За останні місяці Google Analytics значно еволюціонував і зараз перейшов до Google Analytics 4. Питання полягає в тому, чи потрібна згода для версії 2023 року і чому. Відповідь залежить від конфігурації інструменту, якщо передача даних до США та умови використання Google не розглядаються як проблема.
Цей статтю досліджує переважно Google Universal Analytics. Ця форма Google Analytics була найбільш поширеною до недавнього часу. Різниці між Google Analytics 4 з точки зору захисту даних можна майже не звертати увагу. Крім того, існують так звані Google Analytics 4 Properties. У цьому випадку мова йде про Властивості із характеристиками, які раніше могли використовувати для попереднього облікового запису Google Universal Analytics. Паралельне використання GA4 Properties та GA Properties було можливим.
Декілька слів про умови використання GA4
В умовах використання Google в розділі «7. Приватність» стверджується:
Ви не передаватимете Google жодної інформації, яку Google може використовувати або розпізнати як особисту інформацію, а також не дозволятимете і не допомагатимете третім особам робити це"
Це означає, що використання Google Analytics у його стандартній формі неможливе, оскільки IP-адреса – це вже персональні дані, які завжди передаються в Google, якщо GA інтегрований стандартно. Або Google не має жодного уявлення про захист даних, або свідомо перекладає всю відповідальність за передачу даних на контролера, який використовує GA.
Google Analytics з файлами cookie (стандартна конфігурація)
У стандартній конфігурації має такий вигляд: Google Analytics:
- Використання Перших партійних cookie'ів
- Передача значень з файлів cookie на сервери Google
- Використання Client Id для кожного користувача, який є унікальним для кожного браузера та пристрою
- Користування слідами браузера, зокрема шляхом вивчення вікна перегляду. Саме тому Google Analytics у будь-якій конфігурації є обов'язковим для згоди
- Аналіз шляхів кліків
- Оцінка часу перебування користувачів на окремих сторінках
Внаслідок використання файлів cookie та підтверджених даних, які передаються через Google Analytics із файлів cookie на сервери Google обов'язковим є отримання згоди користувача. Це можна виразити логічно за допомогою статті 5 (3) директиви про захист даних, яка згідно з рішенням Верховного суду Німеччини від 28 травня 2020 року (I ZR 7/16) застосовується до файлів cookie в Німеччині та відповідно до директиви слід інтерпретувати згідно зі статтею 15 § 3 TMG. ([1])
Клієнтський ідентифікатор називається клієнтським ідентифікатором, проте цим поняттям передбачається ідентифікація користувача (= клієнта).
Є намір, щоб ідентифікація відбувалася завжди на клієнті (тобто кінцевому приставці користувача, якщо вважати кінцевий пристрій клієнтом). При робота на основі файлів cookie від Google Analytics клієнтська ідентифікація зберігається на кінцевій приставці користувача. При cookielosem Betrieb клієнтська ідентифікація не зберігається на кінцевій приставці користувача – зберігання інформації в кінцевій приставці користувача відбувається без cookies (станом на 05.03.2021)!
Підтвердження доступу до файлів cookie Google Analytics
Що стосується доступу до файлів cookie за допомогою Google Analytics, це можна доказати наступним чином:
Cookies, створені Google Analytics, при зверненні до випадково вибраної вебсторінки такі:
Що ці файли cookie були створені Google Analytics, можна також підтвердити. Я збережу це тут. Кожен технічний фахівець зможе зробити це самостійно.
Що стосується того, що Google Analytics звертається до цих файлів cookie, можна це підтвердити, розглянувши трекінг-відбивку, яку встановлює Google Analytics Script:
https://www.google-analytics.com/j/collect?v=1&_v=j87&aip=1&cid=1111111162.1612337222&_gid=4444463630.1612555025
Власне виклик ще довший. Він був скорочений з метою захисту даних та для кращої чіткості. Як можна побачити, в параметрах cid і gid передані збережені у cookie значення. Отже, здійснено безумовно доступ до cookie, тобто доступ до інформації, збереженої на кінцевому пристрої користувача. Цей доказ не піддається сумнівам, оскільки він завжди можна відновити (станом на 10 лютого 2021 року).
Файли cookie не є законним інтересом
Що стосується того, що тут не можуть захиститися куки за допомогою правомірного інтересу, можна зробити висновок лише з того факту, що Google Analytics може працювати навіть без куки. Це випадок буде розглянутий далі. Крім того, навіть якщо куки були б пов'язані із правомірним інтересом, було б нічого змінити. За § 25 TTDSG, який регулює обов’язковість згоди на використання куки, немає місця для правомірного інтересу! TTDSG є спеціальним законодавством щодо GDPR і має перевагу над GDPR щодо використання куки. За TTDSG не має значення, чи містять куки дані, які стосуються особи, чи ні. TTDSG майже дослівно реалізує директиву про приватність ЄС для Німеччини.
Якщо Google Analytics замість звичайних файлів cookie використовує так звану HTML5 Local Storage, правова підстава ідентична. Це означає, що навіть з цієї так званої Веб-сховище необхідно отримати згоду від користувача.
Google Analytics з файлами cookie або веб-сховищем вимагає згоди на основі Директиви про конфіденційність ePrivacy
Стандартна конфігурація Google Analytics.
Google Analytics ohne Cookies
Один з моїх інших статей описує конфігурацію Google Analytics без cookies . ([1])
Якщо Google Analytics так налаштований, щоб не використовувалися файли cookie, характеристика така:
- Використання Client Id для кожного користувача, який є унікальним для кожного браузера та пристрою
- Використання відбитка пальця браузера
- Аналіз шляхів кліків
- Оцінка часу перебування користувачів на сторінках
Клієнтський ідентифікатор_ відправляється на сервери Google при кожному трекінговому події у інструменті аналітики. Однак, коли не використовуються файли cookie, клієнтський ідентифікатор змінюється після кожного звернення до іншої сторінки однієї домені (тобто відвідуваної вебсторінки). Google Analytics не розпізнає користувача навіть протягом однієї сесії як повторного відвідувача, якщо користувач відкриває дві сторінки однієї вебсторінки. Це не дивує, адже передача клієнтського ідентифікатора від сторінки 1 до сторінки 2 відбувається безпосередньо неможливо і може відбутися лише шляхом (немовно) непідвизначуваного фінгерпринтинга.
З допомогою Client Id можна відслідковувати користувача. Client Id знову ж таки може бути отриманий з вебсайту, який використовує Google Analytics. Код для отримання Client Id виглядає наступним чином:
// Read the Client ID
// Execute the Code after the send command!
ga(function(tracker) {
console.log(tracker.get('clientId'));
});
Нині можна створити вебсторінку для кожного користувача його IP-адресу, зберігати яку можна разом із відповідною йому Client Id. Що саме робить це можливим, полягає у тому що Google Analytics надає доступ до Client Id сторінки.
Є варіант Google Analytics, який ставить на захист дані користувача, але існування Client Id робить його неможливим. Такий варіант зберігав би Client Id зашифровано на кінцевому пристрої користувача та лише потім розшифровував би його на сервері Google та в діагностичному панелі Google Analytics.
Google Universal Analytics_ відкриває Client Id у відкритому вигляді, тому пізніше можна експортувати дані Google Analytics, або запитувати їх через інтерфейс і змішати їх із власними записами щодо користувачів. Зареєрування IP-адреси користувача можливе таємно, без можливості його підтвердження. Що ж стосується підтвердження передачі даних Client Id на власний сервер, то це вже підтвердимо. Для цього потрібен виклик JavaScript за допомогою AJAX. Альтернативою цьому є передача Client Id як параметра при зверненні до наступної сторінки, що теж підтвердимо. Крім того, недоліком цієї дії буде те, що трекінг не відбувся, якщо користувач залишить вебсторінку.
Якщо клієнтський ідентифікатор передається власному серверу, тобто серверу відвідуваної вебсторінки, то обов'язкова згода надається.
Якщо клієнтський ідентифікатор відправляється лише до облікового запису Google Analytics і нікуди більше, то обов'язок щодо згоди згідно з ст. 6 ДЗВП не надається прямо. Однак згідно з ст. 12 ДЗВП повинна відбуватися прозорість інформації про обробку даних. Інформація про захист даних компанії Google є протилежністю прозорості.
Якщо людина звертається до допомоги Google, вона може прочитати там, що слідування окремим користувачам за допомогою Client Id протягом тривалого періоду та через декілька точок контакту (Touch Points) можливо. Власне це здається обов'язковою згодою. Це стосується також тієї ситуації, коли лише з допомогою Google Analytics 360 (GA 360, раніше GA Premium) можливий глибокий аналіз користувачів, але навіть тоді, коли GA 360 не використовується. GA 360 дозволяє безпосередньо отримувати доступ до первинних даних (у випадку з GA360 людина платить головним чином за можливість експортування та обробки цих даних). ([1])
А також діє зобов'язання щодо згоди, коли треба глибоко вглибітися у сховку для проведення так званої Clickstream Analyse з допомогою Google Analytics (приблизно через Google Tag Manager) . Зміст статті, який показує як це робиться, я залишив собі на зберігання, щоб ніхто не був підлий. У загальних рисах, людина записує, як Google Analytics зберігає дані. Пізніше вона порівнює метадані з трекінг-датами, щоб зробити дуже дрібні хіти, які можуть бути призначені окремим користувачам.
Оновлення від 30.04.2021: З боку Google наявна офіційна письмова заява, згідно якої всі (!) дані Google Analytics зберігаються та обробляються в США. Відповідно до цього завжди відбувається передача даних у США, що призводить до виникнення питання за ч. 44 ДЗВ . ([1])
Google Analytics завжди зберігає всі дані (як мінімум) у США
Своїми словами відтворюю заяву від самого Google, станом на 30/04/2021.
Перш ніж дані Google Analytics потрапляють до США, вони зазвичай збираються так званими колекторами в географічній близькості від відвідувача веб-сайту і, можливо, надсилаються до місця призначення через проміжні станції. Це означає, що дані потенційно обробляються по всьому світу.
Зберігання ідентифікатора клієнта
Використовуючи Google Analytics без cookies, ідентифікатор клієнта (Client Id) не зберігається на пристрої користувача, а існує лише в основній пам'яті як тимчасова інформація.
Клієнтський ідентифікатор зберігається на серверах Google навіть без використання файлів cookie, що вже досить погано (дивіться вище). Для ілюстрації того, чого бачить людина, яка включає Google Analytics у своїй вебсторінці та пізніше вивчає зібрані дані у панелі керування Google Analytics:
Було б можливим для Google зробити цю Client Id недоступною і таким чином бути більш відповідальними щодо захисту даних. Але Google цього не зробило, тому відмовився від відповідальної політики щодо захисту даних.
На наступному скріншоті показано, що можна зробити з даними Google Analytics:
Дані не доступні за допомогою стандартних засобів Google, але можуть бути отримані без додаткових продуктів Google. Як показано на малюнку, навіть Ключові слова можна вивчити, які використовувалися під час пошуку цієї саме запущеної вебсторінки. Також кожному індивідуальному користувачеві присвоюється свій власний ідентифікатор. Таким чином користувачі можуть бути сліджені через декілька каналів. Це навіть досить просто зробити за допомогою власної копії Google Analytics Scripts, що, однак, швидко помітиться, якщо хто-небудь із технічним і розумінням щодо захисту даних бачить далі. Документація Google показує, скільки даних про користувачів взаємодіяв з Google Analytics записується. Так багато, що їх можна лише автоматизовано рахувати. Це 257 атрибутів на хіт (станом на 26 липня 2021 року). Ця реєстрація відбувається завжди і доступна тільки в Google Analytics 360.
Інше позитивне приклад із Матома, де можна побачити, що проведення однієї Client Id в браузері відвідуваної сторінки та на сервері, де зберігаються результати аналізу, явно не потрібне:
Matomo зберігає цього відвідувача з наступною передачею даних, яка відбувається в браузері:
action_name=&idsite=1&rec=1&r=477433&h=13&m=29&s=28&url=https://xyz.de/&_id=&_idts=16149xx369&_idvc=1&_idn=1&_refts=0&_viewts=16149xx369&send_image=0&res=1920x1080>_ms=236&pv_id=bxxyyP
Як можна побачити порівнюючи ці параметри зі попереднім скріншотом, ніде там не видно ідентифікатора відвідувача 67f37f3a2aa98b84. навіть у сесійному кукі Matomo ця ID не зберігається, а значення 8xx1f5bec073xxffe61862b70312xxe0.
Перехід користувача в браузері з відвідувачем у результаті Matomo не можливий, тому він набагато більш відповідний законодавству про захист даних ніж Google Analytics.
Є ще інструменти, які зовсім без Client Id справляються. Поки я тут не бажаю робити рекламу комерційних пропозицій, називаю мені відомого постачальника на запитання.
DPA з Google?
У випадку відсутності cookie в конфігурації та без передачі даних аналітики третім особам, якщо необхідно було б підписати DPA з Google, тоді головним відповідачем буде власник вебсторінки. DPA – це договір про обробку замовлень. Такий договір можна підписувати лише з Google, якщо Google не використовує дані, отримані за допомогою Google Analytics, для своїх цілей.
Передача даних третім особам
У умовах використання Google Analytics за пунктом 6 вказується, що Google може передавати дані третім особам для надання послуги. Це у собі допустиме, якщо ці особи можуть забезпечити рівень захисту згідно з GDPR. Тут виникає питання, хто такі ці особи. Ласкаючи цей пункт залишимо його без уваги. ([1])
Доступ до даних з небезпечних третіх країн
У першому абзаці згаданих умов використання вказується: «Ці умови використання для Google Analytics… застосовуються між Google LLC і Вами…». Google LLC має свій офіційний адрес у США.
Ще одна ознака того, що клієнт Google Analytics насправді укладає свій контракт з Google LLC, США, а не з Google Ireland Limited, Ірландія. Google час від часу надсилає електронні листи клієнтам Analytics. Я отримав одного з таких листів:
Нижній колонтитул листа виглядає наступним чином:
Слід зазначити, що я зареєстрований в Analytics у компанії, що базується в Німеччині. Google прямо запитує цю інформацію, щоб показати умови, які застосовуються в Європі.
Я вважаю вищезгаданий електронний лист та інформацію в угоді з Google при укладанні облікового запису Analytics доказом того, що договірним партнером є Google LLC, США. Якщо ви натиснете на посилання для відмови від підписки у вищезгаданому електронному листі, з'явиться веб-сайт, на якому Google LLC, США, знову зазначений як оператор веб-сайту.
Центральним договірним партнером для німецьких клієнтів Google Analytics є Google LLC, США
Доказовий факт.
США є нестабільним третім країною, для якої не можна забезпечити гарантії щодо дотримання ДЗК. ДЗК протистоїть FISA Act (закон про зовнішню розвідку) та Cloud Act. Стандартні умовні клаузули для США є брехнею.
Google Analytics без файлів cookie вимагає згоди через передачу даних до незахищених третіх країн
Крім того, ймовірно, існує обов'язок отримувати згоду через непрозорість інформації, наданої Google.
Використовуйте власний ідентифікатор клієнта
Є можливість замість виділеного Google клієнтського ідентифікатора використовувати власний. Це особливо актуально при використанні декілька облікових записів Google Analytics.
ga('create', 'UA-XXXXX-Y', {
'storage': 'none',
'clientId': '12a24efd-ec42-492a-92df-c62cfd4540a3'
});
Виведений код передає власний Google Analytics ідентифікатор клієнта, який раніше був створений або знову виданий для повторного користувача. Крім того, відключені куки. Якщо б були куки, ситуація була б ідентична до вищезгаданої.
Використання власного Client Id призводить безпосередньо до необхідності згоди згідно з статті 5 п. "с" РГДП або Статті 25 РГДП, вимогам мінімалізації даних та даних захисту шляхом технічної розробки.
Google Analytics з власним ідентифікатором клієнта підлягає вимозі згоди відповідно до ст. 5 (1) c GDPR, ст. 25 GDPR.
Крім того, можуть виникнути подальші юридичні претензії.
Власний ідентифікатор користувача для Google Analytics
Натомість від Client Id, вебсайт може використовувати власну User ID. Різниці між Client Id та User ID такі:
- Клієнтський ідентифікатор (Client Id) є псевдонімом та обмежений певному браузеру на одному кінцевому пристрої. Ідентифікатор користувача (User ID) може працювати між пристроями та ідентифікувати користувача особисто.
- Клієнтський ідентифікатор (Client Id) є стандартом для аналітичних звітів Google Analytics. Ідентифікація користувача повинна бути звільнена для проведення аналізу.
- Клієнтський ідентифікатор видається автоматично. Ідентифікаційний номер користувача повинен бути призначений і керований клієнтом Google Analytics.
Нижче наведений код демонструє передачу власної User ID до Google Analytics.
ga('create', 'UA-XXXXX-Y', 'auto', {
userId: USER_ID
});
ga('send', 'pageview');
Перед тим як User ID буде передано в Google Analytics, вона природно повинна бути самостійною створеною.
Узер ID_ можна приховано поєднати з IP-адресою. Крім того, можна припустити, що Узер ID порівнюється із даними користувача, які були отримані або будуть отримані іншими засобами.
Демнаго необхідна згода на використання власної ID користувача для Google Analytics.
Google Analytics з власним ідентифікатором користувача потребує згоди на підставі ст. 5 (1) c GDPR або ст. 5 (3) ePrivacy Directive, залежно від дизайну
Ідентифікатором користувача можна керувати різними способами. Залежно від цього слід проводити оцінку.
Об'єднана підсумкова інформація
Нижче наведено таблиця, яка показує оцінку щодо обов'язковості згоди при різних конфігураціях Google Analytics:
| Налаштування Google Analytics | Оцінка |
|---|---|
| З використанням файлів cookie | Зобов'язання щодо згоди згідно зі Art. 5 (3) ePrivacy directive |
| Без файлів cookie, з ідентифікатором клієнта, без особистого використання ідентифікатора клієнта | Зобов'язання щодо згоди згідно зі Art. 44ff GDPR or Art. 5 Abs. 1b or c GDPR або Art. 25 GDPR |
| Без файлів cookie, з ідентифікатором клієнта, власне використання ідентифікатора клієнта | Зобов'язання щодо згоди згідно зі статтею 5, абз. 1 б або ц ДSGVO або статтею 25 ДSGVO |
| Без файлів cookie, з власним ідентифікатором клієнта | Зобов'язання щодо згоди згідно зі Art. 6 GDPR or Art. 5 Abs. 1 c GDPR або Art. 25 GDPR |
| Без файлів cookie, з ідентифікатором користувача | Зобов'язання щодо згоди відповідно до Пункту 5 (3) директиви про приватність електронної пошти або Пункт 5, абз. 1 c GDPR або Пункт 25 GDPR (залежно від реалізації ідентифікатора користувача) |
Для всіх цих сценаріїв згідно ст. 44ff ДЗП діє обов'язок згоди, бо провайдер послуг Google LLC знаходиться в США та працює на світовому рівні, а також передає дані третім особам.
Для всіх цих сценаріїв далі діє ймовірність обов'язку щодо згоди згідно з Ст. 12 GDPR. Цей стаття говорить про те, що користувачеві повинна бути надана прозора інформація. Art. 5 Abs. 1 b GDPR вимагає чітких та встановлених цілей. Чи можете ви пояснити мені умови використання даних та умов використання Google? Чи можете ви розповісти мені, хто або що розуміється під «Google»? На останнє питання мені вже стало відомо, що згідно з правилами захисту даних ЄС «Google» у сенсі Google-оголошення про захист даних відноситься до всього концерну Google, тобто Google Ірландія, Google США та понад сто підконтрольних виконавців.
При всьому звертайте увагу на те, щоб не використовувати Opt-Out Cookies. Замість цього не завантажувати Google Analytics Script, коли користувач відкликає своє згоду.
Хтось, хто ставить на перше місце правову безпеку, повинен використовувати інше аналітичне засобо. Наприклад, Матома у локальній установці можна налаштувати так, щоб згоди не було потрібно. Також WP Statistics для вебсайтів WordPress робить добрий роботу.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.