I de seneste måneder har Google Analytics udviklet sig betydeligt og er nu gået videre til Google Analytics 4. Spørgsmålet er, om der kræves samtykke til 2023-versionen, og hvorfor. Svaret afhænger af værktøjets konfiguration, om dataoverførslen til USA og Googles brugsbetingelser ikke ses som et problem.
Denne artikel undersøger primært Google Universal Analytics. Denne udgave af Google Analytics var den mest brugte variant indtil for nylig. Forskellene til Google Analytics 4 er fra et dataskydds synspunkt i store dele at overse. Derudover findes såkaldte Google Analytics 4 Properties. Dette omfatter egenskaber med træk, der kunne anvendes på det tidligere Google Universal Analytics konto. Den parallele brug af GA4 Properties og GA Properties var mulig.
Et par ord på forhånd om GA4's brugsbetingelser
Google's brugsvilkår siger i afsnittet "7. Persondata" ([1]) :
Du vil ikke sende oplysninger til Google, som Google kan bruge eller genkende som personligt identificerbare oplysninger, og du vil heller ikke tillade eller hjælpe tredjeparter med at gøre det
Det betyder, at det ikke er muligt at bruge Google Analytics i sin standardform, da IP-adressen allerede er personoplysninger, som altid overføres til Google, hvis GA er integreret som standard. Enten har Google ingen anelse om databeskyttelse, eller også skubber de bevidst hele ansvaret for datalevering over på den dataansvarlige, der bruger GA.
Google Analytics med cookies (standardkonfiguration)
I Google Analytics standardkonfiguration er følgende tilfælde:
- Brug af Førstehåndskøkken
- Overførsel af værdier fra cookies til Googles servere
- Ledelse af Client Id per bruger, der er unik for hver browser og enhed
- Fordelen ved browserfingerprints, blandt andet gennem udlesning af Viewports. Alene derfor er Google Analytics i hver konfiguration tilladelsepligtig
- Analyse af klikveje
- Evaluering af brugernes opholdstid på individuelle sider
Pga. brugen af cookies samt beviselig overførsel af data fra Google Analytics til Google-servere er en samtykningspligt nødvendig. Dette kan man logisk udlede af Art. 5 (3) ePrivacy-richtlinien, der ifølge BGH-aflæggelsen den 28.05.2020 (I ZR 7/16) skal anvendes i Tyskland eller § 15 Abs. 3 TMG skal tolkes konform med direktivet.
Klient ID'et hedder jo Klient ID, men med det menes en identifikation for en bruger ( = Klient).
Det er ikke meningen, at identifikationen altid bliver gemt på Client (dvs. enheden af brugeren, hvis man ønsker at betegne enheden som klient). Ved cookiebehaftet drift af Google Analytics bliver Client Id gemt på enheden af brugeren. Ved cookieløs drift bliver Client Id ikke gemt på enheden af brugeren – opbevaring af informationer i enheden af brugeren fungerer uden cookies ikke (sidst opdateret: 05.03.2021)!
Bevis for adgang til cookies fra Google Analytics
At kunne adgangen til cookies gennem Google Analytics bevises på følgende måde:
Cookies, der er oprettet af Google Analytics, når en tilfældigt valgt hjemmeside bliver besøgt, er følgende:
At disse cookies er blevet oprettet af Google Analytics, kan også bevises. Det sparer jeg her ud. Enhver teknisk halvvejs begavet vil klare det selv.
At Google Analytics har adgang til disse cookies, kan bevises ved at se på tracking-eventet, som sættes af Google Analytics Script:
https://www.google-analytics.com/j/collect?v=1&_v=j87&aip=1&cid=1111111162.1612337222&_gid=4444463630.1612555025
Den egentlige opkald er endnu længere. Den blev forkortet på grund af privatlivsbeskyttelse og for bedre oversigtighed. Som man kan se, overføres værdierne i de cookies til parametererne cid og _gid. Dermed fandt tydeligvis en adgang til cookies sted, altså en adgang til de oplysninger, der er gemt på brugerens enhed. Denne bevis er uangribelig, fordi det kan reproduceres i alle tid (Stå op: 10.02.2021).
Cookies er ikke en legitim interesse
At det ikke er tilladt at bruge cookies på grund af et berettiget interesse, kan man selv ud fra det følge, at Google Analytics også kan drives uden cookies. Dette tilfælde vil blive undersøgt næste gang. Det ville være ligegyldigt, hvis cookies kunne tilordnes et berettiget interesse. For § 25 TTDSG, der regulerer tilladelsen af cookies, kender man ikke det berettigede interesse! TTDSG er i dette punkt en særlig lov til GDPR og har fortrinsret overfor GDPR vedr. cookies. Ifølge TTDSG spiller det også ingen rolle, om der i cookies står værdier, som er personbevægende eller ikke.
Når Google Analytics i stedet for traditionelle cookies bruger den såkaldte HTML5 Local Storage, er lovgrensningen identisk. Det betyder, at også med denne såkaldte Opbevaring på nettet skal en samtykke fra brugeren indhentes.
Google Analytics med cookies eller weblagring kræver samtykke baseret på ePrivacy-direktivet
Standardkonfiguration af Google Analytics.
Google Analytics ohne Cookies
En af mine andre artikler beskriver konfigurationen af Google Analytics uden cookies. ([1])
Når Google Analytics er konfigureret på en måde, hvor der ikke bruges cookies, så har den følgende karakteristik:
- Ledelse af Client Id per bruger, der er unik for hver browser og enhed
- Brug af browserens fingeraftryk
- Analyse af klikveje
- Evaluering af brugernes opholdstid på sider
Det kunde ID_ bliver sendt til Googles servere hver gang der bliver registreret et tracking-event af det analyserende værktøj. Dog bliver det kunde ID, hvis ikke cookies bruges, ændret ved hvert opkald af en anden side på samme domæne (dvs. besøgende hjemmeside) til en anden værdi. Google Analytics genkender derfor ikke en bruger selv inden for samme session som gentagen, hvis brugeren åbner to sider på samme hjemmeside. Dette overrasker ikke, da overførslen af det kunde ID fra side 1 til side 2 ikke kan ske direkte uden cookies og højst (i hemmelighed) gennem ikke direkte eftervirkelige fingerprints.
Med hjælp af Client Id kan en bruger følges op. Client Id kan igen læses ud fra webstedet, der bruger Google Analytics. Koden til at læse ud Client Id lyder:
// Read the Client ID
// Execute the Code after the send command!
ga(function(tracker) {
console.log(tracker.get('clientId'));
});
Nu kan en hjemmeside for hver bruger gemme hans IP-adresse og tilhørende Client Id. At dette overhovedet er muligt, skyldes blot, at Google Analytics gør Client Id tilgængelig på hjemmesiden.
En dataskysselig variant af Google Analytics, der ikke findes på grund af eksistensen af Client Id, ville opbevare Client Id kodet på slutbrugeren's enhed og først dekodere det på Googles server og således i Google Analytics Dashboard. Dette ville forhindre, at man kunne følge med, hvilken bruger der er tilknyttet hvilke treff i Google Analytics Dashboard.
Da Google Universal Analytics den Client Id i klartekst tilgør, kan man senere eksportere eller spørge efter Google Analytics-data via en interface og derefter blende disse med egne brugeroplysninger. Det at opregne IP-adressen af brugeren er dog muligt uden at det kan bevises. Hvorimod ville det være beviseligt, hvis man overførte Client Id til en egen server. Dette kræver et JavaScript-opkald via AJAX. Alternativt kunne man ved opkald af en følge-side overdrage Client Id som parameter, hvilket også ville være beviseligt. Desuden ville den negative side ved dette forfølgende at være, at der ikke kunne ske et tracking, hvis hele hjemmesiden blev forladt.
Hvis den Client Id overdrages til egen server, altså serveren af netstedet, der lige er blevet besøgt, så er en samtykningspligt givet.
Hvis den Client Id kun sendes til det Google Analytics konto og ikke andre steder, er der ingen direkte samtykningspligt ifølge Artikel 6 GDPR. Men hvis man skal følge Artikel 12 GDPR, skal der være en åbenlys information omkring databehandling. Google-koncernens privatpolitiske oplysninger er det modsatte af åbenlys.
Hvis man dog ser efter hjælpen fra Google , kan man på dette sted læse, at en efterfølgelse af enkelte brugere ved hjælp af Client Id over en længere periode og over flere kontaktstof (Touch Points) kan finde sted. Alene dette synes jeg er efterspurgelig. Dette gælder også, hvis kun med Google Analytics 360 (GA 360, tidligere GA Premium) en dybgehende brugeranalyse er mulig, men GA 360 ikke aktivt anvendes. GA 360 tillader direkte adgang til Rohdata (ved GA360 betaler man i virkeligheden vel for muligheden af Rohdatenexport og udværdeling af disse data). ([1])
Der samtybestempling gælder også, hvis man skal dykke ned i Trickkisten, for at udføre en såkaldt Clickstream Analyse med Google Analytics (vedrørende den Google Tag Manager) . Jeg sparer linket til artiklen, der viser hvordan det kan gøres, for ikke at misforstå nogen. I korthed, tegner man op, hvordan Google Analytics registrerer data. Senere sammenligner man metadata med tracking-dataene, for at udvikle meget detaljerede hits, som kan tildeles hver enkelt bruger.
Opdatering fra d. 30.04.2021: Der findes en officielt skriftlig erklæring fra Google selv, ifølge hvilken alle (!) Google Analytics data i USA bliver gemt og udvundet. Ifølge dette finder der således altid en overførsel af data til USA sted, hvorpå spørgsmålet fra Artikel 44 GDPR opstår.
Google Analytics gemmer altid alle data (mindst) i USA
Med mine ord gengivet erklæring fra Google selv, pr. 30/04/2021.
Før Google Analytics-dataene ender i USA, indsamles de normalt af såkaldte indsamlere i den geografiske nærhed af den besøgende på et websted og sendes muligvis til destinationen via mellemstationer. Det betyder, at data potentielt behandles i hele verden.
Opbevaring af klient-id'et
Bliver Google Analytics kørt uden cookies, bliver Client Id ikke gemt på brugerens enhed, men eksisterer kun i hukommelsen som en midlertidig information.
Klient Id'et bliver ved drift uden cookies "slet og ret" gemt på Googles servere, hvilket stadig er meget dårligt (se ovenover). Herunder et billedbeskrivelse af hvad den person ser, når de binder Google Analytics til deres hjemmeside og senere udvinder data fra Google Analytics Dashboard:
Det ville være muligt for Google at ikke gøre denne Client Id tilgængelig og dermed være mere data-sikkerhedsvenlig. Det ønskede Google ikke, ønskede altså ikke at være data-sikkerhedsvenlig.
Følgende skærmbillede viser, hvad du kan gøre med Google Analytics-data:
Dataene er ikke tilgængelige via Googles standardmidler, men kan fås uden yderligere Google-produkter. Som billedet viser, kan selv Nøgleord udleses, der blev brugt ved søgningen efter den netsted, der lige nu er åbnet. Hver enkelt bruger får også sin egen identifikator tildeilt. Således kan brugere følges over flere kanaler. Det går endda let med en egen kopi af Google Analytics Scripts, hvilket dog hurtigt opfanger, hvis nogen med teknisk og dataskyddskendskab tænker nærmere på det. En Google-dokumentation viser , hvordan mange data per bruger-interaktion med Google Analytics bliver optaget. Der er så mange, at man kun kan automatisk regne dem op. Det er 257 attributter pr. hit (sidst opdateret: 26.07.2021). Denne optagelse finder altid sted, men er kun tilgængelig i Google Analytics 360.
Her et positivt eksempel med Piwik, hvor man ser, at det ikke er nødvendigt at føre samme Client Id i browseren på besøgende hjemmeside og på serveren, hvor analyse-resultaterne gemmes:
Matomo gemmer denne besøgende med følgende dataoverførsel, som finder sted i browseren:
action_name=&idsite=1&rec=1&r=477433&h=13&m=29&s=28&url=https://xyz.de/&_id=&_idts=16149xx369&_idvc=1&_idn=1&_refts=0&_viewts=16149xx369&send_image=0&res=1920x1080>_ms=236&pv_id=bxxyyP
Som man kan se ved at sammenligne disse parametre med det foregående skærmbillede, er der ingen besøgende ID 67f37f3a2aa98b84 synlig. Ikke engang i en sessions-Cookie fra Matomo bliver denne ID gemt, men værdien 8xx1f5bec073xxffe61862b70312xxe0.
En tilknytning af en bruger i browseren til en besøger i Matomos resultat er derfor ikke mulig og meget mere data-sikkerhedsvænlig end Google Analytics.
Der er desuden værktøjer, der helt uden Client Id kan fungere. Da jeg her ikke ønsker at reklamere for kommercielle leverandører, vil jeg gerne nævne den leverandør, jeg kender, hvis du spørger efter det.
DPA med Google?
Da i en konfiguration uden cookies og uden at dele analyser til tredje part, skulle et DPA med Google være blevet lukket, skylder først og fremmest webstedets ansvarlige. Et DPA er en aftale om udarbejdelse af data. En sådan kan dog kun blive indgået med Google, hvis Google ikke bruger de data, der er samlet ved hjælp af Google Analytics, til egne formål.
Dataoverførsel til tredjeparter
I Nutidens brugsvilkår for Google Analytics er under punkt 6 opført, at Google kan overdrage data til tredje part, for at kunne tilby servicen. Dette er i sig selv tilladt, hvis de tredje parter kan garantere et beskyttelsesniveau, der svarer til GDPR. Her står spørgsmålet, hvem disse tredje parter er. Lader os for enhver tid overlade denne punkt uden videre.
Dataadgang fra usikre tredjelande
I det første afsnit af ovennævnte brugsvilkår nævnes Google LLC: „Disse brugsvilkår for Google Analytics … gælder mellem Google LLC og dig …"). Google LLC har hovedsæde i USA.
En yderligere indikation på, at en Google Analytics-kunde faktisk indgår sin kontrakt med Google LLC, USA, og ikke med Google Ireland Limited, Irland. Google sender af og til e-mails til Analytics-kunder. Jeg har modtaget en sådan e-mail:
Nederst i e-mailen står der følgende:
Det skal bemærkes, at jeg er registreret med Analytics hos en virksomhed med base i Tyskland. Google beder udtrykkeligt om disse oplysninger for at kunne vise betingelser, der gælder for Europa.
Jeg betragter den førnævnte e-mail og oplysningerne i aftalen med Google ved indgåelse af en Analytics-konto som bevis for, at aftalepartneren er Google LLC, USA. Hvis du klikker på afmeldingslinket i den førnævnte e-mail, vises en hjemmeside, hvor Google LLC, USA, igen er nævnt som operatør af hjemmesiden.
Den centrale kontraktpartner for tyske Google Analytics-kunder er Google LLC, USA
Beviselig kendsgerning.
De Forenede Stater er et usikker tredjestat, hvor der ikke kan gives garantier for, at GDPR overholdes. GDPR modgår det FISA Lov (Lov om udlandsk efterretningsværk) samt den Cloud Act. Standardaftalebestemmelser er for De Forenede Stater således Bullshit.
Google Analytics uden cookies kræver samtykke på grund af dataoverførsel til usikre tredjelande
Derudover er der sandsynligvis en forpligtelse til at indhente samtykke på grund af uigennemsigtige oplysninger fra Google.
Brug dit eget klient-id
Det er muligt at bruge en egen Client Id i stedet for den, der er blevet givet af Google. Det kan være særlig praktisk, hvis man har flere Google Analytics konti til at håndtere.
ga('create', 'UA-XXXXX-Y', {
'opbevaring': 'ingen',
'clientId': '12a24efd-ec42-492a-92df-c62cfd4540a3'
});
Der viste kildekode overdrager til Google Analytics en egen Client Id, som først er blevet oprettet af hjemmesiden eller igen har været givet til en gentagende bruger. Desuden bliver cookies deaktiveret. Med cookies ville faldet være identisk med ovenstående beskrivelse.
Brugen af en egen Client Id fører direkte til et samtykningskrav efter Artikel 5 § 1 c GDPR eller Artikel 25 GDPR, de krav om Minimering af data og privacy durch Technikgestaltung.
Google Analytics med sit eget klient-ID er underlagt kravet om samtykke i henhold til art. 5, stk. 1, litra c i GDPR, art. 25 i GDPR.
Derudover kan der være yderligere juridiske krav.
Eget bruger-ID til Google Analytics
Ist en stedet for en Client Id kan en hjemmeside bruge sin egen User ID. Forskellene mellem Client Id og User ID er:
- Klient Id_ er pseudonymiseret og begrænset til en browser på et enhed. Den bruger ID kan arbejde over flere enheder og identificere brugeren personligt.
- Klient Id_ er standarden for Google Analytics analyseringer. Brugerens ID skal være aktiveret til at kunne gøre analyseringer.
- Klient Id'et gives automatiskvis. Brugeren ID skal udstedes og administreres af Google Analytics-kunden.
Den følgende kode viser overdrivelsen af en egen User ID til Google Analytics.
ga('create', 'UA-XXXXX-Y', 'auto', {
userId: USER_ID
});
ga('send', 'pageview');
Inden for det, at User ID overdrages til Google Analytics, skal den selvfølgelig selv være blevet oprettet.
Den User ID kan i hemmelighed knyttes til en IP-adresse. Derudover kan det antages, at den User ID sammenlignes med brugerens data, der er blevet indsamlet på andre måder.
Derfor er en samtykke påkrævet ved at føre sin egen User ID for Google Analytics.
Google Analytics med sit eget bruger-ID er underlagt samtykke på grundlag af artikel 5, stk. 1, litra c), i GDPR eller artikel 5, stk. 3, i ePrivacy-direktivet, afhængigt af designet
Bruger-ID'et kan administreres på forskellige måder. Vurderingen skal foretages afhængigt af dette.
Sammenfatning
Følgende tabel viser vurderingen af samtykningspligt ved forskellige Google Analytics konfigurationer:
| Google Analytics-konfiguration | Vurdering |
|---|---|
| Med cookies | Samtykningspligtig efter Art. 5 (3) ePrivacy directive |
| Uden cookies, med klient-id, ingen personlig brug af klient-id'et | Samtykningspligtig efter Art. 44ff GDPR eller Art. 5 Abs. 1b or c GDPR eller Art. 25 GDPR |
| Uden cookies, med klient-id, egen brug af klient-id | Samtykningspligtig efter Art. 5 § 1 b eller c GDPR eller Art. 25 GDPR |
| Uden cookies, med eget klient-id | Samtykningspligtig efter Art. 6 GDPR eller Art. 5 Abs. 1 c GDPR eller Art. 25 GDPR |
| Uden cookies, med bruger-ID | Samtykningspligtig efter Artikel 5 (3) ePrivacy Directive eller Artikel 5, stk. 1 c GDPR eller Artikel 25 GDPR (afhængigt af implementeringen af brugerens ID) |
For alle disse scenarier gælder ifølge Art. 44ff GDPR en samtykningspligt, fordi leverandøren af tjenesten Google LLC har hjemsted i USA og er virksom på verdensplan samt overdrager data til tredje part.
Det gælder også for disse scenarier, at der sandsynligvis er tale om en samtykningspligt på grund af Art. 12 GDPR. Artiklen siger, at der skal ske en transparent information til brugeren. Art. 5 § 1 b GDPR kræver desuden tydelige og fastlagte formål. Kan du forklare mig Google's privatpolitiske og brugerbetingelser? Kan du fortælle mig, hvem eller hvad der menes med "Google"? Til sidst er jeg nået frem til, at "Google" i forhold til Google's privatpolitik for EWR (Europæisk Økonomisk Samarbejdsområde) svarer til det Google-koncern, altså Google Irland, Google USA samt de over hundrede underleverandører.
Til alt er det vigtige at være opmærksom på, at ikke bruge Opt-Out Cookies. I stedet må Google Analytics Script ikke længere lastes ned, når brugeren har trukket sin samtykke tilbage.
Den, der vægter høj rettighedssikkerhed, bør bruge et andet analyseværktøj. Eksempelvis kan Piwik (Matomo) i lokal installation konfigureres sådan, at en samtykke ikke er påkrævet. Også WP Statistics til WordPress-websteder gør en god job.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.