Do you use Google Analytics? Then you certainly know that Google Analytics has recently been deemed non-compliant with data protection in the EU.
The data protection authorities in Austria and France have already ruled that the use of Google Analytics violates the EU General Data Protection Regulation (GDPR). Data protection authorities in other EU member states are also looking into the GDPR compliance of Google Analytics.
In our free webinar, we explain the legal background for this decision and show what this new starting position means for the use of Google Analytics in Switzerland.
In addition, we present the advantages and disadvantages of privacy-compliant alternatives to Google Analytics.
SEO Performance Measurement - Analytics Roundtable Zurich 19.11.2014
Webinar "Darf ich Google Analytics noch verwenden?"
1. Workshop
Darf ich Google Analytics
noch verwenden?
Dr. Evelyn Thar, Dr. Michael Reinle
31.05.2022
2. Agenda
• Aktuelle Rechtslage für Google Analytics in
der EU
• Entscheide in Österreich, Frankreich und
Liechtenstein
• Aktuelle Rechtslage für Google Analytics in
der Schweiz
• Schweizer Rechtslage gemäss aktuellem und
neuem Datenschutzgesetz
• Praxis-Tipps zum Einsatz von Google
Analytics
• Wie Sie entscheiden, was für Ihr Unternehmen das
richtige Tracking- und Datenschutz-Setup ist
• Alternativen zu Google Analytics
• Server-Side Tracking als neues Tracking-Konzept
• Fazit zum praktischen Einsatz von Google Analytics
5. Ausgangslage
5
• Beschwerdeverfahren durch noyb (“101 complaints”)
• Beschwerde gegen Betreiberin einer Website (“Erstbeschwerdegegnerin”) und Google
(“Zweitbeschwerdegegnerin”)
• Erstbeschwerdegegnerin habe bei Besuch der Website im August 2020 personenbezogene
Daten, mindestens die IP-Adresse und Cookie-Daten, über Google Analytics verarbeitet
und einige dieser Daten an Google LLC in den USA übermittelt
• Keine korrekte Implementierung der IP-Anonymisierungsfunktion
• Verwendung der kostenlosen Funktion von Google Analytics
• Beschwerdeführer während des Website-Besuchs in seinem eigenen Google-Konto
eingeloggt
• Beschwerde gegen Website-Betreiberin gutgeheissen, Beschwerde gegen Google –
zumindest betreffend Verletzung von Art. 44 ff. DSGVO – abgewiesen
6. Bearbeitung von personenbezogenen Daten
6
• Nutzer-Identifikationsnummern =
personenbezogene Daten
(Individualisierung - keine Zuordnung zu
einem bestimmten “Gesicht”)
• Zudem: Kombination der Kennnummern
mit weiteren Elementen (IP-Adresse,
Browserdaten, etc.) – noch deutlichere
Individualisierung
• Nicht erforderlich: Herstellung eines
Personenbezugs durch
Beschwerdegegnerin alleine –
ausreichend: Herstellung mit vertretbarem
und zumutbarem Aufwand durch Dritte
(Google, US-Behörden)
• Andere Beurteilung bei korrekter
Implementierung der IP-Anonymisierung?
Gemäss dsb IP-Adresse nur eines von
mehreren Personendaten
• IP-Adresse isoliert als
personenbezogenes Datum? – kann offen
bleiben, da Kombination der IP-Adresse
u.a. mit den Nutzer-
Identifikationsnummern
• Andere Einschätzung bei G4? Eher nicht.
Auch bei G4 trotz Default IP-
Anonymisierung weiterhin Verarbeitung
personenbezogener Daten und
Übermittlung in die USA
8. Unzulässiger Datentransfer in die USA
8
• Einsatz der Standardvertragsklauseln
(aber: noch nicht revidierte
Standardvertragsklauseln)
• Google unterliege einer Überwachung
durch US-Nachrichtendienste gemäss 50
U.S.Code § 1881a („FISA 702”) – gemäss
Transparenzbericht von Google gäbe es
regelmässig Anfragen
• Zusätzliche Massnahmen – vertragliche,
technische und organisatorische –
gemäss dsb keine genügend wirksamen
Schutzmassnahmen
• Wichtig: so lange Google selber
technisch die Möglichkeit habe, auf
Klardaten zuzugreifen, gemäss dsb keine
wirksamen technischen
Schutzmassnahmen
• Offen gelassen: Einwilligung der
betroffenen Personen als Grundlage für
Datentransfer
• Nicht diskutiert: Würde Einsatz der
revidierten Standardvertragsklauseln die
Beurteilung durch dsb ändern? –
Umstritten, da die EU-Kommission in der
Tendenz einen risikobasierten Ansatz
gutheisst, während EDSA / EDPS
“likelihood of access” mit Blick auf
Schrems II-Erwägungen des EuGH als
weniger relevant erachten
10. Unzulässiger Datentransfer in die USA
10
• IP-Anonymisierung aktiviert: Gemäss dsb
irrelevant, da Verarbeitung der
vollständigen IP-Adresse für kurze Zeit im
Google Server
• US-Behörden könnten auf vollständige
IP-Adresse zugreifen – selbst wenn
Vearbeitung auf Server in EU
• Singularisierung ausreichend – keine
Zuordnung zu einem bestimmten
“Gesicht”
• Kein risikobasierter Ansatz bei
Datentransfer in die USA
• Wahrscheinlichkeit eines Zugriffs durch
US-Behörden gemäss dsb irrelevant –
Massnahmen nur dann effektiv wirksam,
wenn sie Rechtsschutzlücke – d.h. die
Zugriffs- und Überwachungs-
möglichkeiten von US-Behörden –
schliessen
12. Restriktive Handhabung von Datentransfers in die USA
12
• Liechtenstein DSS (3. März 2022)
• Trotz IP-Anonymisierung Übermittlung
personenbezogener Daten in die USA
• Keine Implementierung ausreichender
Schutzmassnahmen durch Google
• Beschwerden von nyob auch in Liechtenstein –
keine Urteile, da freiwillige Deaktivierung von
Google Analytics durch Website-Betreiber
• Taksforce auf europäischer Ebene
• Sicherstellung eines einheitlichen Umgangs mit
Google Analytics
• Hat die Entscheide des dsb sowie auch des
CNIL beeinflusst
• Dürfte auch Einfluss auf Entscheide in anderen
EU-Mitgliedstaaten haben
• CNIL (Entscheid vom 10. Februar 2022)
• Keine Implementierung ausreichender
Schutzmassnahmen durch Google zur
Vermeidung von Behördenzugriffen in den USA
• Absage an risikobasierten Ansatz
• Weitere Datenschutzbehörden in EU-
Mitgliedstaaten (z.B. Niederlande) haben
angedeutet, dass Einsatz von Google
Analytics möglicherweise nicht mehr
zulässig sei
14. Was ist ein Personendatum?
14
Aktuelles DSG
• «Auch wenn [durch Cookies] lediglich die
IP-Adresse eines Nutzers bearbeitet wird,
ist dies datenschutzrechtlich relevant, da
die IP-Adresse grundsätzlich als
Personendatum zu qualifizieren ist.»
(EDÖB)
• Aber: Umstritten, ob IP-Adresse immer
als Personendatum zu qualifizieren ist (für
die Schweiz: BGer vom 8. September
2010 «Logistep» - für die EU: EuGH vom
19. Oktober 2016 «Breyer vs.
Bundesrepublik Deutschland»)
Revidiertes DSG
• «Der Begriff der Personendaten wird im Vergleich
zum bisherigen Recht insofern verändert, als das
DSG auf juristische Personen nicht mehr anwendbar
ist. (…) Eine natürliche Person ist bestimmbar, wenn
sie direkt oder indirekt identifiziert werden kann,
beispielsweise über den Hinweis auf Informationen,
die sich aus den Umständen oder dem Kontext
ableiten lassen (…). Wie auch nach geltendem
Recht reicht die rein theoretische Möglichkeit, dass
jemand identifiziert werden kann, nicht aus, um
anzunehmen, eine Person sei bestimmbar. (…)
Vielmehr muss die Gesamtheit der Mittel betrachtet
werden, die vernünftigerweise eingesetzt werden
können, um eine Person zu identifizieren (…)»
(Botschaft zur Revision des DSG)
15. Datentransfer in die USA – aktuelles DSG
15
• Anleitung des EDÖB für die Prüfung der Zulässigkeit von Datenübermittlungen mit
Auslandbezug (nach Art. 6 Abs. 2 lit. a DSG) vom Juni 2021
• Bei Ländern, bei denen kein angemessenes Datenschutzniveau gegeben ist (siehe
Länderliste des EDÖB), Sicherstellung eines angemessenen Datenschutzniveaus durch
Einsatz der Standardvertragsklauseln oder anderer Mechanismen
• Prüfung im Einzelfall, ob Einsatz der Standardvertragsklauseln für sich alleine ausreichend
ist – Gewährleistung der «Vier Garantien» – bei dieser Prüfung dürfte kein risikobasierter
Ansatz gelten (siehe auch der Fragebogen des EDÖB betreffend US-Anbieter, in welchem
es nicht um die Wahrscheinlichkeit eines Behördenzugriffs geht)
• Falls keine Gewährleistung der «Vier Garantien» - zwingend zusätzliche Massnahmen zu
den Standardvertragsklauseln (EDÖB skeptisch gegenüber rein vertraglichen Massnahmen
und eher restriktiv gegenüber technischen Massnahmen: «Massnahmen müssen dergestalt
sein, dass die Behördenzugriffe auf die übermittelten Personendaten im Zielland faktisch
verhindert werden»)
16. Datentransfer in die USA – revidiertes DSG
16
• Keine Änderungen am Prüfschema geplant – inhaltlich ändern die Regelungen für
Datentransfers ins Ausland nicht substanziell
• Länderliste zukünftig durch Bundesrat erstellt
• Datenschutzwidrige Auslandtransfers können zukünftig mit Bussen bis zu CHF 250’000
sanktioniert werden (Art. 61 lit. a revDSG)
18. Rechtliches Fazit
18
• EU
• Personendatum: In EU genügt «Singularisierung» - regelmässig Bearbeitung von Personendaten bei Tracking
• Datentransfers von Personendaten in die USA stehen unter hohen Anforderungen – können in der Praxis
kaum erfüllt werden – nur, wenn Trackinganbieter in USA effektiv keinen Zugriff auf Klardaten hat
• Keine massgebliche Änderung der Ausgangslage bei G4
• Kein risikobasierter Ansatz bei Datentransfers – Verletzung der Datenschutzvorschriften auch bei nur geringer
Wahrscheinlichkeit eines behördlichen Zugriffs möglich
• Immerhin: auch nicht ausreichende Massnahmen können Sanktionen bei Verletzung beeinflussen
• Bei Datentransfers in die USA immer ein rechtliches Risiko – Risikoentscheid des Datenexporteurs
• Schweiz
• Umstritten, ob Singularisierung ausreichend für Personendatum – Bundesgericht nein, EDÖB eher ja
• Vergleichbar hohe Anforderungen an Datentransfers in die USA wie in der EU
• Bei Datentransfers in die USA auch unter DSG immer ein rechtliches Restrisiko – Achtung: unter revDSG bei
datenschutzwidrigem Transfer in die USA Sanktionen möglich
20. Wie Sie entscheiden, was
für Ihr Unternehmen das
richtige Tracking- und
Datenschutz-Setup ist
21. Drei wichtige Grundsatzfragen zu Ihrem Tracking- und Datenschutz-
Setup
21
1. Bieten Sie Ihre Dienstleistungen und Produkte nur in der Schweiz oder auch in
der EU an?
Schweiz: Das Schweizer Datenschutzgesetz gilt (aktuelles und revidiertes).
EU: Die DSGVO gilt auch für Ihr Unternehmen, auch wenn Ihr Sitz in der Schweiz ist.
2. Betreiben Sie umfangreiche Online-Marketing-Kampagnen auf den Google-
Plattformen?
Ja: Ihr Kampagnen-Tracking wird schwieriger und aufwändiger ohne Google Analytics.
Nein: Sie können problemlos zu einem anderen Analytics Tool wechseln.
3. Nutzen Sie neben dem Analytics Tool weitere Marketing Software, die auf Cookies
basiert?
Ja: Server-Side Tracking bietet sich an, um Ihre Marketing Software weiterhin nutzen zu können
und ein Daten-Konzept für sämtliche Nutzerdaten zu erstellen, die Sie tracken.
Nein: Sie können weiterhin ein reines Analytics Tool einsetzen.
22. Grundvoraussetzung für Ihr Daten-Tracking
22
• Nutzen Sie eine Consent Management Platform (Cookie Banner), die die
Cookies auf Ihrer Webseite scannt und sie auch blockiert, wenn die Nutzer-
Zustimmung fehlt.
• Setzen Sie die Consent Management Platform gemäss dem zutreffenden
Datenschutzgesetz auf.
• Setzen Sie Ihre Consent Management Platform dynamisch auf, so dass sie
(nach aktuellem Schweizer Datenschutzgesetz) nur die Besucher aus der
EU nach einer Nutzerzustimmung fragt.
25. Wichtig zu wissen für den Einsatz von Google Analytics
25
• Google Analytics 4 wird das aktuelle Universal Analytics am 1.Juli 2023
ersetzen.
• GA4 ist das neue Google Analytics mit einem neuen Aufbau, Konzept und
völlig neuem User Interface.
• GA4 bringt keine Änderung bezüglich Datenschutz mit sich.
• WICHTIG: GA4 speichert bestimmte Daten standardmässig nur für 2
Monate. Eine Verlängerung der Datenspeicherung ist nur auf 14 Monate
möglich.
• Um einen Datenvergleich über mehrere Jahre zu ermöglichen, sind 14
Monate zu wenig. Aus diesem Grund braucht es eine separate Lösung für
die Datenspeicherung, beispielsweise via Google BigQuery.
26. Migration auf Google Analytics 4
26
• Sämtliche Events müssen in GA4 neu aufgesetzt werden.
• BigQuery als zusätzliche Datenspeicherung sollte so bald wie möglich
aufgesetzt werden, um ab sofort Daten zu sammeln.
• Um Google Analytics 4 zu nutzen, empfehlen wir eine individuelle Schulung
für das neue User Interface.
Falls Sie planen, Google Analytics weiterhin einzusetzen, sollten
Sie so bald wie möglich starten mit der Migration auf GA4 und
dem Aufsetzen einer Lösung für die Datenspeicherung.
28. Was ist der Unterschied zwischen Server-Side & Client-Side Tracking?
28
Client-Side Tracking:
• Beim Client-Side Tracking
befinden sich die Tags der Tools
und Plattformen direkt auf der
Webseite.
• Die gesammelten Informationen
werden direkt an die jeweiligen
Tools weitergegeben.
29. Was ist der Unterschied zwischen Server-Side & Client-Side Tracking?
29
Server-Side Tracking:
• Auf der Webseite befindet sich nur
ein Container mit einem Tag.
• Der Tag leitet die Informationen an
einen sicheren Server weiter.
• Es kann individuell entschieden
werden, welche Informationen an
welche Tools weitergeleitet werden.
• Der Server kann innerhalb der EU
aufgesetzt werden.
• Durch dieses Setup können Third-
Party Cookies vermieden werden.
30. Wieso ist Server-Side Tracking so attraktiv?
30
1. Die Daten können auf einem Server in Europa gespeichert werden.
• Somit kann der amerikanische Geheimdienst nicht darauf zugreifen. (Was von verschiedenen
Europäischen Datenschutzbehörden beim herkömmlichen Setup von Google Analytics bemängelt wurde.)
2. Sie können Ihr Setup so gestalten, dass nur First-Party Cookies gesetzt werden.
• Die meisten Browser wie Safari, Firefox und Edge (Chrome ab 2023) blockieren bereits standardmässig alle
Third-Party Cookies. Mit Server-Side Tracking können Sie alle Cookies als First-Party Cookies setzen.
3. Sie entscheiden, welche Daten Sie an Drittanbieter weiterleiten.
• Die auf Ihrer Webseite gesammelten Informationen ihrer Nutzer können Sie anonymisiert oder
pseudonymisiert an Drittanbieter weitergeben. Sie entscheiden, wie Sie Ihr Datenmanagement aufbauen.
Wichtig ist, dass Sie für die Weitergabe von Informationen die Nutzerzustimmung via Consent Management
Platform einholen.
31. Was ist bei Server-Side Tracking zu beachten?
31
• Definieren Sie ein Datenkonzept, das beschreibt, welche Nutzerdaten Sie sammeln und
wie Sie diese an die jeweiligen Tools weitergeben. Stellen Sie sicher, dass die Cookies
dieser Tools korrekt in Ihrer Cookie Management Platform abgebildet sind.
• Es braucht einen anfänglichen technischen Aufwand, um Server-Side Tracking aufzusetzen
und vor allem genügend technische Kenntnisse, um die Konfigurationen korrekt vor-
zunehmen. (Vereinfachte Konfiguration mit dem Jentis Tag Manager.)
• Server-Side Tracking kann relativ einfach missbräuchlich aufgesetzt werden. Dies gilt es zu
vermeiden. (Beispielsweise indem Third-Party Cookies als First-Party Cookies aufgesetzt
werden, um das Browser-Blocking zu umgehen und Nutzerdaten weitergeleitet werden,
ohne zu informieren.)
Wichtig: Server-Side Tracking kann datenschutzkonform aufgesetzt werden, da
eine User ID abgeändert an die Tool-Anbieter zurückgegeben werden kann.
(Technische Massnahme, um den Datenschutz zu gewährleisten.)
33. Google Analytics ist nur ein Teil Ihres Tracking- und Datenschutz-Setups
33
• Der Einsatz von Google Analytics kann nicht unabhängig von Ihrem restlichen Online-
Markting-Setup entschieden werden.
• Datenschutz-Vorgaben und Ihre Marketing-Ziele sollten bei der Entscheidung einfliessen,
welches Analytics Tool Sie zukünftig einsetzen.
1. Stellen Sie sich die 3 Grundsatzfragen:
1. Bieten Sie Ihre Dienstleistungen und Produkte nur in der Schweiz oder auch in der EU an?
2. Betreiben Sie umfangreiche Online-Marketing-Kampagnen auf den Google-Plattformen?
3. Nutzen Sie neben dem Analytics Tool weitere Marketing Software, die auf Cookies basiert?
2. Machen Sie eine pragmatische Risiko-Abwägung.
(Wichtige Voraussetzung: Stellen Sie Ihren Cookie Banner nicht so ein, dass Sie für alle Cookies eine
Nutzerzustimmung brauchen.)
34. MLL MEYERLUSTENBERGER LACHENAL FRORIEP
Dr. Evelyn Thar
CEO, Advance Metrics AG
evelyn.thar@advance-metrics.com
www.advance-metrics.com
Dr. Michael Reinle, LL.M.
Partner, MLL Zürich
michael.reinle@mll-legal.com
www.mll-legal.com
Vielen Dank für Ihr Interesse
Wir freuen uns auf Ihre Kontaktaufnahme