Der Einsatz von Google Analytics ist nur mit vorheriger, informierter Einwilligung des Nutzers zuläßig. Dies ergibt sich aus der zweistufigen Prüfung:
Stufe 1 - TDDDG: Google Analytics setzt Cookies auf dem Endgerät des Nutzers und greift auf gespeicherte Informationen zu. Da diese Cookies nicht "unbedingt erforderlich" für einen vom Nutzer gewünschten Dienst sind, ist eine Einwilligung nach Paragraph 25 Abs. 1 TDDDG erforderlich. Analyse-Cookies sind ausdrücklich einwilligungspflichtig (DSK-OH Digitale Dienste).
Stufe 2 - DSGVO: Die anschließende Verarbeitung der durch Google Analytics erhobenen personenbezogenen Daten (IP-Adressen sind personenbezogene Daten, vgl. EG 30 DSGVO) bedarf einer Rechtsgrundlage. Da die Einwilligung bereits auf Stufe 1 eingeholt werden muss, ist Art. 6 Abs. 1 lit. a DSGVO die naheliegende Rechtsgrundlage.
Drittlandstransfer: Google LLC hat seinen Sitz in den USA. Seit dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der Kommission gemäß Art. 45 DSGVO) können Datentransfers an unter dem Framework zertifizierte US-Unternehmen grundsätzlich auf diesen Beschluss gestützt werden. Dies muss jedoch in der Datenschutzerklärung transparent dargestellt werden. Die DSK-OH Digitale Dienste betont, dass die Anforderungen der Art. 44 ff. DSGVO zusätzlich erfüllt werden müßen.
Auftragsverarbeitung: Sofern Google als Auftragsverarbeiter tätig wird, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Google stellt hierfür standardmäßig einen AVV bereit. Allerdings ist zu prüfen, ob Google die Daten auch zu eigenen Zwecken verarbeitet - in diesem Fall läge keine reine Auftragsverarbeitung vor, und es wäre eine eigene Rechtsgrundlage für die Datenübermittlung an Google erforderlich.
Praktische Empfehlung: Den Einsatz von Google Analytics im Cookie-Banner als einwilligungspflichtig kennzeichnen, vor Einwilligung keine Cookies setzen, IP-Anonymisierung aktivieren, Datenschutzerklärung aktualisieren und den Drittlandstransfer absichern.