02/2020 – Fachartikel Swiss Infosec AG
Google Analytics setzt in seiner Standard-Version grundsätzlich Cookies ein. Diese Cookies werden so auf dem jeweiligen Endgerät des Nutzers abgelegt, dass diesem mittels der Cookies eine einmalige «Client ID» zugewiesen wird und diese geräteübergreifend nachverfolgt werden kann. Über diese Client-ID lassen sich nun Nutzerhandlungen nachvollziehen. Der datenschutzrechtliche Umgang mit Google Analytics und anderen Tracking- oder Analyse-Tools bzw. der Einsatz von Cookies oder ähnlichen Technologien, ist auf europäischer Ebene seit langem immer wieder ein Thema. Insbesondere auch die Frage ob, beziehungsweise unter welchen Voraussetzungen der Einsatz von Google Analytics und Co auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden kann und wann eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erforderlich ist, wird unter Datenschützern immer wieder kontrovers diskutiert.
Bis anhin war Best Practice beim Einsatz von Google Analytics die Anonymisierung von IP-Adressen und die Einräumung eines Widerspruchsrechts (Opt-Out). Eine Einwilligung des Webseitenbesuchers war nicht erforderlich. Der Einsatz von Tracking-Cookies wurde regelmässig über die berechtigten Interessen der Webseitenbetreiber gerechtfertigt, welche diejenigen des Webseitenbesuchers überwiegten.
Spätestens nach dem Urteil vom 1. Oktober 2019 des Europäischen Gerichtshofs (EuGH) in Sachen «Planet49» ist nun allerdings klar, dass technisch nicht «unbedingt erforderliche» Cookies, worunter auch die im Rahmen des Einsatzes von Google Analytics eingesetzten Tracking-Cookies fallen, nur noch mit vorheriger freiwilliger, aktiver Zustimmung des Webseitenbesuchers erlaubt sind.
Fast zeitgleich mit dem EuGH-Urteil erklärten auch die deutschen Aufsichtsbehörden per Pressemitteilung, dass der Einsatz von Google Analytics (und anderen Tracking-Tools) nur noch mit Einwilligung des Webseitenbesuchers zulässig sei.
Unseres Erachtens wird dabei nicht berücksichtigt, dass Google Analytics eine Vielzahl von Einstellungsmöglichkeiten enthält und bei richtiger Konfiguration auch ohne eine Einwilligung datenschutzkonform eingesetzt werden kann. Beispielsweise können die User ID-Funktion oder die Datenfreigabe an Google deaktiviert werden.
Muss ich als Schweizer Unternehmen nun ebenfalls einen «Einwilligungs-Cookie-Banner» implementieren, wenn ich Google Analytics-Cookies nutze?
Mit grosser Wahrscheinlichkeit, ja. Denn obwohl die DSGVO ein europäisches Regelwerk ist und sie somit primär für alle EWR-Länder gilt (EU-Länder plus Liechtenstein, Norwegen und Island), ist sie aufgrund bestimmter Kriterien auch ausserhalb des europäischen Territoriums für viele Schweizer Unternehmen anwendbar (sog. Verhaltensbeobachtung).
Dies ist unter anderem dann der Fall, wenn das Unternehmen das Verhalten einer Person im Europäischen Wirtschaftsraum beobachtet, wie dem Einsatz von Google Analytics bzw. deren Tracking-Cookies.
Empfehlungen: unser Fazit
Das kürzlich ergangene Cookie-Urteil des EuGH zwingt Webseitenbetreiber dazu, deren Einsatz von Cookies zu überprüfen. Webseitenbetreiber sollten sorgfältig prüfen, wie sie Google Analytics einsetzen, also wie Google Analytics konfiguriert wurde, und ob gegebenenfalls Massnahmen daraus resultieren.
Wer auf der sicheren Seite sein möchte, sollte zeitnah auf ein Opt-In-Verfahren mit expliziter Einwilligung umstellen.
Webseitenbetreiber in der Schweiz können Google Analytics so einstellen, dass nur Daten analysiert werden von Personen, die sich in der Schweiz befinden. In diesem Fall und auch sonst nach schweizerischem Datenschutzrecht (DSG) müssen die Webseitenbesucher (nur) über verwendete Cookies informiert werden und darüber wie Cookies abgelehnt, das heisst, im Browser deaktiviert werden können. Rein auf die Schweiz bezogen genügt also in der Regel ein entsprechender Hinweis in der Datenschutzerklärung. Eine ausdrückliche Einwilligung ist nur notwendig, wenn mit den Cookies besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden.
Gerne beantworten wir all Ihre spezifischen Fragen zu Google Analytics und Co und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»