Google Analytics jest najpopularniejszym narzędziem do śledzenia, ale wyrzuca również wiele pytań dotyczących ochrony danych osobowych. W standardzie prawidłowe korzystanie po zapytaniu o zgodę prawnie jest niemożliwe. Istnieje jednak rozwiązanie bez okienka cookies.
Wprowadzenie
Obszar zastosowania Google Analytics jest różnorodny. Oto kilka często spotykanych przypadków:
- Statystyka (licznik odwiedzin)
- Optymalizacja treści:
- Analiza demograficzna, analiza zachowań, śledzenie użytkowników między stronami
- Ścieżki klików
- Optymalizacja reklam (monitorowanie konwersji, retargeting)
- Kombinacja z Google Optimize (Testy podziałowe)
Statystyczne analizy mogą być bardzo dobrze wykonane bez użycia Google Analytics. W tym celu polecam Matomo bez zgody lub Trackboxx (komercyjny produkt niemieckiego dostawcy).
Można również wykorzystać Matomo do oceny ścieżek kliknięć w celu optymalizacji treści.
Dla testów A/B podobnie jak Google Optimize istnieją pewnie rozwiązania bardziej przyjazne z punktu widzenia ochrony danych, na które nie mogę tu wejść.
Optymalizacja reklam jest technicznie najłatwiejsza z użyciem Google Analytics. Prawniczo zaś jest to prawie nie do pogodzenia. Jako dowód na to, należy wymienić Google Tag Manager, który Google przyjemnie przymusowo łączy z Google Analytics, pomimo tego, że nie jest to konieczne. Sam Tag Manager prawniczo jest niemal nie do pogodzenia, jak pokazuje moja prosta badania.
Czy w przypadkach zastosowań, w których Google Analytics ma sens?
Problemy prawne z Google Analytics
Jak już zostało pokazane, często używa się Google Tag Manager (GTM) wraz z Google Analytics. Zalecam tylko użycie GTM po uzyskaniu zgody. GTM nie jest potrzebny samodzielnie, tym bardziej do załadowania Google Analytics.
Jeśli potrzebujecie Tag Managera, zamiast tego wziąłby coś innego lub szukałby kogoś, kto potrafi programować. Alternatywą dla częstych przypadków jest moje Untagmanager. Nie pomaga to wam i nie znaleźlibyście programu czy nie chcielibyście płacić? Jeśli odpowiedź na tę pytanie Tak jest, być może pojęcie ochrony danych jeszcze nie jest głęboko zakorzenione w waszym świadomości. Nie ma problemu, rynek i dotknięte osoby zregulują to.
W związku z tym, że Google Universal Analytics używa plików cookie, jest wymagana zgoda. Wynika to z orzeczenia BGH w sprawie Planet49. Zgodnie z tym § 15 ust. 3 TMG powinien być stosowany w sposób zgodny z art. 5 ust. 3 dyrektywy ePrivacy.
Cookies są technicznie nie niezbędne i wymagają zatem zgody. Krótkie stwierdzenie: Google Analytics może być w standardzie tak skonfigurowany, aby nie używać ciasteczek.
Także bez plików cookie Google Analytics wymaga zgody. Istnieją kilka powodów, zobacz link w tym samym rozdziale. Czy wiedzieliście, że wszystkie dane analityczne są zawsze przetwarzane w Stanach Zjednoczonych?
Tekst źródłowy: Laut Art. 13 RODO są obowiązkowe powszechne informacje dotyczące Google Analytics. Te informacje ochrony danych są często nazywane Informacjami o ochronie danych. Czy wiesz, jak dane zebrane za pomocą Google Analytics są przetwarzane przez korporację Google? Jeśli tak, proszę podziel się z tym zatem, bo yes nie wiem. Także dla każdego pliku cookie należy określić nazwę, cel i okres ważności. Czy wiesz dokładnie cele cookies Google Analytics? Nie zgadzam się z tym.
Inne problemy z Google Analytics
Jeśli w całej Welt tak często używa się Google Analytics, strony internetowe korzystające z tego narzędzia są łatwe do rozpoznania i stanowią atrakcyjne cele ataku.
Hackerzy mogą wykorzystać Google Analytics, aby łatwo, niezauważalnie i w zasadzie niewidocznie wydobyć dane ze strony kompromitowanej. Ustawianie reguł Firewall, które to mogłyby temu zapobiec, wydaje się dla wielu stron kompletnie nierealistyczne.
Jeśli strona internetowa używa Google Analytics, to według mojej wiedzy prawie pewnie narusza przepisy dotyczące ochrony danych. Kto szuka powodu do skargi, ten może najpierw poszukać stron internetowych, które wykorzystują Google-Tracker. W miarę upływu czasu każdy powinien zrozumieć, że Analytics ma ogromne ryzyko.
Oto rozwiązanie: Analiza bez zgody
Rozwiązaniem dla bezpiecznego zapisywania użytkowników bez zgody przy użyciu Google Analytics jest oparcie się prostym zasadzie podstawowej. Rozwiązanie to oczywiście działa bez niezbędnych plików cookies technicznie. Jest to możliwe, ponieważ Google Analytics może być używany bez plików cookies.
Sinnownie wydaje mi się rozwiązanie dla kilku określonych przypadków zastosowania. Połączenie danych Analizy z danymi Google Ads jest przypadkiem, który dla mnie ma największe znaczenie. Google Ads to sposób na wyświetlanie reklam online. Klienci reklamowi chcieliby wiedzieć, jak dobrze działa reklama i przy użyciu którego słowa kluczowego nastąpiła konwersja. To wszystko można zrobić bez Google Analytics, ale kto wie to i chce więcej trudu?
Możliwe jest również, że będzie sensowne, aby głębiej śledzić działania odwiedzającego stronę internetową. Wiele narzędzi analitycznych zapisuje jedynie, jak był przebieg kliknięć użytkownika i jak długo przebywał na danej stronie. Niektóre mogą być również zainteresowane tym, jak zachowywał się użytkownik podczas przewijania strony i podobne rzeczy.
Jedno jest pewne: z użyciem standardowego skryptu Google Analytics nie da się prawidłowo stosować przepisów RODO.
Są dwa rozwiązania, które są różnie skuteczne i różnie złożone.
Podstawowy zasadzie
Rozwiązanie opiera się na tym, że podczas śledzenia zdarzeń Google serwer nie jest bezpośrednio wywołany przez skrypt Google Analytics. Zamiast tego wywoływany jest sądziwy serwer strony internetowej, która jest aktualnie odwiedzana. Sądziwy serwer zostaje poinformowany o zdarzeniu śledczym. Sądziwy serwer usuwa wówczas informacje wrażliwe, które mogłyby mieć znaczenie dla osoby fizycznej. Reszta danych jest następnie wysłana do własnego konta Google Analytics.
Principium to nazywa się Proxy. Proxy jest zastępcą. Wielu zna ten termin z pewnością z świata sieciowego. Proxy jest rodzajem tunelu. Jeśli tunnel jest długi, pasuje analogia nawet całkiem dobrze. Bo na końcu tunelu nie wie się kto właściwie wjechał do tunelu. Aby uzupełnić analogię, należałoby przyjąć, że w środku tunelu następuje zmiana kierowcy, która nie może być obserwowana z zewnątrz tunelu.
Dla Google Analytics tworzy się więc proxy. Proxy tunneluje teraz zdarzenia śledcze przez własny serwer. W trakcie tego procesu tunelowania dane powiązane z użytkownikiem są anonimizowane lub pomijane. W ten sposób odpadła obowiązek poproszenia o zgodę. Istotne jest również to, że nie używa się plików cookie, ponieważ te byłyby wymagane do wyświetlenia okienka z plikiem cookie. Okienko z plikiem cookie powinno być nazywane poproszeniem o zgodę lub okienkiem konsentu. Przypomnijmy, że okienko z plikiem cookie dla własnej rozwiązania może nawet być zgodne z prawem , ale w oryginalnej wersji Google Analytics raczej nie.
Rozwiązanie 1: Bezpośredni wywołanie przy widoku strony
Ten podejście śledzi jedynie odwiedziny stron. Wtedy jest prowadzona konfiguracja systemu przeglądarki użytkownika, co oznacza lepszą bazę danych. To się znacie z standardowego Google Analytics i nie jest to nic nowego.
GA zdarzenia są wysyłane przez przeglądarkę użytkownika na własny serwer. Tam usuwane są wrażliwe dane takie jak adres IP użytkownika, bądź zastępowane są przez zupełnie inne wartości bez odniesienia do osoby. Kto korzysta z własnego adresu IP dla GA Tracking Events jest oczywiście zgodny na to, że sam przekaże swoją własną adres sieciowy Google'owi.
const url = 'eigenes-analytics-script.php';
var data = {dt: doc.title,...};
data = serialize(data);
var sender = new XMLHttpRequest();
sender.open("POST", url, true);
sender.send(data);
Kod pokazuje, jak dane z przeglądarki mogą być wysłane do własnego skryptu PHP. W zmiennej data znajdują się wszystkie wartości, które mają zostać przesłane. W przykładzie tytuł dokumentu jest wysyłany na serwer. Przesyłanie odbywa się za pomocą HTTP Post, aby nie powstały problemy z rozmiarem danych (ponieważ przy GET istnieje ograniczenie dla rozmiaru danych).
Na serwerze wyśliją się następnie zdarzenia śledcze do Google. Google otrzymuje, jeśli wszystko jest poprawne, żadne dane dotyczące innej osoby. Wyślanie do Google może odbywać się analogicznie jak oryginalny śledzenie, czyli za pomocą wysyłania wiadomości HTTP na adres takiego rodzaju: https://www.google-analytics.com/collect. W celu debugowania można użyć adresu https://www.google-analytics.com/debug/collect. Zamiast tego może być użyta API raportów Analytics, co wydaje się bardziej eleganckie, ale również trochę skomplikowane.
Rozwiązanie 2: Użycie oryginalnego scenariusza
Elegantsze, ale również bardziej skomplikowane i wymagające regularnych napraw jest modyfikowanie oryginalnego skryptu Google Analytics. Skrypt zostaje dostosowany tak, aby dane nie były wysyłane na google-analytics.com, lecz na własny serwer.
Zwykłe postępowanie na własnym serwerze w celu przekazania danych do Google jest podobne do pierwszej rozwiązki.
Gelegentlich są aktualizowane skrypty Google Analytics. Nie zawsze należy je zaaktualizować. Czasem może się okazać, że jest potrzebne aktualizacja. Wtedy modyfikowane skrypt musiałby zostać zastąpiony przez nowe modyfikowane skrypt. To możliwe, ale oznacza to trochę więcej trudu. Trudność będzie ograniczona i prawdopodobnie wystąpi tylko co kilka miesięcy, jeśli w ogóle.
Wynik
Ktoś, kto chciałby bezwzględnie używać Google Analytics, powinien to zrobić w opisanej przez mnie formie. Oryginalna wersja prawidłowa byłaby dostępna tylko po skutecznej zgody. Zgoda jednak jest udzielana tak rzadko, jak się o nią poprosi. Ponadto pojawia się pytanie, które dane Google przetwarza.
Dla większości przypadków zastosowania powinno wystarczyć Matomo w lokalnej instalacji. Ktoś, kto używa WordPressa, może również polegać na WP Statistics.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
