Lassen Sie es uns direkt sagen: Nein, Google Analytics ist in der Schweiz nicht illegal. Google Analytics geriet unter Beschuss mehrerer europäischer Behörden, weil es nicht mit den GDPR-Vorschriften für außereuropäische Datenübertragungen konform ist. Die GDPR findet in der Schweizerischen Eidgenossenschaft keine Anwendung, da sie nicht Mitglied der Europäischen Union oder des Europäischen Wirtschaftsraums ist.
> Schweizer Unternehmen müssen die GDPR dennoch einhalten, wenn sie auf den europäischen Markt abzielen oder Verhaltensweisen in der EU überwachen (dies schließt die Verwendung von Google Analytics auf einer Website ein, die auf ein europäisches Publikum abzielt). Es lohnt sich also, hier tiefer einzusteigen.
- Schweizerisches Datenschutzrecht
- Welche Regeln gelten für Google Analytics in der Schweiz?
- Kann ich personenbezogene Daten aus Europa in die Schweiz übermitteln?
- Warum die ganze Aufregung um Google Analytics?
- Abschließende Überlegungen
> Lassen Sie uns eintauchen!
Schweizerisches Datenschutzrecht
Die Schweizer Verfassung erkennt Datenschutz und Privatsphäre als Grundrechte an. Das Schweizer Recht enthält einen umfassenden Datenschutzrahmen, darunter das Bundesgesetz über den Datenschutz von 1992. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat diesen Datenschutzrahmen auf Bundesebene durchgesetzt.
Welche Regeln gelten für Google Analytics in der Schweiz?
Das Schweizer Recht schreibt keine Einwilligung für Cookies vor. Allerdings muss die Website über die Verwendung von Cookies informieren und erklären, wie der Nutzer die Verarbeitung ablehnen kann.
Kann ich personenbezogene Daten aus Europa in die Schweiz übermitteln?
Die Europäische Kommission hat einen Angemessenheitsbeschluss für die Schweiz erlassen, der sie im Wesentlichen zu einem sicheren Ziel für Datenübermittlungen erklärt. Sie können personenbezogene Daten in die Schweiz übermitteln, ohne dass für Sie derselbe Aufwand entsteht, wie wenn Sie die Daten an einen EU-Mitgliedstaat weiterleiten würden.
Bitte beachten Sie, dass die Kommission die Angemessenheitsbeschlüsse in regelmäßigen Abständen überprüft. Wenn Sie sich auf einen Angemessenheitsbeschluss berufen wollen, vergewissern Sie sich, dass er noch gültig ist.
Warum die ganze Aufregung um Google Analytics?
Der jüngste Trend zu Entscheiden gegen Google Analytics ist Teil eines grösseren rechtlichen Rätsels um Datenübertragungen zwischen dem EWR und den USA. Das Problem betrifft die Schweiz nicht direkt, aber es betrifft Schweizer Websites, die Google Analytics verwenden, wenn sie auf den europäischen Markt oder das europäische Publikum abzielen. Wir haben bereits ausführlich darüber in unserem Blog geschrieben, daher hier eine Kurzfassung.
Das Kernproblem ist die Staatsüberwachung. Nach der Datenschutz-Grundverordnung dürfen europäische personenbezogene Daten nur dann in Länder außerhalb des EWR übertragen werden, wenn dies sicher möglich ist. Bei US-Datentransfers ist das schwierig, weil der US-Rechtsrahmen eine umfassende und invasive Überwachung der Daten ausländischer Bürger erlaubt.
Zwei verschiedene Datenübertragungsrahmen (Safe Harbor und Privacy Shield) zwischen der EU und den USA ermöglichten in der Vergangenheit GDPR-konforme Datenübertragungen, aber beide Rahmen wurden vom EU-Gerichtshof in den Rechtssachen Schrems I und II für ungültig erklärt. Ein dritter Rahmen ist auf dem Weg, wird aber sicherlich mit rechtlichen Herausforderungen konfrontiert werden. Da sich bereits ein Urteil in der Rechtssache Schrems III abzeichnet, bleibt die Zukunft des Datenverkehrs zwischen der EU und den USA ungewiss.
In der Zwischenzeit müssen Unternehmen auf verschiedene rechtliche Instrumente (in der Regel Standardvertragsklauseln) zurückgreifen, um Daten im Rahmen der Datenschutz-Grundverordnung rechtmäßig in die USA zu übertragen. Das Problem bei diesen Instrumenten ist jedoch, dass sie keinen Schutz gegen staatliche Überwachung bieten. Aus diesem Grund wurde in der Schrems II-Entscheidung klargestellt, dass sie durch zusätzliche Maßnahmen zum Schutz der Privatsphäre ergänzt werden müssen, wenn Daten in "unsichere" Länder übermittelt werden. Dies ist schwierig und bei den Übermittlungen, die für bestimmte Cloud-basierte Dienste wie Google Analytics erforderlich sind, völlig unmöglich (wir haben darüber hier geschrieben).
Nach dem Schrems-II-Urteil im Jahr 2020 machten die meisten Unternehmen weiter wie gewohnt Geschäfte mit US-amerikanischen Dienstleistern. In der Zwischenzeit reichte die NGO noyb 101 Beschwerden über Datenübertragungen gegen europäische Websites ein, die Google Analytics und Facebook Connect nutzen, um die Behörden zu einer strengeren Durchsetzung des Schrems-II-Urteils zu bewegen.
Datenschutzbehörden koordinierten ihr Vorgehen auf europäischer Ebene, um die Beschwerden kohärent zu behandeln. So haben die österreichischen, französischen, italienischen, und Ungarisch haben sich die Datenschutzbehörden in sehr ähnlichen Entscheidungen gegen die Verwendung von Google Analytics ausgesprochen, und die dänische Datenschutzbehörde hat im Wesentlichen dasselbe in einer Pressemitteilung getan. Während die Entscheidungen einen einzelnen für die Verarbeitung Verantwortlichen betreffen, schaffen sie alle einen Präzedenzfall, der praktisch auf ein staatenweites Verbot hinausläuft, wie wir hier erläutert haben.
Mit der Koordination auf europäischer Ebene und den einflussreichen französischen und italienischen Behörden als Vorreiter werden andere Datenschutzbehörden wahrscheinlich dem Beispiel folgen und eine härtere Haltung gegenüber Google Analytics einnehmen.
Abschließende Überlegungen
Ob Google Analytics in der Schweiz nun illegal ist oder nicht, es ist definitiv nicht datenschutzfreundlich für Ihre Website-Besucher. Wir sind der Meinung, dass Sie Einblicke in Ihre Website gewinnen können, ohne die Privatsphäre Ihrer Besucher zu verletzen. Aus diesem Grund haben wir Simple Analytics als datenschutzfreundliche Google Analytics-Alternative entwickelt.
Mit Simple Analytics können Sie Einblicke in Ihre Website-Analysen gewinnen und Möglichkeiten entdecken, ohne Cookies zu verwenden oder persönliche Daten zu sammeln. Möchten Sie sehen, wie das aussieht? Sehen Sie sich unser Live-Dashboard hier an. Wenn Sie sich angesprochen fühlen, können Sie uns gerne ausprobieren