sind entsprechend abgefasst.
Auf die Formulierung kommt es an
Versicherungen sind darum gut beraten, wenn sie ihre Vertragsbedingungen auf die konkrete Fallkonstellation einer Datenschutzverletzung durch Analysetools oder andere Services von Nicht-EU-Unternehmen hin durchleuchten. Neuverträge sollten entsprechende Leistungsausschlüsse beinhalten, um nicht plötzlich vor einer ganzen Reihe von Schadenereignissen zu stehen, welche die maximale Deckungssumme ausschöpfen. Um das Haftungsrisiko bei Alt- und Neuverträgen noch besser einschätzen zu können, macht es Sinn, die Websites der Versicherungsnehmer bezüglich der Einbindung von Google Analytics zu untersuchen.
Google Analytics trotz DSGVO weitverbreitet
© PPI AG
Eine Stichprobe von Unternehmenswebsites in verschiedenen europäischen Ländern mithilfe des Cyberrisikobewertungstools cysmo hat deutlich gemacht, wie groß die schlummernden Risiken tatsächlich sind. Je Staat wurden 2.500 Seiten auf die Einbindung von Google Analytics hin geprüft. Alarmierendes Ergebnis: Selbst in Österreich, Frankreich, Dänemark und Italien, deren Datenschützer die Verwendung des Analysetools offiziell verboten haben, nutzen bis zu 40 Prozent der Unternehmen die Anwendung.
Autor Marcel Arnold ist Cyber Consultant bei PPI.
Verbot in Deutschland wird kommen
Mit knapp 20 Prozent Nutzeranteil sind deutsche Unternehmen immerhin etwas zurückhaltender als der europäische Durchschnitt. Das Haftungsrisiko ist dennoch nicht zu unterschätzen, denn ein Verbot von Google Analytics in der Bundesrepublik ist nach jetzigem Stand nur eine Frage der Zeit. Und: Den Ergebnissen der cysmo-Untersuchung zufolge anonymisieren nicht einmal 30 Prozent der Analytics-Nutzer die IP-Adressen ihrer Seitenbesucher, obwohl die Konfiguration des Programms das hergibt. Dabei wiesen die deutschen Aufsichtsbehörden schon 2020 darauf hin, dass dies eine Mindestanforderung sei.
Versicherungsnehmer in Kenntnis setzen
Autor Jan Spittka ist Rechtsanwalt und Partner im Bereich Datenschutzrecht und Cybersecurity bei Clyde & Co Europe. © Copyright Joerg Birenheide
Spätestens, wenn die deutschen Datenschützer den Daumen über Google Analytics senken, sollten die Versicherungsunternehmen proaktiv auf ihre Kunden zugehen und sie über das Verbot informieren. Denn nur so lässt sich deren Kenntnis beweisen und eine Leistungspflicht nach § 81 Abs. 1 Versicherungsvertragsgesetz wirksam ausschließen, unabhängig vom Text der Vertragsbedingungen. Generell ist zu empfehlen, den Dialog mit den Versicherungsnehmern über die Risiken eingebundener Anwendungen zu suchen. Denn nicht nur Google sammelt Nutzerdaten, um damit Geschäfte zu machen, auch andere Anbieter können zum Haftungsrisiko werden. Ein penetrationsfreies Bewertungstool kann wertvolle Aufschlüsse über derartige Risiken geben und hilft am Ende beiden Beteiligten: Der Assekuranz ist es möglich, im aktiven Dialog Schadenfälle zu verhindern, bevor sie auftreten, und die Versicherten entgehen gegebenenfalls einer Klage sowie den damit verbundenen Unannehmlichkeiten wie Reputationsverlusten.
Ausführlichere Informationen über die Rechtslage beim Thema Google Analytics und zu den Möglichkeiten von cysmo sind im gemeinsamen Whitepaper „Google Analytics – Datenschutzrisiko und Schaden“ der PPI AG und der Wirtschaftskanzlei Clyde & Co. nachzulesen. Interessenten können dieses kostenlos anfordern.
