Google Analytics 4 und das neue Schweizer Datenschutzgesetz – Legally ok?

Auswirkungen des neuen Schweizer Datenschutzgesetz auf die Nutzung von Google Analytics 4

Das neue Schweizer Datenschutzgesetz (nDSG) vom 1. September 2023 bringt grosse Veränderungen mit sich. Daraus ergibt sich unter anderem die rechtliche Frage rund um die Nutzung von Tracking Lösungen wie Google Analytics 4 und Co. In diesem Beitrag gehen wir näher darauf ein, ob und inwiefern die Nutzung von Google Analytics 4 in Verbindung mit dem neuen Schweizer Datenschutzgesetz erlaubt ist.

Google Analytics 4 – die wichtigsten Änderungen auf einen Blick

Etwas überraschend kündigte Google im März 2022 an, dass der Webanalysedienst Universal Analytics (UA) ab dem 1. Juli 2023 eingestellt und durch die Nachfolgeversion Google Analytics 4 (GA4) ersetzt würde. Inzwischen wurde dieser Schritt vollzogen, und alle standardmässigen Eigenschaften von Universal Analytics verarbeiten keine neuen Traffic-Daten mehr. Die bereits aufgezeichneten Daten sind nun nur noch für sechs Monate einsehbar.

Die wesentlichen Änderungen in GA4 sind wie folgt:

• Ereignisbasiertes Modell: Im Gegensatz zu UA, das sich hauptsächlich auf Sitzungen und Seitenaufrufe konzentrierte, arbeitet GA4 mit einem ereignisbasierten Datenmodell. Das bedeutet, dass alle Interaktionen auf der Website oder App als Ereignisse betrachtet werden. Seitenaufrufe, Klicks, Scrollen usw. werden nun als Ereignisse erfasst. Dieses Modell ermöglicht eine flexiblere und detailliertere Datenerfassung.
• Verbessertes Cross-Device-Tracking: GA4 nutzt Signale, um ein besseres Cross-Device-Tracking zu ermöglichen. Dadurch kann es Benutzerinnen und Benutzer über verschiedene Geräte hinweg verfolgen und bietet eine einheitliche und genauere Ansicht des Nutzerverhaltens.
  Lebenslange Wert- und Funnelanalyse: Diese Funktionen sind in GA4 standardmässig integriert. Während bei UA ein Funnel vor der Datenerfassung erstellt werden musste, erlaubt es GA4, Funnels retrospektiv zu erstellen und zu analysieren.
• Predictive Analytics: GA4 verwendet maschinelles Lernen, um zukünftige Aktionen der Benutzerinnen und Benutzer vorherzusagen, wie z. B. die Wahrscheinlichkeit eines Kaufabschlusses in den nächsten sieben Tagen.
  Anpassbare automatische Ereigniserfassung: GA4 kann automatisch bestimmte Arten von Ereignissen wie Scrollen und Klicks auf Videos erfassen, ohne dass dafür zusätzlicher Code erforderlich ist.
• Integriertes App- und Web-Tracking: Während UA separate Property-Typen für Apps und Websites verwendete, vereint GA4 das Tracking von Websites und Apps in einer einzigen Property.
• Kostenlose Big-Query-Integration: Im Gegensatz zu UA bietet GA4 die Möglichkeit, Daten kostenlos an Big Query zu senden, was die Datenanalyse und das Reporting erheblich verbessert.

Informationen zum neuen Schweizer Datenschutzgesetz nDSG

Ab dem 1. September 2023 aktualisiert die Schweiz das veraltete Datenschutzgesetz (DSG) von 1992, um es an die neuesten technologischen Entwicklungen anzupassen und besser mit der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, auch bekannt als General Data Protection Regulation (GDPR), in Einklang zu bringen. Ziel ist es, das Recht der Schweizer Bürgerinnen und Bürger auf ein privates und selbstbestimmtes Leben auch in Zeiten des digitalen Wandels durch eine rechtsstaatliche Regulierung zu schützen. Inwiefern diese einen Einfluss und Auswirkungen auf  Dein Unternehmen hat, haben wir Dir in unserem Beitrag “Das neue Datenschutzgesetz Schweiz 2023 – Einführung und Auswirkungen auf Unternehmen, Agenturen und Webentwickler” zusammengefasst.

Unterschiede zwischen nDSG und DSGVO

Die Hauptunterschiede vom neuen Schweizer Datenschutzgesetz und DSGVO liegen darin, dass das Schweizer nDSG auch Privatpersonen mit einer Geldbusse von bis zu 250.000 Schweizer Franken bestrafen kann, während die DSGVO lediglich Unternehmen – nicht aber Privatpersonen – mit Geldbussen von bis zu 20 Millionen Euro oder vier Prozent des jährlichen Gesamtumsatzes sanktioniert. Es gibt auch weitere Unterschiede, wie die Ernennung von Datenschutzbeauftragten (DPA), was in der Schweiz anders als in der EU nicht verpflichtend ist. Die Meldefrist für Datenschutzverletzungen ist ebenfalls unterschiedlich geregelt; die DSGVO sieht eine Frist von 72 Stunden vor, während das schweizerische nDSG eine Meldung „möglichst rasch“ vorsieht. Zudem besteht eine wesentliche Abweichung in den Geltungsansprüchen der beiden Gesetze: Die DSGVO gilt EU-weit und hat Koordinationsmechanismen zwischen den Aufsichtsbehörden der Mitgliedstaaten eingeführt, während das schweizerische nDSG ein Bundesgesetz ist, das die Bundesbehörden und Unternehmen der Privatwirtschaft – nicht jedoch die kantonalen Behörden – betrifft.

Auswirkungen des neuen Schweizer Datenschutzgesetzes nDSG auf die Nutzung von Google Analytics 4

Erhebung von personenbezogenen Daten:

Beim Einsatz von Google Analytics 4 werden personenbezogene Daten (Personally Identifiable Information PII) erfasst und an Google übermittelt. Da Google seinen Hauptsitz sowie die Mehrheit der Server in den USA hat, erfolgt diese Datenübertragung in ein Land, das gemäß dem DSG als unsicher gilt. Zu den personenbezogenen Daten gehören unter anderem die IP-Adresse, Informationen zum Gerätetyp und zum verwendeten Browser sowie die Verweildauer und Interaktionen auf der Website.

Cookies und andere clientseitige Speichertechnologien:

Entgegen weit verbreiteter Annahmen übernimmt das nDSG nicht die EU-Richtlinie für Cookie-Banner. Gemäss Artikel 7 Absatz 3 des nDSG ist „Privacy by Default“ vorgesehen:

„Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.“

David Rosenthal, ein Experte für Daten- und Technologierecht in der Schweiz, erläutert diesen Sachverhalt in seinem Kommentar zum neuen Datenschutzgesetz folgendermassen:

„Wenn ein Verantwortlicher in einem Service, einer Software oder einem Gerät mehrere Möglichkeiten zur Bearbeitung von Personendaten vorsieht und der Benutzer diese Möglichkeiten über Datenschutzeinstellungen selbst anpassen kann, muss die Standardeinstellung die am wenigsten weitgehende Einstellung sein. Wo der Benutzer keine (technische) Wahlmöglichkeit zur Eigensteuerung der Datenbearbeitung hat, greift diese Pflicht nicht. Das Vorhandensein einer Einwilligung zur Datenverarbeitung führt ebenso wenig zu einer Voreinstellung wie das Recht auf Widerspruch, selbst wenn dieses über eine technische Funktion in einem Online-Dienst (Opt-out-Knopf) ausgeübt werden kann. Ein Verantwortlicher ist auch nicht verpflichtet, Benutzern (z. B. seines Online-Dienstes oder Geräts) Wahlmöglichkeiten anzubieten. Wenn er es jedoch tut, muss eine mögliche Voreinstellung die Datenverarbeitung auf das notwendige Minimum beschränken.“

Die schweizerische Gesetzgebung für die Nutzung von Cookies und anderen clientseitigen Speichertechnologien wird im Artikel 45c des Fernmeldegesetzes geregelt:

„Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt, wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.“

In der Schweiz gilt das Opt-Out-Prinzip. Es genügt daher, den Nutzerinnen und Nutzern die Möglichkeit zu geben, Cookies im Browser zu blockieren oder zu löschen, ohne dass dafür eine Einwilligung eingeholt werden muss.

GA4 in der Datenschutzerklärung angeben:
Wenn eine Website Google Analytics 4 verwendet, sollte diese Verwendung unbedingt in der Datenschutzerklärung vermerkt werden. Ausserdem ist es wichtig, einen Hinweis einzufügen, dass die Verfolgung durch Google Analytics deaktiviert werden kann.

Gilt die Datenschutz-Grundverordnung (DSGVO) auch in der Schweiz?

Obwohl die Schweiz nicht Teil der EU ist, hat die Datenschutz-Grundverordnung (DSGVO) Einfluss auf Schweizer Websitebetreiber. Dies liegt daran, dass Websites nur selten an geografische Grenzen gebunden sind, und Bürgerinnen und Bürger aus EU-Staaten somit auch Schweizer Webseiten besuchen können. Es spielt keine Rolle, ob ein Unternehmen Schweizer Produkte in einem Online-Shop für Schweizer Kundinnen und Kunden anbietet oder ob der Online-Shop international ausgerichtet ist. Das KMU-Portal der Schweizerischen Eidgenossenschaft stellt Folgendes klar:

„Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und wenn die Verarbeitung dazu dient: diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich), oder das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt (Art. 3 Abs. 2 Buchst. a und b DSGVO).

Um zu bestimmen, ob die Aktivitäten eines Unternehmens, das seinen Sitz ausserhalb der EU hat, in den Anwendungsbereich der DSGVO fallen, müssen die Rechtsberater analysieren, ob eine Absicht besteht, Waren oder Dienstleistungen in die EU zu verkaufen. Hierbei können verschiedene Hinweise geprüft werden (zum Beispiel die Erwähnung von Kunden, die sich in den Mitgliedstaaten befinden, oder von einer in der EU gängigen Währung). Im Fall von Art. 3 Abs. 2 Buchst. b DSGVO können die Experten analysieren, ob ein klarer Wille erkennbar ist, das Verhalten von natürlichen Personen im EU-Raum zu verfolgen (wenn sie beispielsweise die Nutzung von Profiling-Tools oder Google Analytics feststellen).“

Welche Pflichten müssen betroffene Unternehmen in diesem Fall erfüllen?

• Informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
• „Privacy by design“ und „Privacy by default“ sicherstellen
• Einen Vertreter in der EU benennen
• Ein Verzeichnis der Verarbeitungstätigkeiten erstellen
• Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
• Eine Datenschutz-Folgenabschätzung durchführen

Neues Datenschutz Rahmenabkommen zwischen Europa und USA

Am 10. Juli 2023 hat die Europäische Kommission einen Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen verabschiedet. Dieser Beschluss stellt sicher, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten, die aus dem EU-Raum an US-Unternehmen übermittelt werden, bieten. Gemäß der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Informationen aus der Europäischen Union nur unter bestimmten Bedingungen in Länder außerhalb der EU übertragen werden. Dabei ist es entscheidend, dass das Schutzniveau den Vorgaben der Verordnung entspricht. Dies wird anhand verschiedener Aspekte bewertet, wie beispielsweise der Datenschutzgesetzgebung im Empfängerland, den Möglichkeiten zum Rechtsschutz und der Rolle der Datenschutzaufsichtsbehörde.

Data Protection Review Court und Datenlöschung

US-Unternehmen können ihre Teilnahme am Datenschutzrahmen EU-USA durch eine Zertifizierung nachweisen. Dadurch verpflichten sie sich, bestimmte Datenschutzanforderungen einzuhalten. Diese umfassen Prinzipien wie Zweckbindung, Datenminimierung, Speicherbegrenzung, Datensicherheit und die Weitergabe von Daten an Dritte. Wenn das Data Protection Review Court feststellt, dass bei der Datenerhebung gegen diese neuen Garantien verstoßen wurde, kann es die Löschung der betreffenden Informationen anordnen.

Beschränkung des Zugriffs durch US-Geheimdienste

Der neue Datenschutzrahmen führt verbindliche Garantien ein, die den Zugriff von US-Geheimdiensten auf EU-Daten auf das notwendige und verhältnismäßige Maß beschränken. Im Vergleich zu seinen Vorgängern, den Abkommen „Safe Harbour“ und „Privacy Shield“, bringt dieser Rahmen klare Verbesserungen mit sich. Das „Privacy Shield“ wurde im Jahr 2020 sowohl vom Europäischen Gerichtshof (EuGH) als auch vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) für ungültig erklärt. Die Einhaltung der Verpflichtungen aus dem EU-US-Datenschutzrahmen wird von der US Federal Trade Commission überwacht und durchgesetzt.

Sicherer Datenverkehr für Europäerinnen und Europäer

Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, betonte die Bedeutung des Angemessenheitsbeschlusses für einen sicheren Datenverkehr für die Europäerinnen und Europäer. Dieser Rahmen schafft Rechtssicherheit für Unternehmen auf beiden Seiten des Atlantiks. Die USA haben sich nach einer Vereinbarung mit US-Präsident Joe Biden verpflichtet, diese neuen Garantien zu gewährleisten. Damit wird das Vertrauen der Bürger in die Sicherheit ihrer Daten gestärkt, während gleichzeitig die wirtschaftlichen Beziehungen zwischen der EU und den USA vertieft und gemeinsame Werte bekräftigt werden. Dies zeigt, dass komplexe Probleme erfolgreich gemeinsam angegangen werden können.

Bedeutung des neuen EU-USA Datenschutzabkommens für die Schweiz

Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und das Schweizer Staatssekretariat für Wirtschaft (SECO) arbeiten daran, zeitnah eine schweizerische Version dieses Rahmenabkommens mit den USA auszuarbeiten. Dies soll voraussichtlich vor dem Inkrafttreten des neuen Datenschutzgesetzes (nDSG) am 1. September 2023 erfolgen. Die Gespräche dazu befinden sich laut dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB bereits in einem weit fortgeschrittenen Stadium. Bis zu diesem Zeitpunkt müssen sich Schweizer Unternehmen weiterhin auf Standardvertragsklauseln (Standard Contractual Clauses SCC) verlassen, um personenbezogene Daten an Drittländer zu übermitteln. Ab dem 1. September 2023 wird es dann die Aufgabe des Bundesrates sein, über die Angemessenheit eines Staates gemäß dem neuen Schweizer Datenschutzgesetz zu entscheiden. Er wird bestimmen, ob die USA zu gegebener Zeit in die Liste der Staaten mit angemessenem Datenschutzniveau aufgenommen werden. Bis zu einem solchen Rahmenwerk ändert sich für den EDÖB an der aktuellen Angemessenheitsliste der Schweiz nichts, und die USA bleiben ein Drittstaat ohne angemessenes Datenschutzniveau.

Fazit und Tipps

Die aktuelle datenschutz-rechtliche Situation bei der Verwendung von Google Analytics in der Schweiz ist noch nicht eindeutig geklärt. Daher ist es ratsam, einige technische und organisatorische Massnahmen zu ergreifen, um keine Verstösse gegen die Richtlinien des nDSG oder der DSGVO zu begehen. Hier sind einige Tipps, die Du beachten kannst:

1. Verwende Google Analytics nur für spezifische Zwecke und sei Dir darüber im Klaren, für welche Zwecke die Daten erhoben werden.
2. Speichere die erhobenen Daten nur so lange, wie sie tatsächlich benötigt werden, und lösche sie anschliessend.
3. Nutze die IP-Anonymisierungs-Funktion von Google Analytics.
4. Informiere Deine Nutzerinnen und Nutzer über die Verwendung von Google Analytics.
5. Biete Deinen Nutzerinnen und Nutzern die Möglichkeit, der Verwendung von Google Analytics zu widersprechen.
6. Berücksichtige die Angemessenheitsliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) für Länder mit angemessenem Datenschutzniveau.
7. Bei Unsicherheiten oder Unklarheiten ziehe eine Fachperson für Recht und Datenschutz zu Rate.
8. Mit einer Website Datenschutzlösung kannst Du Deine Website rechtssicher machen. Die automatisierte Datenschutzlösung Legally ok prüft beispielsweise regelmässig Deine Website und erstellt so die passenden rechtlichen Inhalte für Deine Datenschutzerklärung, Impressum und Deinen Cookie-Banner. Der Vorteil einer solchen Lösung wie Legally ok ist es, dass du stets eine aktuelle Datenschutzerklärung hast, auch bei rechtlichen Änderungen. Die Fachanwälte von Legally ok prüfen die Updates regelmässig und nehmen relevante Aktualisierungen vor. Hier kannst Du Dich für Legally ok kostenlos registrieren und loslegen.