Bullshit Basics: Google Tag Manager nie jest domeną bez plików cookies: dowód

W wielu deklaracjach ochrony danych twierdzi się, że Google Tag Manager jest domeną bez plików cookies. Inni sugerują, że do użycia tego menedżera nie jest wymagana zgoda. To oba są niewiarygodne. Nawet sama Google dostarcza argumentów przeciwko tej twierdzeniu.

Opracowanie Google Tag Managera jest narzędziem, które umożliwia sterowanie uruchamianiem innych narzędzi. Zamiast mówić o uruchamianiu można również powiedzieć o ponownym załadowaniu innych narzędzi. Często skrót GTM jest używany do określenia Google Tag Managera.

Menadżer dnia Google jest dostarczany za pomocą skryptu i wersji dla systemów z JavaScriptem wyłączonym. Często można znaleźć kod takiego rodzaju:

<script>
(function(w, d, s, l, i) {
w\[l\] = w\[l\] || \[\];
w\[l\].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });
var f = d.getElementsByTagName(s)\[0\],j = d.createElement(s),
dl = l != 'dataLayer' ? '&l=' + l : '';
j.async = true;
j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;
f.parentNode.insertBefore(j, f);
})(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');
<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

Skryptowy fragment jest logiką do załadowania skryptu Tag Manager o nazwie gtm.js. W tym miejscu są ustawiane niektóre parametry. Poniżej, w tagu IFRAME, znajduje się logika do uruchomienia Tag Managera, jeśli JavaScript jest wyłączony w przeglądarce użytkownika.

Przed tym, jak rozjaśnią się nieporozumienia, oto pierwsze z nich. Wielu uważa, że Google otrzymuje od GTM żadne dane osobowe. To jest błędne. Prawdą jest: Dla Google Twoja i moja adresem IP jest potencjalnie zawsze danych osobowych. GTM otrzymuje zawsze Twoją i moją adres IP, kiedy odwiedzamy strony internetowe, które włączają GTM. Niestety wyjaśnienia Google są tak sformułowane, że de facto przyznają się do tego, że dane otrzymane przez nich używa się dla własnych celów. W związku z tym GTM byłby już samodzielnie obowiązkowy w kwestii zgody.

Powszechne mylne interpretacje dotyczące Zarządzania Dniem

Jak widać, Tag Manager jest ładowany z domeny googletagmanager.com. Domena może teoretycznie być bez plików cookie. Nazywanie narzędzia jako domenę, jest sam w sobie błędem.

Oznaczenie domeny jako Przegapki jest bardzo odważną stwierdzeniem. Taka deklaracja może być prawdziwa tylko wtedy, gdy ją przyjmie się z dobrocią. Domena sama w sobie nie jest administratorem plików cookies. Zamiast tego wszystkie strony internetowe znajdujące się na tej domenie oraz załadowane zewnętrzne pliki z innych stron mogą być administratorami plików cookies. Ktoś, kto odważy się twierdzić, że znaje wszystkie strony i pliki na danej domenie musi być bardzo dobrze poinformowany.

Jedna domena nie może samodzielnie zarządzać plikami cookie. To mogą robić tylko pliki, które znajdują się na tej domenie. Jeśli pominiemy możliwości konfiguracji serwera internetowego, to tylko pliki, które wykonują logikę programu, mogą zarządzać plikami cookie. Pod zarządzaniem rozumie się tu tworzenie, odczytywanie, modyfikowanie i usuwanie plików cookie.

Google Tag Manager nie jest domeną bez plików cookies. Aby powiedzieć to prawdzie:

Z domeny googletagmanager.com są ładowane pliki cookies!

Badanie Google Tag Managera na stronach internetowych, które go używają (źródło: dr-dsgvo.de), oraz oświadczenie Googla (lipiec 2021).

Google Tag Manager ładuje bezpośrednio pliki cookies

Tak, czytacie dobrze. Nie wierzcie tym, co mówią inni! Ten rozdział pokazuje dlaczego są ładowane pliki cookies, gdy na stronie jest zainstalowany Google Tag Manager.

Pliszek is w każdej domenie (w zależności od konfiguracji również w poddomenach). Aby przy wezwaniu Google Tag Manager pliszek zostać przekazany, musi być wcześniej pliszek w domenie googletagmanager.com istnieje lub zostanie stworzony przez Google Tag Manager.

Wystarczy więc, jeśli na całym świecie istnieje tylko jedna strona internetowa w domenie lub jej poddomenie, która ustawia plik cookie. Mówimy tu tylko o trwałych plikach cookie, czyli tych długoterminowych. Plik cookies sesji jest mniej krytyczny (choć może nadal spowodować pewne problemy w określonych warunkach).

Oto dowód, że przy integrowaniu Google Tag Managera są ładowane pliki cookie:

Wideo pokazuje jak "nackty" Tag Manager jest ładowany, czyli bez dodatkowych narzędzi które są ładowane przez Tag Managera (które mogłyby być odpowiedzialne za późniejsze przetwarzanie danych). Mimo to przy pobieraniu Tag Managera zostaje przeniesione ciasteczko. Ponieważ ciasteczko jest już wysyłane razem z GTM, nie ma znaczenia czy GTM ładuje dodatkowe narzędzia lub nie, bo ciasteczko było już przy pobieraniu GTM!

Pamiętajmy, wszystko co widzimy w tym filmie nie miało miejsca z naszej zgody. Nie ma nawet pytania o zgodę na stronie, którą pokazano. Stronę tę wybrano przypadkowo. Istnieje wiele innych stron, które używają Tag Managera, na których można zaobserwować to samo zachowanie.

Do reprodukowania pokazanego w filmie zachowania należy w przeglądarce Mozilla Firefox:

1. Strona internetowa odwiedź, która działa na domenie googletagmanager.com lub jednej z jej poddomen i utworzy plik cookie
2. Aby śledzić ruch sieciowy w przeglądarce naciśnij klawisz F12, aby otworzyć konsolę deweloperską. Tam kliknij na pasek menu Netzwerkanalyse.
3. Strona internetowa otwiera się, która używa Google Tag Manager.
4. Kliknąć na żądanie sieciowe, które ładuje Google Tag Manager, więc szukaj wpisów z googletagmanager.com.
5. Kliknij prawym przyciskiem na folder Cookies w konsoli. Tam wyświetlane są pliki cookies, które zostały przeniesione podczas ładowania Tag Managera.

Google Tag Manager ustawia bezpośrednio pliki cookies

Oto tłumaczenie: Hierbei odnosi się do oficjalnej deklaracji Google z końca lipca 2021 roku. Google sam mówi, że w tak zwanej Preview and Debug Mode Tag Managera są ustawiane pliki cookies.

Teraz administrator używając Trybu Przeglądu, trafiają na urządzeniu do trzech plików cookies Tag Manager, związanych z googletagmanager.com. Później, gdy administrator odwiedzi dowolną stronę, która wykorzystuje Tag Manager, te pliki cookies zostaną przesłane do Google.

To nie dotyczy wszystkich odwiedzających stron internetowych, ale tylko administratorem Tag Managera, którzy korzystają z trybu wstępnego i debugowania. Jednak dodatkowym problemem jest to, że przy użyciu tych plików cookie możliwy jest konkretny i dokładny wniosek o osobie. Ponieważ te pliki cookie zawierają informacje, które pozwalają na ustalenie konta Google, a konto Google z kolei umożliwia dokładne wnioski o jednej osobie.

Tagi zarządzanych przez Google mogą ustawiać pliki cookies

Jeśli się dokładnie przyglądać i to robią adwokaci, którzy krytykują informacje o ochronie danych, to jest również istotne dla pytania, czy Google Tag Manager jest domeną bez plików cookies.

Z pomocą Custom Html Tag, czyli własnego tagu, można za pomocą Tag Managera ustawić pliki cookie. Oto przykład:

W tej podanej źródłowej można znaleźć dalsze opisy na ten temat. Tag Manager może więc samodzielnie ustawiać pliki cookies.

Zauważmy, że z tym kodem tworzony jest plik cookie na domenie aktualnie odwiedzanej strony internetowej. Jednakże już sam ten fakt dowodzi, że Tag Manager nie jest domeną bez plików cookie, ponieważ Tag Manager to usługa i ta sama usługa nie jest bez plików cookie, jak zostało wykazane kilka razy.

Powszechnie popełniane błędy w zarządzaniu reklamami

Na wielu stronach internetowych używa się Google Tag Managera, ale w Polityce prywatności nie ma o nim ani słowa. Często jest on wymieniany w oknie zgodności, chociaż twierdzi się, że nie używa plików cookies. Wzmianka ta sama w sobie byłaby niezła, ale przyjemna. Jednak tak zwane Platformy Zarządzania Zgoda skupiają się na plikach cookies, co samo w sobie jest błędem.

Jeśli narzędzie jest stosowane, musi ono być zgodnie z art. 13 RODO wyjaśnione. To ma przynajmniej miejsce w polityce prywatności. Jeśli odbywa się pytanie o pliki cookies, które rzeczywiście powinny być nazywane pytaniem o zgodę, wyjaśnienie dotyczące narzędzia musi tam nastąpić, przynajmniej w wystarczającej formie. Ogólna wyjaśnienie może następnie mieścić się w informacjach o ochronie danych.

Najlepsze narzędzie nie jest warte wyjaśnienia, chyba że chodzi o usługę techniczną, dla której nie ma dodatkowych przepisów do przestrzegania (co należy sprawdzić każdorazowo). Jest również błędem, używając jako dostawcy narzędzi terminu „Google”. Co znaczy bowiem „Google”? Jak brzmi pełna nazwa firmy „Google” i jaką formę prawną ma firma ta?

Często strony internetowe proszą o zgodę na używanie pewnych narzędzi. Jednakże, przed udzieleniem zgody, następuje proces ładowania, w którym czasem jest zaangażowany Google Tag Manager.

Ponieważ Manager Tagów ładuje inne narzędzia, wiele narzędzi do zgody jest zamieszane. Jest jeszcze jeden powód, dla którego nie należy ich używać! Jeśli np. Manager Tagów ładuje usługę Google Analytics, poprzez kanał danych otwarty przez Managera Tagów, są ustawiane pliki cookies przez Google Analytics.

Oto przykład zapytania o zgodę w praktyce strony internetowej znanej niemieckiej firmy:

W tym małym obrazku występują równocześnie kilka oczywistych wad:

1. Cookies _ga i _gat są przypisane do Tag Managera, chociaż należą one do Google Analytics. Polityka prywatności sprzecza się z tym oświadczeniem: „Sam serwis Google Tag Manager (który implementuje tagi) jest domeną bez ciasteczek i nie gromadzi danych osobowych.”.
2. Jako dostawca nazywa się „Google Tag Manager”. Każdy, kto zna przepisy ustawy o usługach medialnych dotyczące podania informacji o dostawcy, przyzna się, że tutaj nie ma prawidłowego podania informacji o dostawcy (również poza TMG).
3. Termin "Ablauf" brzmi raczej jak nazwa umywalki. Nie jest on powszechnie zrozumiały.
4. Oznaczenie "Typ: HTTP Cookie" nie jest powszechnie zrozumiałe.
5. Celowość pliku cookie _gat jest głupotą i ogólnie niezrozumiałym.

Jeśli byśmy dalej badali okienko zgody, stronę internetową i politykę prywatności, prawdopodobnie znaleźlibyśmy co najmniej podwójną liczbę wad. Dlaczego tak myślę, można przeczytać w mojej analizie Cookiegeddon – porażka wszystkich (?) Narzędzi do zgody.

Brak uprawnionego zainteresowania

Oczywiście, mówię, że nie ma uzasadnionego interesu do załadowania Google Tag Managera bez zgody. Powody:

1. Jeśli GTM jest ładowany, aby załadować dodatkowe narzędzia wymagające zgody, w każdym przypadku potrzebna jest zgoda. Dzięki temu GTM może być załadowany po tym, jak użytkownik wyraził zgodę.
2. Załadowanie tylko GTM, bez załadowania innych usług, nie ma żadnego praktycznego zastosowania.
3. Oczywiście każde x-dziesiątkowe narzędzie może być również załadowane bez GTM. W tym celu potrzebna jest jedynie logiki JavaScript, która nie musi być bardziej skomplikowana niż ta umieszczona w GTM.

Ktoś, kto myśli, że przykłada się mniej wysiłku, jeśli z GTM można zaplanować ładowanie innych usług niż bez niego, może mieć rację. Jeśli jednak jako kierowca szukasz odpowiedniego miejsca postojowego, to jest więcej trudności niż parkowanie w złym miejscu. Niemniej nikt nie powinien ad hoc parkować źle, nawet jeśli jest to mniej uciążliwe.

Jasne, twierdzę i mogę to udowodnić poprzez programowanie, że zastosowanie Google Tag Managera jest zazwyczaj skuteczniejsze niż prosty kod JavaScript. Nawet (lub zwłaszcza) obsługa narzędzi do zgody wraz z Google Tag Managerem jest łatwiejsza bez Tag Managera. Myśl tylko o data-src Direktive.

Kto liczy rzeczywiście koszty dodatkowej pracy, która jest potrzebna do stworzenia odpowiedniej polityki prywatności dla Tag Managera i ustalenia, kto jest dostawcą usługi oraz co zrobi dostawca z otrzymywanymi danymi? Dodatkowo trzeba doliczyć koszt odpowiadania na wnioski osób dotkniętych, które ludzie jak yes postanawiają sięgać po to, ponieważ wierzą, że wielu nie traktuje prywatności poważnie. Zdecydowanie rzadko można znaleźć politykę prywatności dla Tag Managera, która jest dość niezagrożona. Również rozważenie licznych prawnych warunków dotyczących GTM prowadzi do dodatkowej pracy, która wydaje się być niemożliwa do zrozumienia. Przyszły post mojego będzie omawiał ten aspekt.

Wynik

Ten wpis został napisany przez mnie, aby sprostować kilka razy twierdzenie, że GTM jest domeną bez plików cookie. Jak pokazano, przy załadownaniu Tag Managera można przekazać pliki cookie. Jeśli ten proces następuje, to Tag Manager podlega obowiązkowi zgody, zanim zostanie załadowany. To wynika z §15 ust. 3 TMG i Art. 5 ust. ePrivacy directive. Szczegółowa dedukcja znajduje się na mojej stronie w kilku innych artykułach.

Prawo do ochrony danych może być wykluczone, ponieważ użycie Tag Managera bez załadowania narzędzi jest oczywistym niepotrzebnym działaniem i narzędzia, które nie wymagają zgody, mogą być załadowane również bez Tag Managera. GTM natomiast wymaga ogromnej ilości dodatkowej pracy, aby spełnić warunki prawne Google oraz inne obowiązujące przepisy ochrony danych.

Dalej można uzyskać zgodę na przetwarzanie danych również z tego powodu, że adresy IP są jako dane osobowe przekazywane do „Google”. „Google” to pojęcie opisujące międzynarodową korporację działającą na całym świecie, która ma swoją siedzibę w USA. Stany Zjednoczone są niepewnym trzecim krajem (patrz wyrok dotyczący Privacy Shield). Oświadczenia firmy Google dotyczące Google Analytics sugerują, że korzystanie z Google Tag Manager będzie miało zawsze skutek w postaci gromadzenia danych w USA.

Aktualizacja: W przypadku korzystania z Google Tag Managers firma Google LLC będzie przetwarzała dane. Wynika to z „Warunków umowy o przetwarzanie danych dla produktów reklamowych Google” (patrz https://privacy.google.com/businesses/processorterms/), które dotyczą Google Tag Managera (patrz warunki korzystania z Google Tag Managera pod adresem https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/, które należy zaakceptować przy tworzeniu konta GTM). W związku z tym istnieje prawny dostęp z USA.

Zgoda na użycie Google Tag Managera można uzasadnić z różnych powodów. W tym artykule omawiam również transfer danych przez Google LLC oraz transfer danych do USA w związku z warunkami korzystania z usług Google.

Prawidłowy DPA z Google nie może być ukończony według mojej oceny , również dlatego, że Google korzysta z setek podwykonawców z dziesiątków krajów na całym świecie, których poziom ochrony danych jest wątpliwy (patrz https://privacy.google.com/businesses/subprocessors/. Ta strona internetowa jest odnoszona do warunków DPA opisanych powyżej). Również deklaracja dotycząca ochrony danych, która obowiązuje w GTM, mówi, że Google używa zebranych danych dla własnych (niezbędnych technicznie) celów, co jest sprzeczne z DPA. ([1])

Artykuły kontynuujące:

• Podstawy Bzdur: Ciasteczka są nie plikami tekstowymi
• Podstawy Bzdur: Cookiegeddon – porażka wszystkich (?) Narzędzi do zgody
• Ciastka: podstawy i znaczenie dla Dz.U. 2018.473 t.j. (RODO)
• NiestandardowyTagManager: Alternatywa dla Zarządzania Tagami z uwzględnieniem ochrony danych
• Server Side Tracking

Więcej informacji i dyskusja o Google Tag Manager w podcastzie privacy Deluxe: