Ist der Einsatz von Google Analytics noch rechtskonform?

Jun 30, 2022

Einsatz von Google Analytics verbunden mit Rechtsunsicherheit

Der Einsatz von Google Analytics ist mit einer gewissen Rechtsunsicherheit verbunden. Der Europäische Gerichtshof (EuGH) hatte im Juli 2020 entschieden, dass das Privacy-Shield-Abkommen ungültig ist. Das Abkommen regelt den Transfer persönlicher Daten von europäischen Unternehmen in die Vereinigten Staaten. Es war der Nachfolger des 2016 abgelösten Safe-Harbor-Abkommens. Seit dem Entscheid ist es ab mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis bearbeiten.

Mittlerweile gibt es mehrere Entscheide von Aufsichtsbehörden in der EU, welche den Einsatz von Google Analytics (und Google Fonts) nach dem sog. Schrems II Urteil des EuGH vom 16.06.2020 (C-311/18) als nicht datenschutzkonform einstufen (Standarderledigung Bescheid (itm.nrw); Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply | CNIL; LG München: 3 O 17493/20 vom 20.01.2022 | 3. Zivilkammer Papierfundstellen: GRUR-RS 2022, 612 BeckRS 2022, 612 (rewis.io)); Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti… – Garante Privacy (gpdp.it), 

Darüber hinaus hat sich dänische Datenschutzaufsichtsbehörde, die Datatilsynet, in einem Entscheid vom 14. Juli 2022 generell zum Einsatz von Google-Produkten durch eine Gemeinde und insbesondere zur Übermittlung in die USA geäussert, bzw. die Verwendung von Chrombooks und Google Workspace durch Gemeinden verboten.

In Deutschland gilt der DSK-Beschluss vom 12.05.2020 zum Einsatz von Google Analytics, wo die datenschutzrechtliche Mindestanforderungen zum Einsatz von Google Analytics beschrieben werden. Schlüsselelemente sind dabei:

In der Zwischenzeit wurden auch namhafte Beiträge publiziert, worin erklärt werden, wie der Einsatz von Google Analytics doch möglich sein soll: (How to legally use Google Analytics in Europe – 7 March 2022 – VISCHER), Google Analytics datenschutzkonform einsetzen | Anleitung inkl. Muster (dr-datenschutz.de). Ob diese Massnahmen einer gerichtlichen Überprüfung (auch im Hinblick auf die CNIL Empfehlung) standhalten werden bleibt abzuwarten. Einige Massnahmen erweisen sich auch als kostspielig und komplex und dürften nicht immer den operativen Bedürfnissen der Unternehmen gerecht werden.

Stellungnahme der CNIL vom 7. Juni 2022

Am 07. Juni 2022 hat nun die französische Datenschutzbehörde, die CNIL (Commission Nationale de l´Informatique et des Libertés, deutsch Nationale Kommission für Informatik und Freiheiten), eine aktuelle Stellungnahme in Sachen Google Analytics veröffentlicht. Der Inhalt der Stellungnahme in der CNIL wiederholt die gemeinsamen europäischen Standpunkte und zeigt in Ergänzung zu dem bereits veröffentlichten FAQ eine Möglichkeit für einen datenschutzkonformen Einsatz von Google Analytics auf.

Um Google Analytics in Übereinstimmung mit der DSGVO zu verwenden, reicht demnach die blosse Umsetzung von Standardvertragsklauseln und eine einfache Änderung der Standard-Einstellungen nicht aus. Auch die von einigen Interessensgruppen vorgeschlagene „Verschlüsselung“ des von Google erstellten Identifier oder dessen Ersetzen durch einen eigenen Identifier wird von der CNIL als ungenügend bewertet, da immer noch personenbezogene Daten an Googles Server in die USA übertragen werden, wie die IP-Adresse und eine Menge gerätebezogener Informationen, und diese dort dem Zugriff der Behörden ausgesetzt sind.

Die Grundproblematik liegt nach Auffassung der CNIL im direkten Kontakt über eine HTTPS-Verbindung zwischen dem Endgerät einer Person und den von Google betriebenen Servern, die eine Re-Identifizierung des Nutzers ermöglichen. Dem Grundproblem kann nur im Wege einer Unterbrechung des Kontakts zwischen dem Endgerät und dem Server begegnet werden. Eine mögliche Lösung sei hingegen der Einsatz eines Proxy-Servers. Es muss jedoch sichergestellt werden, dass diese Proxy-Server eine Reihe von Kriterien erfüllt, damit diese zusätzliche Massnahme im Einklang mit den Empfehlungen des EDSB vom 18. Juni 2021 stehen.

Rechtslage nach revidiertem Datenschutzgesetz

Diese Sanktionsobergrenze wird mit den neuen, des revidierten Datenschutzgesetzes, allerdings auf CHF 250’000.– erhöht (vgl. Art. 60 ff revDSG). Abgesehen davon wird die Verletzung von Art. 17 (Voraussetzungen zu den Übermittlungen von Personendaten ins unsichere Ausland) direkt sanktioniert. Nach Art. 62 revDSG werden mit Busse bis zu 250 000 Franken private Personen auf Antrag bestraft, die vorsätzlich:

  1. unter Verstoss gegen Artikel 16 Absätze 1 und 2 und ohne dass die Voraussetzungen nach Artikel 17 erfüllt sind, Personendaten ins Ausland bekanntgeben;
  2. die Datenbearbeitung einem Auftragsbearbeiter übergeben, ohne dass die Voraussetzungen nach Artikel 9 Absätze 1 und 2 erfüllt sind;
  3. die Mindestanforderungen an die Datensicherheit, die der Bundesrat nach Artikel 8 Absatz 3 erlassen hat, nicht einhalten.

Es empfiehlt sich deshalb, spätestens im Hinblick auf das Inkrafttreten des revidierten DSG am 1. September 2023 ist die Rechtslage nochmals näher zu prüfen.

Privacy Shields II in Sicht?

Es zeichnet sich ein Trend weg von Google Analytics hin zu einer europäischen Lösung ab. In einer gemeinsamen Mitteilung äussern sich die USA und die EU am 25. März 2022 dazu, wie es weitergehen soll. Der Datenaustausch soll demnach künftig durch das Trans-Atlantic Data Privacy Framework (TADPF) geregelt werden. Das neue Abkommen soll den freien und sicheren Datenfluss zwischen der EU den USA gewährleisten. Dabei werde es das „Schrems II“-Urteil adressieren, heisst es in der Mitteilung, die sehr sparsam mit Details umgeht.

Sehr gerne Unterstützung wir sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.  

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.