Content Marketing Kommunikation

Google Analytics 4 und das neue Datenschutzgesetz in der Schweiz

12. Juli 2023 | Aktualisiert am 18. August 2023 | 11 Min Lesezeit
Kaufmann thomas
Thomas Kaufmann
Senior SEO & UX Writer
Neustadt Gruppe AG
Datenschutz gesetz google analytics parlament

Am 1.7.2023 hat Google Analytics 4 das bisherige Google Universal Analytics abgelöst. Dabei handelt es sich nicht um ein Update, sondern um eine komplett neue Software. Darüber hinaus hat die EU ihr Data Privacy Framework mit den USA lanciert und im September 2023 soll das neue Schweizer Datenschutzgesetz in Kraft treten. Welche Auswirkungen hat das für dich?

Inhalt

  1. Google Analytics 4 ist da
  2. Das neue Schweizer Datenschutzgesetz nDSG
  3. Auswirkung des nDSG auf die Verwendung von Google Analytics 4
  4. Gilt die DSGVO auch in der Schweiz?
  5. Angemessenheitsbeschluss EU-US Data Privacy Framework
  6. Fazit und Tipps

Google Analytics 4 ist da

Etwas überraschend hat Google im März 2022 bekannt gegeben, dass das Unternehmen seinen Webanalysedienst Universal Analytics (UA) per 1. Juli 2023 einstellen und durch die Nachfolgeversion Google Analytics 4 (GA4) ersetzen würde. Dieser Schritt wurde in der Zwischenzeit vollzogen, alle standardmässigen Universal-Analytics-Eigenschaften verarbeiten keine neuen Traffic-Daten mehr und bereits aufgezeichnete Daten sind nur noch für sechs Monate einsehbar.

Die wichtigsten Änderungen in GA4

Google Analytics 4 stellt eine völlig neue Art des Trackings dar, was bedeutet, dass die Daten nicht rückwirkend kompatibel sind. Das sind die wichtigsten Unterschiede zwischen GA4 und UA:

  • Ereignisbasiertes Modell: Im Gegensatz zu UA, das hauptsächlich auf Sitzungen und Seitenaufrufe fokussiert war, betreibt GA4 ein ereignisbasiertes Datenmodell. Das bedeutet, dass GA4 alle Interaktionen auf der Website oder App als Ereignisse betrachtet. Seitenaufrufe, Klicks, Scrollen usw. heissen jetzt Ereignisse. Dieses Modell bietet eine flexiblere und detailliertere Art der Datenerfassung.
  • Verbessertes Cross-Device-Tracking: GA4 nutzt Signale, um ein besseres Cross-Device-Tracking zu ermöglichen. Es kann Benutzerinnen und Benutzer über verschiedene Geräte hinweg verfolgen und dabei eine einheitliche und genauere Ansicht des Nutzerverhaltens bieten.
  • Lebenslange Wert- und Funnelanalyse: Diese Funktionen sind standardmässig in GA4 integriert. Mit UA musste ein Funnel erstellt werden, bevor die Daten erfasst wurden. GA4 hingegen ermöglicht es, Funnels retrospektiv zu erstellen und zu analysieren.
  • Predictive Analytics: GA4 verwendet maschinelles Lernen, um zukünftige Aktionen der Benutzerinnen und Benutzer vorherzusagen, beispielsweise die Wahrscheinlichkeit eines Kaufabschlusses in den nächsten sieben Tagen.
  • Anpassbare automatische Ereigniserfassung: GA4 kann automatisch bestimmte Arten von Ereignissen – wie beispielsweise Scrollen und Klicks auf Videos – erfassen, ohne dass dafür ein zusätzlicher Code erforderlich ist.
  • Integriertes App- und Web-Tracking: Während UA separate Property-Typen für Apps und Websites führte, vereint GA4 das Tracking von Websites und Apps in einer einzigen Property.
  • Kostenlose Big-Query-Integration: Im Gegensatz zu UA bietet GA4 die Möglichkeit, Daten kostenlos an Big Query zu senden, was die Datenanalyse und das Reporting erheblich verbessert.

GA4 tönt für dich nach einem Jahresabo der SBB?

Jetzt kostenloses Erstgespräch vereinbaren

Das neue Schweizer Datenschutzgesetz nDSG

Mit der Revision des Schweizer Bundesgesetzes für den Datenschutz (DSG) aus dem Jahr 1992 passt die Schweiz per 1. September 2023 die veraltete Gesetzgebung an die neuesten technologischen Entwicklungen an und stimmt die Gesetzgebung besser auf die Datenschutz-Grundverordnung (DSGVO) respektive die General Data Protection Regulation (GDPR) der Europäischen Union ab. Das mit dem Ziel, das Recht der Schweizer Bürgerinnen und Bürger auf ein privates und selbstbestimmtes Leben auch in Zeiten des digitalen Wandels rechtsstaatlich zu schützen.

Unterschiede nDSG und DSGVO

Der Hauptunterschied liegt darin, dass innerhalb des Schweizer nDSG auch Private mit einer Busse von bis zu 250’000 Schweizer Franken belegt werden können, wohingegen die DSGVO lediglich Unternehmen – nicht aber Private – mit bis zu 20 Millionen Euro oder vier Prozent des jährlichen Gesamtumsatzes büssen kann. Weitere Unterschiede bestehen neben dem jeweiligen Geltungsbereich auch für die Ernennung von Datenschutzbeauftragten (DPA), was in der Schweiz, anders als in der EU, nicht verpflichtend ist. Die Pflicht zum Melden von Datenschutzverletzungen ist ebenfalls unterschiedlich geregelt, im Rahmen der DSGVO gilt eine Meldefrist von 72 Stunden, innerhalb des schweizerischen nDSG hat die Meldung “möglichst rasch” zu erfolgen. Eine wesentliche Abweichung besteht ausserdem in den unterschiedlichen Geltungsansprüchen der beiden Erlasse: Die DSGVO hat das Datenschutzrecht EU-weit integriert und Koordinationsmechanismen zwischen den Aufsichtsbehörden der Mitgliedstaaten eingeführt. Das nDSG der Schweiz wiederum ist ein Bundesgesetz, das die Bundesbehörden und die Unternehmen der Privatwirtschaft – jedoch nicht die kantonalen Behörden – verpflichtet.

Überwachungskamera Datenschutzgesetz Google Analytics 4

Auswirkung des nDSG auf die Verwendung von Google Analytics 4

Welche Auswirkung hat das neue Datenschutzgesetz nDSG auf die Verwendung von Google Analytics 4 in einzelnen Teilbereichen?

Personenbezogene Daten

Wenn Unternehmen Google Analytics 4 einsetzen, werden personenbezogene Daten (Personally Identifiable Information PII) erhoben und an Google übermittelt. Da sowohl der Hauptsitz als auch mehrheitlich die Serverstandorte von Google in den USA ansässig sind, erfolgt dieser Datentransfer in ein gemäss DSG unsicheres Land. Zu den personenbezogenen Daten gehören etwa IP-Adresse, Informationen über Gerätetyp und verwendete Browser, aber auch Verweildauer und Interaktionen mit der Website.

Cookies und andere clientseitige Speichertechnologien

Entgegen vielfacher Annahmen übernimmt das nDSG die EU-Richtlinie für Cookie-Banner nicht. Art. 7 Abs. 3 nDSG sieht in Bezug auf “Privacy by Default” vor:

«Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»

Der Schweizer Experte für Daten- und Technologierecht, David Rosenthal, hat den Sachverhalt in seinem Kommentar zum neuen Datenschutzgesetz folgendermassen erläutert:

«Sieht ein Verantwortlicher in einem Service, einer Software oder einem Gerät mehrere Möglichkeiten vor, wie Personendaten bearbeitet werden können und kann der Benutzer diese Möglichkeiten über (Datenschutz-)Einstellungen selbst anpassen, so muss die Standardeinstellung die am wenigsten weitgehende Einstellung vorsehen. Wo ein Verantwortlicher dem Benutzer keine (technische) Wahlmöglichkeiten zur Eigensteuerung der Datenbearbeitung anbietet, kann es bereits begriffslogisch auch keine Voreinstellungen vornehmen und die Pflicht greift nicht. Der Umstand, dass eine Datenbearbeitung auf der Basis einer Einwilligung durchgeführt wird, führt ebenso wenig zu einer Voreinstellung, wie der Fall, in welchem einer betroffenen Person ein Widerspruchsrecht eingeräumt wird, selbst wenn ein solches in einem Online-Dienst über eine technische Funktion ausgeübt werden kann (‹Opt-out›-Knopf). Die Pflicht schreibt einem Verantwortlichen auch nicht vor, dass er den Benutzern (beispielsweise seines Online-Dienstes oder Geräts) Wahlmöglichkeiten anbieten muss. Wenn er dies aber tut, dann muss eine allfällige Voreinstellung so gesetzt sein, dass sie die Bearbeitung auf das «für den Verwendungszweck nötige Mindestmass» beschränkt.»

Die schweizerische Gesetzgebung für die Nutzung von Cookies und anderen clientseitigen Speichertechnologien wird im Artikel 45c des Fernmeldegesetzes geregelt:

«Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt, wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.»

In der Schweiz gilt das Opt-Out-Prinzip. Es genügt demnach, Nutzerinnen und Nutzern die Möglichkeit zu geben, Cookies im Browser zu blockieren oder zu löschen, ohne dass dafür eine Einwilligung eingeholt werden muss.

GA4 in der Datenschutzerklärung aufführen

Wenn eine Website Google Analytics 4 einsetzt, sollte diese Verwendung zwingend in der Datenschutzerklärung vermerkt werden, zusammen mit dem Hinweis, dass ein Tracking von Google Analytics deaktiviert werden kann.

Cookies kennst du nur aus der Sesamstrasse?

Jetzt kostenloses Erstgespräch vereinbaren

Gilt die DSGVO auch in der Schweiz?

Obwohl die Schweiz nicht zur EU gehört, hat die DSGVO Einfluss auf Schweizer Websitebetreibende, schliesslich sind Websites nur in den seltensten Fällen an eine geografische Grenze gekoppelt. Bürgerinnen und Bürger aus EU-Staaten haben also die Möglichkeit, eine Schweizer Webpräsenz zu besuchen. Dabei ist es irrelevant, ob ein Unternehmen Schweizer Produkte für Schweizer Kundinnen und Kunden in einem Schweizer Online-Shop anbietet, oder ob dieser Online-Shop international ausgerichtet ist. Das KMU-Portal der Schweizerischen Eidgenossenschaft sieht Folgendes vor:

«Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient:

  1. diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich), oder
  2. das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt (Art. 3 Abs. 2 Buchst. a und b DSGVO).

Um zu bestimmen, ob die Aktivitäten eines Unternehmens, das seinen Sitz ausserhalb der EU hat, in den Anwendungsbereich der DSGVO fallen, müssen die Rechtsberater analysieren, ob eine Absicht besteht, Waren oder Dienstleistungen in die EU zu verkaufen. Hierbei können verschiedene Hinweise geprüft werden (zum Beispiel die Erwähnung von Kunden, die sich in den Mitgliedstaaten befinden, oder von einer in der EU gängigen Währung). Im Fall von Art. 3 Abs. 2 Buchst. b DSGVO können die Experten analysieren, ob ein klarer Wille erkennbar ist, das Verhalten von natürlichen Personen im EU-Raum zu verfolgen (wenn sie beispielsweise die Nutzung von Profiling-Tools oder Google Analytics feststellen).»

Welche Pflichten müssen betroffene Unternehmen in diesem Fall erfüllen?

  1. Informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
  2. "Privacy by design" und "Privacy by default" garantieren
  3. einen Vertreter in der EU benennen
  4. ein Verzeichnis der Verarbeitungstätigkeiten erstellen
  5. Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
  6. eine Datenschutz-Folgenabschätzung durchführen
Schaufenster Schriftzug Data Datenschutzgesetz Schweiz und Google Analytics 4

Angemessenheitsbeschluss EU-US Data Privacy Framework

Am 10. Juli 2023 hat die Europäische Kommission einen Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen angenommen. Dieser Beschluss sieht vor, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten, die aus dem EU-Raum an US-Unternehmen übermittelt werden, gewährleisten. Gemäss DSGVO können personenbezogene Informationen aus der Europäischen Union lediglich unter spezifischen Voraussetzungen in Länder ausserhalb der EU übertragen werden. Wichtig ist dabei die Gewährleistung des Schutzniveaus, welches durch die Verordnung festgelegt wurde. Dabei werden verschiedene Aspekte berücksichtigt, darunter die Datenschutzgesetzgebung des Empfängerlandes, die Möglichkeiten zum Rechtsschutz und die Funktion der Datenschutzaufsichtsbehörde.

Data Protection Review Court kann Datenlöschung anordnen

US-Unternehmen können ihre Teilnahme am Datenschutzrahmen EU-USA im Rahmen einer Zertifizierung bescheinigen, indem sie sich zur Einhaltung detaillierter Datenschutzvorgaben verpflichten. Dies kann beispielsweise Grundsätze wie Zweckbindung, Datenminimierung und Speicherbegrenzung sowie spezifische Verpflichtungen in Bezug auf die Datensicherheit und die Weitergabe von Daten an Dritte umfassen. Stellt beispielsweise das Gericht zur Datenschutzüberprüfung (Data Protection Review Court DPRC) fest, dass bei der Datenerhebung gegen die neuen Garantien verstossen wurde, kann es die Löschung der Informationen anordnen.

Beschränkung des Zugriffs auf EU-Daten durch US-Geheimdienste

Der neue Datenschutzrahmen führt verbindliche Garantien ein, die den Zugriff von US-Geheimdiensten auf EU-Daten auf das notwendige und verhältnismässige Mass beschränken. Dieses mittlerweile dritte Abkommen bringt deutliche Verbesserungen im Vergleich zu seinen Vorgängern – den Frameworks “Safe Harbour” und “Privacy Shield” – mit. Letzteres wurde im Jahr 2020 sowohl vom Europäischen Gerichtshof (EuGH) als auch vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) für ungültig erklärt. Die Einhaltung der Verpflichtungen, die sich für US-Unternehmen aus dem EU-US-Datenschutzrahmen ergeben, wird von der US Federal Trade Commission durchgesetzt.

Sicherer Datenverkehr für Europäerinnen und Europäer

Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, sagte über den Angemessenheitsbeschluss: «Der neue EU-US-Datenschutzrahmen wird einen sicheren Datenverkehr für die Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich letztes Jahr mit US-Präsident Joe Biden erzielt habe, haben die USA beispiellose Verpflichtungen zur Schaffung des neuen Rahmens übernommen. Heute unternehmen wir einen wichtigen Schritt, um den Bürgern das Vertrauen zu geben, dass ihre Daten sicher sind, um unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu bekräftigen. Er zeigt, dass wir auch die komplexesten Probleme gemeinsam angehen können.»

CH-US Framework: Bedeutung für die Schweiz

Das Schweizer Staatssekretariat für Wirtschaft (SECO) steht in Kontakt mit den USA, um zeitnah eine schweizerische Version dieses Rahmenabkommens auszuarbeiten, was voraussichtlich noch vor Inkrafttreten des nDSG per 1. September 2023 geschehen soll. Die Gespräche seien weit fortgeschritten, wie der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB auf seiner Website mitteilt. Bis das soweit ist, müssen sich Schweizer Unternehmen weiterhin auf die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer (Standard Contractual Clauses SCC) verlassen. Der EDÖB hält ausserdem fest: «Ab dem 1. September 2023 ist es Aufgabe des Bundesrates, über die Angemessenheit eines Staates gemäss des neuen Schweizer Datenschutzgesetzes zu entscheiden. Er wird bestimmen, ob die USA zu gegebener Zeit in die Liste aufgenommen werden. Bis zum Vorliegen eines solchen Rahmenwerks ändert sich an der Angemessenheitsliste der Schweiz nichts.» Die USA bleiben für den EDÖB also weiterhin ein Drittstaat ohne angemessenes Datenschutzniveau.

Mitarbeitende Datenschutzgesetz Google Analytics 4

Fazit und Tipps

Die rechtliche Lage bezüglich Datenschutz für die Nutzung von Google Analytics in der Schweiz ist momentan also noch nicht eindeutig geklärt. Es empfiehlt sich daher, einige technische und organisatorische Massnahmen zu treffen, um nicht gegen DSG- oder DSGVO-Richtlinien zu verstossen. Was du tun kannst:

  • Google Analytics nur für spezifische Zwecke verwenden, respektive sich im Klaren sein, für welche Zwecke die Daten erhoben werden
  • Die erhobenen Daten nur so lange speichern, wie sie effektiv benötigt werden, und die Daten anschliessend löschen
  • Die IP-Anonymisierungs-Funktion von Google Analytics nutzen
  • Deine Nutzerinnen und Nutzer über die Verwendung von Google Analytics informieren
  • Deinen Nutzerinnen und Nutzern die Möglichkeit geben, der Verwendung von Google Analytics zu widersprechen
  • Die Angemessenheitsliste des EDÖB über Staaten mit einem angemessenen Datenschutz berücksichtigen
  • Bei Unsicherheiten oder Unklarheiten eine Fachperson für Recht und Datenschutz konsultieren

"Ich freue mich auf den Termin mit dir!"

Marco Stocker,
Chief Sales and Marketing Officer

Die Digital Heroes 
sind jetzt NEUSTADT.

Die Agentur für Inbound- und 
Content-Marketing aus Luzern.

Für Sie als Kunde bleibt alles wie gewohnt, doch zusätzlich profitieren Sie von einem noch umfangreicheren Leistungsspektrum. Lernen Sie uns kennen.

Die mexan ist jetzt NEUSTADT.

Die Agentur für Inbound- und 
Content-Marketing aus Luzern.

Für Sie als Kunde bleibt alles wie gewohnt, doch zusätzlich profitieren Sie von einem noch umfangreicheren Leistungsspektrum. Lernen Sie uns kennen.

Hinz und Kunz ist jetzt NEUSTADT Creative.

Die Agentur für Inbound- und Content-Marketing aus Luzern.

Für Sie als Kunde bleibt alles wie gewohnt, doch zusätzlich profitieren Sie von einem noch umfangreicheren Leistungsspektrum. Lernen Sie uns kennen.