Jusletter IT

Google Analytics: Rechtslage, Alternativen und Risikominimierung

  • Author: Simon Schlauri
  • Category of articles: TechLawNews by Ronzani Schlauri Attorneys
  • Region: Switzerland
  • Field of law: Data Protection
  • DOI: 10.38023/58e5428a-c58e-40ed-bd19-37bf7a998c20
  • Citation: Simon Schlauri, Google Analytics: Rechtslage, Alternativen und Risikominimierung, in: Jusletter IT 15 February 2024
In a decision dated December 22, 2021, the Austrian data protection authority dsb declared the use of the analysis and tracking tool Google Analytics by an Austrian company to be unlawful. This followed the Schrems II ruling of the European Court of Justice (ECJ). This decision, and a similar decision issued shortly afterwards by the French data protection authority CNIL, have been causing uncertainty ever since. This text looks at the reasons for the decisions of the two authorities and sets out the risks associated with the use of Google Analytics. Finally, it outlines alternatives to Google Analytics and formulates some rules that can be used to reduce the risks of using Google Analytics.

Inhaltsverzeichnis

  • 1. Der Entscheid der österreichischen dsb
  • 2. Der Entscheid der französischen CNIL
  • 3. Konsequenzen für die Schweiz
  • 4. Empfehlung

1.

Der Entscheid der österreichischen dsb1 ^

[1]

Am 14. August 2020 besuchte die betroffene Person eine von einem österreichischen Unternehmen betriebene Website zu Gesundheitsthemen. Dabei war die Person in ihrem persönlichen Google-Konto angemeldet, was es Google erlaubte, die Person u.a. anhand der von der Betreiberin übermittelten IP-Adresse zu identifizieren. Die Website verwendete Google Analytics.

[2]

Die Betreiberin der Website und Google hatten die sogenannten «Standardvertragsklauseln» der Europäischen Kommission als Mechanismus für die Übermittlung personenbezogener Daten vereinbart, welche der EuGH im genannten Schrems-II-Urteil2 als ungenügend zum Schutz personenbezogener Daten bezeichnet hatte: Der Verantwortliche müsse neben den Standardklauseln, die nur vertragliche Wirkung haben, aber nicht die Behörden des Ziellandes binden, zusätzliche Sicherheitsvorkehrungen ergreifen (wie Verschlüsselung), um die Einhaltung des hohen europäischen Datenschutzniveaus zu gewährleisten.3

[3]

Die dsb stellte fest, dass die zwischen den Beschwerdegegnerinnen geschlossenen Standardklauseln kein angemessenes Schutzniveau böten, weil Google als «Anbieterin elektronischer Kommunikationsdienste» gemäss 50 U.S. Code § 1881(b)(4) der Überwachung durch US-Geheimdienste unterliege. Die von den Beschwerdegegnerinnen getroffenen zusätzlichen Sicherheitsvorkehrungen seien unzureichend, weil sie den Zugriff der US-Geheimdienste auf die personenbezogenen Daten der betroffenen Person nicht verhinderten.4

2.

Der Entscheid der französischen CNIL5 ^

[4]

Der Entscheid der französischen CNIL wurde in vergleichbarer Weise begründet: Zwar habe Google zusätzliche Vorkehrungen zur Regelung der Datenübermittlung im Zusammenhang mit der Google-Analytics-Funktionalität ergriffen, doch reichten diese nicht aus, um den Zugriff der US-Geheimdienste auf diese Daten auszuschliessen.6

3.

Konsequenzen für die Schweiz ^

[5]

Auch der EDÖB verlangt seit dem Schrems-II-Urteil organisatorische und technische Massnahmen, welche ausländische Behördenzugriffe auf die übermittelten Personendaten im Zielland faktisch verhindern.7 Nachdem sowohl die französische als auch die österreichische Datenschutzbehörde keine ausreichenden zusätzlichen Vorkehrungen für einen Betrieb von Google Analytics erkennen konnten, ist zu erwarten, dass der Einsatz der Software auch hierzulande problematisch ist.

4.

Empfehlung ^

[6]

Zur Risikominimierung empfehlen wir den Betreiberinnen von Websites mittlerweile, nach Möglichkeit auf den Einsatz von Google Analytics zu verzichten und auf eines der diversen alternativen Tools zurückzugreifen. Zu nennen sind etwa Matomo, Open Web Analytics oder AWStats.8 Dies daher, weil davon auszugehen ist, dass der behördliche Druck auf die Nutzer von Google Analytics weiter steigen wird, was mit einem Bussenrisiko einher geht. Dies gilt auch für die Schweiz, wo seit September 2023 das neue Datenschutzgesetz gilt.

[7]

Will ein Unternehmen nicht auf Google Analytics verzichten und nimmt die entsprechenden Risiken bewusst in Kauf, so ist in jedem Fall die Datenschutzerklärung entsprechend anzupassen und eine ausreichende Einwilligung des Besuchers der Website zur Verwendung von Google Analytics einzuholen: Die üblichen Cookie-Hinweise (womöglich verschleiert mit Bildchen von Süssigkeiten o. dgl.) genügen dabei oftmals nicht, u.a. deshalb, weil nicht ausreichend klar gemacht wird, dass Cookies Verfolgung im Netz mit sich bringen, und zwar möglicherweise auch durch ausländische Behörden.

[8]

Auch die blosse Verlinkung der Opt-Out-Funktion von Google in der Datenschutzerklärung ist als Einwilligung sodann offensichtlich nicht ausreichend, wäre diese Einwilligung doch vor dem Datentransfer einzuholen.

[9]

Ferner sind die rechtsgenüglichen vertraglichen Grundlagen mit Google sicherzutellen (Abschluss der aktuell gültigen EU-Standardklauseln) und Google Analytics ist möglichst datenschutzfreundlich zu konfigurieren (Anonymisierung der IP-Adresse [in Google Analytics 4 vorgabemässig eingeschaltet] sowie Minimierung der Aufbewahrungsdauer der Daten).

  1. 1 Teilbescheid vom 22. Dezember 2021, D155.027, tinyurl.com/yuyms4yb.
  2. 2 Dazu bereits S. Schlauri, Die sogenannte «Treuhandlösung» und das Schrems-II-Urteil, Jusletter IT 16. Dezember 2021.
  3. 3 Zu Schrems II S. Schlauri (Fn. 2).
  4. 4 GDPR Hub, DSB (Austria) – 2021-0.586.257 (D155.027), tinyurl.com/mtz6epxm.
  5. 5 Dazu CNIL, Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply, 10. Februar 2022, tinyurl.com/38vn5fa8.
  6. 6 CNIL (Fn. 5).
  7. 7 tinyurl.com/4prs58ax.
  8. 8 Dazu etwa den Blogbeitrag von Dominic Brander/Snowflake, tinyurl.com/s6w58vfr.