Antworten auf die wichtigsten Fragen zur Google EU User Consent Policy für die Schweiz

Logo: Google

Die EU User Consent Policy von Google gilt ab dem 31. Juli 2024 auch gegenüber Nutzern in der Schweiz.

Was bedeutet diese «Richtlinie zur Einwilligung der Nutzer in der EU» für Website-Betreiber und App-Anbieter?

Ab dem 31. Juli 2024 gilt die EU User Consent Policy auch für die schweizerischen Nutzer von Websites und Apps. Wieso Google die Geltung der Richtlinie auf die Schweiz ausdehnt, ist nicht bekannt. Es gibt keine ersichtlichen rechtlichen Gründe.

Die EU User Consent Policy bedeutet nicht, dass alle Website-Betreiber und App-Anbieter, die Google-Dienste verwenden, ab dem 31. Juli 2024 ihre schweizerischen Nutzer mit Consent-Management belästigen müssen. In vielen Fällen kann weiterhin auf ein nerviges Cookie-Banner verzichtet werden.

Fragen und Antworten zur EU User Consent Policy von Google

Wieso gibt es die EU User Consent Policy von Google?

Mit der EU User Consent Policy setzt Google schon seit Jahren die europäische Datenschutz-Grundverordnung (DSGVO) und die europäische ePrivacy-Richtlinie um. Die EU User Consent Policy sieht insbesondere vor, dass Einwilligungen der betroffenen Nutzer im Zusammenhang mit Cookies und Werbung auf Websites und in Apps eingeholt werden müssen.

Die Regeln der europäischen Datenschutz-Grundverordnung (DSGVO) und der europäischen ePrivacy Richtlinie gelten – vereinfacht gesagt – in den Mitgliedstaaten der Europäischen Union (EU), im Fürstentum Liechtenstein, in Island und in Norwegen, sowie im Vereinigten Königreich.

Norwegen, Island und das Fürstentum Liechtenstein bilden gemeinsam mit den EU-Mitgliedstaaten den Europäischen Wirtschaftsraum (EWR).

Für wen gilt die EU User Consent Policy von Google?

Die EU User Consent Policy gilt bislang für Website-Betreiber und App-Anbieter mit Nutzern im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich, die betroffene Google-Dienste verwenden und bei der Verwendung dieser Dienste bestimmte Voraussetzungen erfüllen.

Ab dem 31. Juli 2024 gilt die EU User Consent Policy auch für Website-Betreiber und App-Anbieter mit Nutzern in der Schweiz.

Die EU User Consent Policy bedeutet keine allgemeine Pflicht für Cookie-Banner oder sonstiges Consent-Management, auch nicht gegenüber Nutzern in der Europäischen Union (EU).

Welche Dienste von Google sind von der EU User Consent Policy betroffen?

Im Vordergrund für die EU User Consent Policy stehen Google AdSense, Google Ad Manager und Google AdMob. Ferner geht es um Google Ads bei entsprechendem Remarketing, Targeting oder Tracking.

Es handelt sich jeweils um Dienste für oder im Zusammenhang mit Werbung. Die EU User Consent Policy gilt hingegen nicht allein für die Nutzung von Google Analytics.

Welche einzelnen Google-Dienste betroffen sind, lässt sich den jeweiligen Nutzungsbedingungen und sonstigen veröffentlichten Informationen von Google entnehmen. Leider gibt es – soweit ersichtlich – keine entsprechende Liste von Google.

Momentan fallen nach Angaben von Google folgende Dienste unter die EU User Consent Policy:

  • Blogger
  • Google Ad Manager
  • Google AdMob
  • Google Ads
  • Google AdSense
  • Google Maps Platform
  • Google reCAPTCHA
  • Privacy Sandbox APIs
  • YouTube API

Kein Hinweis auf die EU User Consent Policy findet sich in den Nutzungsbedingungen von Google Analytics.

Was die EU User Consent Policy für einen einzelnen Dienst bedeutet, muss im Einzelfall geprüft werden.

Welche Regeln gelten gemäss der EU User Consent Policy?

Die EU User Consent Policy besteht aus folgenden Regeln:

  1. Website-Betreiber und App-Anbieter müssen für die Nutzung von Cookies und vergleichbaren Technologien («Local Storage»), sofern rechtlich erforderlich, die Einwilligung der Nutzer einholen.
  2. Website-Betreiber und App-Anbieter müssen für das Bearbeiten von Personendaten für personalisierte Werbung immer die Einwilligung der Nutzer einholen.
  3. Website-Betreiber und App-Anbieter müssen ihre Identität offenlegen, normalerweise als Teil der ohnehin bereits vorhandenen Datenschutzerklärung.
  4. Website-Betreiber und App-Anbieter müssen über die Bearbeitung von Personendaten informieren, normalerweise als Teil der ohnehin bereits vorhandenen Datenschutzerklärung. Google hat eine Webseite mit Informationen veröffentlicht, die in der Datenschutzerklärung verlinkt werden kann.
  5. Website-Betreiber und App-Anbieter müssen offenlegen, wenn ausser ihnen sonst noch jemand die Personendaten der Nutzer erhält, normalerweise als Teil der ohnehin bereits vorhandenen Datenschutzerklärung.
  6. Website-Betreiber und App-Anbieter müssen mit wirtschaftlich vertretbarem Aufwand sicherstellen, dass die EU User Consent Policy auch von allfälligen Dritten, von denen sie Personendaten erhalten, eingehalten wird.

Mit dem Datenschutz-Generator von Datenschutzpartner können Datenschutzerklärungen erstellt werden, welche die Einhaltung der EU User Consent Policy von Google ermöglichen.

Was ist personalisierte Werbung bei Google?

Personalisierte Werbung ist Werbung, die sich nach den (angeblichen) Interessen der Nutzer richtet. Diese Interessen leitet Google insbesondere aus folgenden Informationen ab:

  • Suchanfragen
  • Aktivitäten in Apps und auf Websites
  • Besuchte Websites
  • Genutzte Apps
  • Demografische Informationen
  • Standort(e)

Website-Betreiber und App-Anbieter können bei der Nutzung von Werbung via Google entscheiden, ob sie personalisierte Werbung nutzen möchten oder nicht.

Gibt es besondere Regeln für Publisher?

Publisher sind Website-Betreiber und App-Anbieter, die Google Werbeflächen zur Verfügung stellen. Google zeigt auf diesen Werbeflächen auf Websites und in Apps dann Werbung von Dritten an.

Für Publisher gilt als besondere Regel gemäss EU User Consent Policy, dass eine von Google zertifizierte Consent-Management-Plattform (CMP) verwendet werden muss. Bei einer CMP kommt üblicherweise das Transparency and Consent Framework (TCF) der IAB Europe zum Einsatz.

Die meisten Website-Betreiber und App-Anbieter sind allerdings keine Publisher, denn sie stellen Google keine Werbeflächen zur Verfügung.

Gibt es Ausnahmen für Publisher?

Ja, es gibt Ausnahmen für Publisher im Zusammenhang mit «Limited Ads». Bei «Limited Ads» wird Werbung ohne Personalisierung und sonstigen Personenbezug von Google ausgespielt. Auf Deutsch spricht Google von «eingeschränkter Anzeigenausrichtung».

Publisher, die «Limited Ads» aktiviert haben, können in Abhängigkeit vom anwendbaren Recht auf das Einholen der Einwilligung der Nutzer verzichten. Solche Publisher müssen keine Consent-Management-Plattform (CMP) verwenden.

In der Schweiz ist gemäss dem anwendbaren Recht mit «Limited Ads» keine Einwilligung der Nutzer erforderlich.

Gibt es Ausnahmen für die Schweiz?

Ja, es gibt Ausnahmen von Google für die Schweiz im Rahmen der EU User Consent Policy.

Google erwartet bei Nutzern in der Schweiz ausdrücklich nicht, ein «Verified Consent Signal» zu erhalten, weder via «Consent Mode» noch via Transparency and Consent Framework (TCF) der IAB Europe. Auf Deutsch spricht Google von einem «verifizierten Zustimmungssignal», das nicht erwartet wird.

Davon ausgenommen sind Google AdSense, Google Ad Manager und Google AdMob. Mit diesen Google-Diensten stellen Publisher auf ihren Websites und in ihren Apps Werbeflächen für Google zur Verfügung. Dafür muss gemäss Google auch bei Nutzern in der Schweiz eine zertifizierte Consent-Management-Plattform(CMP) verwendet werden.

Was muss beim Einholen einer allfälligen Einwilligung für personalisierte Werbung beachtet werden?

Für das Einholen von Einwilligungen bestehen gemäss der EU User Consent Policy folgende Regeln:

  1. Website-Betreiber und App-Anbieter müssen eine allfällige Einwilligung vorgängig einholen.
  1. Website-Betreiber und App-Anbieter müssen Nutzern klare Informationen liefern, wie sie eine erteilte Einwilligung widerrufen können.
  2. Website-Betreiber und App-Anbieter müssen erteilte Einwilligungen dokumentieren.

Die Regeln entsprechen grundsätzlich dem anwendbaren europäischen Datenschutzrecht gemäss Datenschutz-Grundverordnung (DSGVO) und ePrivacy-Richtlinie. Gemäss diesem europäischen Recht müssen Einwilligungen durch Nutzer ferner informiert, freiwillig und ausdrücklich erteilt werden.

In Abweichung vom anwendbaren europäischen Datenschutzrecht verlangt Google nicht, dass die Nutzer eine gleichwertige Wahl zwischen Einwilligung und Ablehnung treffen können. Google verlangt lediglich eine bejahende Handlung wie insbesondere den Klick auf einen Button mit der Beschriftung «OK» oder «Ich stimme zu».

Wie muss über das Recht auf Widerruf bzw. Widerspruch informiert werden?

Der Widerruf einer erteilten Einwilligung für personalisierte Werbung muss genauso einfach erfolgen können wie die Erteilung der Einwilligung.

Google verlangt, dass die Nutzer mindestens ausreichend informiert werden, wie der Widerspruch erfolgen kann.

Wie erfährt Google von erteilten Einwilligungen?

Google bietet zwei Möglichkeiten an, damit Website-Betreiber und App-Anbieter Google über erteilte Einwilligungen informieren können:

  1. Nutzung der Google-eigenen Schnittstelle «Consent Mode», inzwischen in Version 2 («Google Consent Mode V2»)
  2. Nutzung einer zertifizierten Consent-Management-Plattform (CMP)

Wie kontrolliert Google die Einhaltung der EU User Consent Policy?

Google behält sich vor, Websites und Apps zu besuchen bzw. zu nutzen, um die Einhaltung der EU User Consent Policy zu prüfen.

Google kontrolliert aus Konsumentensicht, welche Informationen verfügbar sind und wie allenfalls notwendige Einwilligungen eingeholt werden.

In der Praxis scheinen Kontrollen – wenn überhaupt – nur selten zu erfolgen.

Was geschieht bei einer Verletzung der Google EU User Consent Policy?

Google informiert Website-Betreiber und App-Anbieter, bei denen eine Prüfung gezeigt hat, dass die EU User Consent Policy mutmasslich nicht eingehalten wird.

Betroffene Website-Betreiber und App-Anbieter werden von Google informiert und erhalten genügend Zeit, die Einhaltung der EU User Consent Policy zu gewährleisten.

Bei Website-Betreibern und App-Anbietern, die sich nicht kooperativ zeigen, droht Google mit Massnahmen bis hin zur Suspendierung der betroffenen Google-Konten.

Gelten die europäische DSGVO und die europäische ePrivacy-Richtlinie in der Schweiz?

Nein, die europäischen Datenschutz-Grundverordnung (DSGVO) und die europäische ePrivacy-Richtlinie gelten nicht in der Schweiz. Die Schweiz hat die DSGVO und die ePrivacy-Richtlinie auch mit dem neuen Datenschutzgesetz (DSG) nicht übernommen.

Ist in der Schweiz eine Einwilligung für Cookies erforderlich?

Nein, gemäss der schweizerischen «Cookie-Richtlinie» (Art. 45c FMG) muss für die Nutzung von Cookies keine Einwilligung eingeholt werden.

Regel 1 der EU User Consent Policy über Einwilligungen für Cookies ist in Bezug auf App- und Website-Nutzer in der Schweiz deshalb nicht anwendbar. Es ist rechtlich grundsätzlich nicht erforderlich, für die Nutzung von Cookies und vergleichbaren Technologien («Local Storage») die Einwilligung von schweizerischen Nutzern einzuholen.

Müssen allfällige Einwilligungen in der Schweiz ausdrücklich erteilt werden?

Nein, Einwilligungen müssen in der Schweiz – datenschutzrechtlich gesehen – grundsätzlich nicht ausdrücklich erteilt werden. Google hingegen verlangt mit der EU User Consent Policy, dass Einwilligungen «aktiv» erteilt werden und geht damit über das schweizerische Recht hinaus.

Ausnahmsweise ist gemäss schweizerischem Datenschutzrecht eine ausdrückliche Einwilligung erforderlich, wenn besonders schützenswerte Personendaten bearbeitet oder ein Profiling mit hohem Risiko erfolgt.

Besonders schützenswerte Personendaten sind beispielsweise Daten über die Gesundheit, über die Intimsphäre oder über politische oder religiöse Ansichten (Art. 5 lit. c DSG).

Profiling mit hohem Risiko bringt ein hohes Risiko für die betroffenen Nutzer mit sich, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (Art. 5 lit. g DSG).

Was ist der «Consent Mode» von Google?

Der «Consent Mode» von Google, deutsch «Einwilligungsmodus», ist eine Schnittstelle für Website-Betreiber und App-Anbieter, um Google über erteilte Einwilligungen von Nutzern im Zusammenhang mit Werbung zu informieren. Google passt Werbung und das entsprechende Tracking in Abhängigkeit von der erteilten Einwilligung an.

Der «Consent Mode» ist eine Alternative zum Transparency and Consent Framework (TCF) der IAB Europe. Mit dem «Consent Mode» wird Google im Wesentlichen informiert, ob Nutzer in das Tracking mit Google Analytics und im Zusammenhang mit Werbung eingewilligt haben. Der «Consent Mode» ist nur im Zusammenhang mit Werbung erforderlich.

Die Einbindung des «Consent Mode», aktuell in Version 2 («Google Consent Mode V2»), erfolgt mittels Global Site Tag (gtag.js) oder mit dem Google Tag Manager.

Den «Consent Mode» gibt es in zwei Varianten: Es gibt den – vergleichsweise neuen – «Basic Mode» mit Tracking nur bei Einwilligung und den – schon älteren – «Advanced Mode» mit Tracking auch ohne Einwilligung, aber in diesem Fall ohne Cookies.

Im «Basic Mode» werden ohne Einwilligung keine Daten an Google gesendet. Im «Advanced Mode», der einzige Modus in der Version 1 des «Consent Mode» («Consent Mode V1»), wird hingegen immer getracked, aber ohne Cookies und mit beschränkten Daten.

Für die Schweiz erwartet Google ausdrücklich nicht, dass der «Consent Mode» verwendet wird.

Wo finden sich weitere Informationen zur EU User Consent Policy?

Google hat insbesondere folgende Informationen zur EU User Consent Policy veröffentlicht:

2 Kommentare

  1. Vielen Dank für die detaillierte Analyse.

    Google Ads (und nun auch Microsoft Ads) möchten ja für ihren «Consent Mode» das Consent Signal «granted» oder «denied» für bestimmte Consent-Kategorien erhalten.

    Wie sieht es bei Webseiten in der Schweiz aus, die kein Consent Banner haben: darf hier das Signal für Consent «granted» einfach an Google/Microsoft mitgeschickt werden, oder ist dies nur nach tatsächlicher Zustimmung des Nutzers rechtens?

    Ansonsten habe ich es per Ihrem Artikel so verstanden, dass man, um Google Ads Remarketing nach dem 1.7. in der Schweiz weiter zu nutzen, gemäss Google-Richtlinie zumindest ein einfaches Consent Banner (muss kein Opt-In Banner sein) benötigt. Ist das korrekt?

    1. @Matthias Wobrock:

      Die Frage mit dem Signal haben wir für Google in den aktuellen «Datenschutz Plaudereien» kurz angesprochen:

      https://podcast.datenschutzpartner.ch/268-cisco-secure-email-gateway-follow-up

      Ich gehe davon aus, dass es nicht die Idee von Google und Microsoft ist, dass Website-Betreiber:innen ein Signal senden, das auf keine tatsächliche Einwilligung zurückzuführen Ist. Naheliegend ist es aber natürlich und wird teilweise auch so gemacht …

      Der 1. Juli 2024 ist im Zusammenhang mit der EU User Consent Policy von Google kein massgebliches Datum. Die Policy gilt für die Schweiz ab dem 31. Juli 2024.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.