Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Google Analytics grundläggande principer för GDPR

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Google Analytics är ett spårningsverktyg, som fortfarande uppskattas mycket. Verktyget är knappt hanterbart enligt dataskyddslagen, eftersom det inte är känt om och hur Google själva använder de data som samlats in från en webbplats med _Analytics.

Komplexiteten hos Google Analytics överstiger förmågan hos nästan alla ansvariga och orsakar i sig själv flertalet dataskyddsbrott.

Min tes.

För Google Analytics finns det olika versioner:

  • Google Analytics 4 [1]
  • Global Site Tag för Google Analytics 4
  • Google Universal Analytics, härav avses de utläggningar i detta dokument, såvida inte annat anges
  • Global Site Tag för Google Universal Analytics
  • Legacy Analytics
  • Urchin Analytics
  • Google Tag Manager som container för ovanstående stå-alone Analytics-uttryck

Behövs samtycke för Google Analytics?

För den nuvarande standardutförandet av Google (Universal) Analytics, som använder första partscookies, krävs enligt § 25 TTDSG ensam redan en samtycke för rättsligt korrekt användning. Även på grund av att datatransfer alltid sker till USA krävs ett samtycke.

Beroende på utformning och konfiguration registrerar Google Analytics mer eller mindre data från användare, alltid många dock. Vissa konfigurationer, som till exempel dataöverföring för Google-produkter & -tjänster, är villkorspåliggande. Andra konfigurationer är inte helt enkla att behandla, så länge man tror att Google inte använder data från andra för sina egna ändamål. Precis detta intryck uppstår dock när man läser avtalsdokumenten (som dataskyddspolicy, användningsvillkor etc.) från Google.

Google lagrar för varje användare – för att minska anonymiteten hos användarna – en unik identifiering för dimensionerna Browser och Endgerät, som i Google Analytics kallas Klientid. Med hjälp av denna kan en person inte direkt identifieras. Dock kan man lätt spara IP-adressen till användaren tillsammans med Client ID på sin egen server och hålla den tillgänglig. Vid behov exporterar man med praktiska exportfunktion i Google Analytics Client IDs och jämför dem enkelt med de självuppmätta IP-adresserna. Så lyckas även De-Duplikation av användare.

Google Analytics är ett spårningsverktyg, som fortfarande uppskattas av många. Verktyget är knappt hanterbart enligt dataskyddslagen, eftersom det inte är känt om och hur Google själva använder de data som samlats in från en webbplats med Analytics. I den cookiefria varianten och med en maximalt dataskyddsanpassad konfiguration kunde Google Analytics – utan Client ID och utan det där konstiga känslan att Google själva utnyttjar de data som samlats in av andra – fungera utan samtycke (om inte serverplatsen också skulle vara ett problem). Men då uppstår frågan, vilken fördel detta verktyg har jämfört med andra verktyg som är tydligt lagliga och kräver mindre säkerhetsåtgärder. I cookiefri variant och med GDPR-anpassad konfiguration visar Google Analytics i dashboardet för två direkt efter varandra följande nyaufring av en sida två användare. Andra verktyg kan det bättre, utan att väcka dataskyddskrav. Detta är i stort sett utan synbar nytta för de flesta webbplatsägare[4], kanske dock för Google.

Förut använde Google Analytics Third-Party Cookies och betraktades därför som en åtgärd som krävde samtycke. Nu använder Google Analytics First-Party Cookies, men använder dessa på exakt samma sätt som tidigare cookies:

Third-Party CookiesFirst-Party Cookies
Spara användaridentifieringarSpara användaridentifieringar
Google Analytics har åtkomst via domänenGoogle Analytics hat Zugriff about JavaScript
Inbäddade webbplatsen har inget åtkomst till cookiesWebbplatsen som integrerar Google Analytics har tillgång till cookies
En webbplats som integrerar Google Analytics kan identifiera användare via JavaScriptEn webbplats som integrerat Google Analytics känner till användaridentifieringar via cookie-åtkomst
Google har via cookies och potentiellt via Googles servrar tillgång till data från andra Analytics-kontonGoogle har generellt tillgång till data från andra Analytics-konton
Google Analytics med tredjepartscookies (tidigare) och första-partscookies

Hur man ser är den webbplats som använder Google Analytics har tillgång till lika många uppgifter via First-Party Google Cookies som om de hade använt Third-Party Google Cookies. Även Google har potentiellt samma åtkomst – dock måste detta antas med tanke på Googles uttalanden (dataskyddsförordningen, användarvillkoren etc.) och förutsätter att Google Analytics körs i en konfiguration som är maximalt dataskyddsanpassad. Dock ligger det vid den ansvarige – webbplatsägaren som använder Google Analytics – att bevisa rättmätigheten av behandlingen.[2]

Min praktiska test visade att inställningarna för dataåtkomst i Google Analytics kunde utökas efterhand för redan insamlade användardata. Detta innebär att följande process är möjlig: 1. Webbplatsen använder Google Analytics. 2. Användaren besöker webbplatsen och data samlas in av Google Analytics. 3. Senare ändras inställningarna för dataåtkomst i Google Analytics så att fler data kan lämnas ut. 4. Nu kan även redan insamlade användardata lämnas ut enligt de nya inställningarna. Obs: Google Analytics är fortfarande ett populärt verktyg, men det är svårt att styra i dataskyddshänseende eftersom man inte vet om och hur Google använder de insamlade data:

  1. Google Analytics wird maximal GDPR-compliant konfiguriert
  2. Användardata samlas in med Google Analytics
  3. Datenåtkomsten för Google Analytics till andra Googeldienster utökas, exempelvis till Google-produkter & -tjänster (detta skapar enligt Googles anvisningar en Gemensam ansvarighet, tidigare var det ett DPA)
  4. De användardata som nämns i punkt 2 och samlats in före datadelning, används nu potentiellt på ett sätt som avviker från deras ursprungliga syfte
  5. Om man vill kan Google Analytics konfigureras ännu striktare med en musklick (från gemensam ansvarstagande till ett DPA)

Det helt nya Google Analytics 4 har följande Datenerhebungen voreingeställt [3]:

  • Sidvisningar
  • Filnedladdningar
  • Scrolls
  • Klick på externa länkar
  • Engagemang med videon

Denna standardinställning leder med största sannolikheten till att spårning som kräver samtycke.

LDA Bayern företräder den något otydliga offentliggörandet av att Google Analytics utan samtycke är otillåtet:

Oavsett om IP-adressen är förkortat eller inte, måste samtycke inhämtas.

Source: https://www.lda.bayern.de/de/faq.html

På min förfrågan till LDA Bayern angående detta svarade de snabbt och frågade om det vore bättre att formulera det mer detaljerat. Jag bekräftade detta och skulle glädjas om BayLDAs FAQ förbättrades därefter. Positivt är i alla fall den snabba återkopplingen samt myndighetens konstruktiva fråga!

I en undersökning upptäcktes att den osäkerhet som uppstår vid datainsamling genom aktiverad IP-anonymisering är betydande. För 81% av användarna kunde deras plats fastställas med lika hög precision även när anonymiseringen var aktiverad som när den var inaktiverad.

Enligt uppgifter från Google 6 överför Google de med Google Analytics inhämtade data till ett stort antal tredje part i flera länder, även till otrygga tredjeländer.

Vidare uppger av Google hur Google använder data från webbplatser eller appar som använder Googles verktyg (länkar från källan borttagna):

När du besöker en webbplats som använder reklamtjänster som AdSense eller analyseredskap som Google Analytics, eller innehåll från YouTube, skickar din webbläsare automatiskt vissa uppgifter till Google. Dessa uppgifter inkluderar URL för den besökta sidan och din IP-adress. Under vissa omständigheter sätter vi också cookies i din webbläsare eller läser de redan befintliga cookies. Även genom appar som använder Googles reklamtjänster överfördes data till Google, till exempel namnet på appen och en specifik identifierare för reklamändamål.

Vi använder de genom webbplatser och appar överförda uppgifterna för att tillhandahålla, hantera och förbättra våra befintliga tjänster, för att utveckla nya tjänster, mäta effektiviteten hos viss annonsering, för att skydda mot bedrägeri och missbruk samt för att personanpassa innehåll och annonser som du både ser på Google och på våra partnerwebbplatser och -appar.

Source: https://policies.google.com/technologies/partner-sites?hl=de

Google Analytics samlar bland annat data från följande källor om användare:

  • HTTP-förfrågan
  • Bläddrare- och systeminformationer
  • Cookies (inklusive DoubleClick Cookies)

Med "Google" avses i de tyska dataskyddsförordningarna från "Google" företaget "Google Ireland Limited" samt dess "sammansatta bolag". "Sammansatta bolag" betecknar enligt denna källa (fetstext läggts till av mig själv)

Ett företag som tillhör Google-koncernen, alltså Google LLC och dess dotterbolag, inklusive följande företag som erbjuder konsumenttjänster i EU: Google Ireland Limited, Google Commerce Ltd och Google Dialer Inc.

Source: https://policies.google.com/terms?hl=de&gl=de

Google LLC är ett företag med företagsort i USA. Detta innebär att laddningen av Google Analytics redan utgör en dataskyddskritisk händelse, eftersom data potentiellt kan skickas till ett amerikanskt företag eller till servrar i USA eller till tredje part. Update: Google har själva medgett att alla Analytics-data alltid hanteras i USA. ([1])

Förmedlingen av Google Analytics av Google som uppgiftshantering är inte möjlig, eftersom Google själva använder de data som samlats in med hjälp av Google Analytics av tredje parter (dvs andra webbplatser) och enligt sekretesspolicyen överför dessa till (många, potentiellt valfria eller sådana med osäkra datastandarder) tredje parter [7]8.

Utifrån följande skäl anser jag att användningen av Google Analytics kräver samtycke: (Författaren har valt att inte ändra på Google Analytics, även om det i övrigt skulle vara lämpligt att skriva "Google Analytics" med stora bokstäver.):

  • konfigurationen är uppenbarligen samtyckespliktiga eller
  • konfigurationen spårar oavsiktligt mer än avsett eller
  • datanivået tillåter potentiellt att spåra användare eller
  • datautlämnandet till andra Google-tjänster kan efteråt utvidgas för redan registrerade användare eller
  • Användarbeteenden kan potentiellt spåras med Measurement Protocol eller
  • Google kan antas använda data för egna ändamål eller
  • servern är placerad i ett osäkert tredjeland.

Anonymisering av IP-adresser vid spårningshändelse

När man laddar ner Google Analytics-skriptet skickas redan IP-adressen från användaren till en Google-server. Detta följer Internetprotokollet. Även vid spårningshändelser som verktyget skickar, överförs naturligtvis användarens nätverksadress.

Med IP-adressanonymisering för Google Maps menas att vid spårningshändelser som eventparameter inte överför användarens IP-adress (men dock via trafikdata från spårningshändelsen). Denna anonymisering bör absolut ske och är redan aktiverad i den nuvarande standardkonfigurationen av Analytics. Man kan verifiera detta genom att titta på källkoden för en sida som innehåller Google Analytics, där man borde se angivelsen anonymizeIp. Felaktigt är dock följande:

Här aktiveras anonymiseringen först efter att Google Analytics har startats med hjälp av kommandot send. Viktigt är att instruktionen anonymizeIp ska finnas innan kommandot send.

Google Analytics – Grundläggande information om GDPR Google Analytics är ett Tracking Tool, som fortfarande är mycket populärt. Verktyget är svårbestyrkt enligt dataskyddslagen, eftersom det inte är känt om och hur Google själva använder de data som samlats in från en webbplats med Analytics. Wurde das Tool about den Google Tag Manager or ähnliches eingebunden, sieht der Code anders aus. In dem Fall öffnet man im Firefox Browser (or in anderen Browsern) die Entwicklerkonsole mit der Taste F12 und öffnet den Karteireiter Netzwerkanalyse. Dann öffnet man die Website, auf der Google Analytics eingebunden is. Man sucht nun nach einem collect Aufruf about de Domäne google-analytics.com: Blev verktyget infogat via [5]Google Tag Manager[6] eller liknande, ser koden annorlunda ut. I så fall öppnar man i Firefox-webbläsaren (eller andra webbläsare) utvecklarfönstret med tangenten F12 och öppnar nätverksanalysens register. Därefter öppnar man den webbplats som har Google Analytics infogat. Man söker nu efter en collect-anrop över domänen google-analytics.com:

Anrop av Google Analytics med aktiverad anonymisering av IP-adressen

Parameteren aip=1 visar att anonymiseringen av IP-adressen är aktiverad.

Mätning av effektiviteten för Google Ads med Google Analytics

_Google Analytics kan användas för att mäta effektiviteten av annonser som körs på Googles plattformar. Vissa menar att detta (inklusive användningen av spårningscookies) är nödvändigt för vissa företag, eftersom de annars inte skulle kunna fungera ekonomiskt. Detta motbehovs dock:

  • I Google Användarvillkor för reklamprodukter är det uttryckligen nämnt att ingen personuppgift ska överföras till Google för reklamändamål3. Med Google Analytics menas då uttryckligen "online-märkningar (inklusive cookie-märkningar), internetprotokoll-adresser och enhetsmärkningar, som kunden har gett ut".
  • Google Ads kan också optimeras med andra Google-verktyg även utan Google Analytics. Google skriver här: “Conversion tracking kan hjälpa dig att se hur effektivt dina annonsklick leder till värdefull kundaktivitet på din webbplats, såsom köp, anmälningar och formulärinskickanden.” ([1])
  • Optimering av landningssidor eller identifiering av återkommande besökare kan också ske på annat sätt än med Google Analytics, till exempel genom logik som kör på den egna servern. Därmed kan även annonseringen från vilken en besökare kommer, beaktas – helt utan Google-verktyg_
  • Remarketing-funktioner som tillhandahålls av tredje parter underkastar sig kravet på samtycke ännu mer än andra spårningsmekanismer (jämför domen från förvaltningsrätten i Bayreuth till Facebook Custom Audiences den 08.05.2018 – B 1 S 18.105 eller domen från EU-domstolen till Fashion ID den 29.07.2019 – C‑40/17)
  • Google Ads kan endast optimeras med Google Analytics om datafrielsen för Google-produkter & -tjänster är aktiverad i det Google Analytics-kontot. Detta kräver dock grundläggande en samtycke, eftersom Google uppträder som Gemensam Ansvarig, så att de Google Användarvillkoren gäller (som kräver ett samtycke vid användning av Cookies eller jämförbara teknologier) och dess kunder (webbplatsägare) kontrollerar även själva.
  • Dessa annonser kan med hjälp av de tillgängliga verktygen från Google bara till viss del effektivt utformas och är i sig redan relativt effektiva (eller ineffektiva, beroende på hur man ser på de relativt låga konverteringshastigheterna). Det legitima intresset går därmed åt sidorna. En undersökning av online-marknadsföringsbyråer genomförd av författaren visade att ingen av de 15 slumpmässigt utvalda byråerna kunde påstå att annonseringen med Google Analytics var effektivare.

Sammanfattning: Google Analytics grundprinciper enligt GDPR. Översättning: Resultatet: Google Analytics får inte användas utan samtycke för att stödja optimering av Google Ads. I ett eget inlägg beskriver jag kraven på ett samtycke i detalj.

Alternativlösningar

För Google Analytics finns det flera dataskyddsfördelaktiga alternativ. Dessa räcker förmodligen för 99 % av alla webbhotellägare!

Google Analytics Alternatives

I ett separat inlägg beskrivs ytterligare alternativ för olika Google-verktyg.

Ett framstående företrädare för ett dataskyddsvänligt analyserings-tjänst är Matomo. Matomo kan till och med användas utan samtycke, om verktyget konfigurerats på rätt sätt.

För en jämförelse mellan Google Analytics 4 och Google Universal Analytics se https://support.google.com/analytics/answer/9964640?hl=de ([1])

2 Jämför även domen från EU-domstolen den 11 november 2020 – C-61/19, särskilt punkt 42. En gemensam ansvarighet med Google föreligger enligt undersökning och kännedom hos författaren endast då datafriheten i Google Analytics är aktiverad för Google-produkter & -tjänster – då skulle dock en samtycke av användaren vara påkallat i varje fall.

[3] https://support.google.com/analytics/answer/9216061?hl=de&utm_id=ad

4 Endast som ett signal till Google om hur länge en användare var på webbplatsen kunde det finnas något värde.

Se https://www.conversionworks.co.uk/blog/2018/04/16/ip-anonymization-ga-impact-assessment/ (länken är inte längre tillgänglig) ([1])

6 In https://support.google.com/analytics/answer/3379636?hl=de bekräftar Google att den tidigare DPA för Google Analytics inte längre gäller (om en sådan – sannolikt på engelska – har upprättats och varit giltigt) och i stället gäller denna DPA: https://privacy.google.com/businesses/processorterms/. Se där särskilt avsnitt 10 (Dataläckage) samt 11 (Underleverantörer). Se även fotnot 27 och tillhörande avsnitt, som tyder på att man med Google inte kan upprätta en DPA för Google Analytics. ([1])

https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/google-analytics-datenuebermittlung-verstoesst-gegen-dsgvo/ och Googles uttalande på https://marketingplatform.google.com/about/analytics/terms/de/ ("Du godkänner att Google eller dess samarbetsföretag sparar uppgifter om din användning av tjänsten (inklusive och utan begränsning även kunduppgifter) och använder dem för att tillhandahålla webbanalys- och spårningservice…")

8 Se https://policies.google.com/privacy?hl=de, där Google medger att de kopplar ihop data från Google Analytics med data från tredje part och låter dessa (som reklampartners) dra nytta av det. Om dessa villkor inte gäller på grund av ett DPA (se https://privacy.google.com/businesses/processorterms/, avsnitt 4.2) så säger avsnitten 10 och 11 i nämnda DPA att Google kan överföra data till den amerikanska moderföretaget Google LLC, vilket inte är förenligt med GDPR utan samtycke (jämför FISA-lagen, fotnot 39).

Huvudpunkter i denna artikel

Google Analytics är problematisk på grund av den osäkra databearbetningen och vidarebefordran till Google, och oftast inte tillåtet enligt dataskyddsförordningen.

Även om Google Analytics nu är GDPR-kompatibelt kan det ändå leda till dataskyddsproblem eftersom det kan missbruka användardata.

Google Analytics får inte användas utan användarnas samtycke eftersom data skickas till Google och eventuellt även till företag i USA.

Google Analytics är problematiskt eftersom det samlar in användardata och kan potentiellt vidarebefordra dessa uppgifter till tredje parter utan att användarna blir informerade om detta.

Google Analytics får inte användas för annonsoptimering utan samtycke.

Användning av Google Analytics kan strida mot dataskyddsförordningen (GDPR) eftersom Google överförar data till USA och länkar dessa med data från andra företag.

Om dessa huvudpoänger

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Vimeo-videor: kan de användas på webbplatser på ett integritetsvänligt sätt?