Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Fundamentos de Google Analytics para el RGPD

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Análisis de Google es un Herramienta de seguimiento, que sigue gozando de gran popularidad. La herramienta es difícilmente controlable desde el punto de vista de la protección de datos, porque no se sabe si y cómo Google utiliza los datos recopilados por una página web con Analytics.

La complejidad de Google Analytics supera en gran medida las posibilidades de casi todos los responsables y, por sí sola, provoca infracciones a la protección de datos de manera generalizada.

Mi tesis.

Hay diversas versiones de Google Analytics:

  • Google Analytics 4 [1]
  • Etiqueta de Sitio Global para Google Analytics 4
  • Análisis Universal de Google (actualmente), a lo que se refieren las explicaciones en este documento, salvo indicación contraria
  • Etiqueta de Sitio Global para Google Universal Analytics
  • Legacy Analytics
  • Urchin Analytics
  • Google Tag Manager como contenedor para las expresiones de Análisis independiente mencionadas anteriormente

¿Se requiere un consentimiento para Google Analytics?

Para la versión estándar actual de Google Analytics (Universal), que utiliza cookies de primera parte, ya se requiere un consentimiento según el artículo 25 de la Ley de Protección de Datos de los Usuarios (TTDSG) para un uso conforme a la ley. Además, debido a que la transferencia de datos siempre se realiza a los Estados Unidos, también se requiere un consentimiento.

Según la configuración y el alcance de la configuración, Google Analytics recopila más o menos datos de los usuarios, siempre muchos. Algunas configuraciones, como la transmisión de datos para productos y servicios de Google, son obligatorias para obtener una autorización. Otras configuraciones no están tan claras en cuanto a su tratamiento, siempre que se confíe en Google y se crea que no utiliza los datos de otros usuarios con fines propios. Exactamente este es el impresión que se obtiene al leer los documentos contractuales (como la declaración de privacidad, las condiciones de uso, etc.) de Google.

Google almacena para cada usuario – con el fin de reducir la anonimidad de los usuarios – una identificación única para las dimensiones Browser y Dispositivo, que en Google Analytics se denomina ID del cliente. Con esta, no puede identificarse directamente a una persona. Sin embargo, se puede guardar fácilmente la dirección IP del usuario junto con el Client ID de Google en su propio servidor y tenerla a mano. Al necesitarlo, exporta con la práctica función de exportación en Google Analytics las Client IDs y simplemente las compara con las direcciones IP que ha registrado usted mismo. De esta manera también se logra una De-Duplikation von Nutzern.

En la variante sin cookies y con una configuración lo más compatible posible con la RGPD, Google Analytics podría funcionar -sin ID de cliente y sin ese extraño sentimiento de que Google está utilizando de manera clandestina los datos recopilados por otros- sin consentimiento (a menos que también fuera un problema el lugar del servidor). Sin embargo, surge entonces la pregunta de qué beneficio tiene este herramienta frente a otras herramientas mucho más seguras jurídicamente y con menos esfuerzo en cuanto a seguridad. En su versión sin cookies y con configuración compatible con la RGPD, Google Analytics muestra en el panel de control dos usuarios que accedieron directamente a una página dos veces consecutivas. Otras herramientas pueden hacerlo mejor, sin plantear preguntas sobre privacidad. Esto es, en resumen, sin ningún beneficio aparente para la mayoría de los propietarios de sitios web 4, pero quizás sí para Google.

Anteriormente, Google Analytics utilizaba cookies de terceros y se la consideraba obligatoria por consentimiento. Actualmente, Google Analytics utiliza cookies de primera parte, pero las utiliza exactamente de la misma manera que las anteriores cookies:

Third-Party CookiesFirst-Party Cookies
Almacenamiento de identificaciones de usuariosAlmacenamiento de identificaciones de usuarios
Google Analytics tiene acceso a través del dominioGoogle Analytics tiene acceso a través de JavaScript
La página web que integra Google Analytics no tiene acceso a las cookiesLa página web que integra Google Analytics tiene acceso a las cookies
La página web que integra Google Analytics puede conocer a los usuarios a través de JavaScriptLa página web que integra Google Analytics conoce las identificaciones de los usuarios a través del acceso a las cookies
Google tiene acceso a datos de otras cuentas de Analytics a través de cookies y potencialmente a través de servidores de GoogleGoogle tiene acceso general a los datos de otras cuentas de Analytics
Google Analytics con cookies de terceros (antes) y cookies de primera parte

Como se puede ver, la página que utiliza Google Analytics tiene acceso a no menos información mediante los cookies de primer partido de Google que con los cookies de tercer partido de Google. También es posible que Google tenga las mismas posibilidades de acceso – aunque esto debe ser supuesto en función de las declaraciones (reglamento de protección de datos, términos y condiciones etc.) de Google, siempre que Google Analytics se utilice en una configuración con cookies y lo más compatible con la protección de datos posible. Sin embargo, es responsabilidad del responsable – el propietario de la página que utiliza Google Analytics – demostrar la legalidad del tratamiento.[2]

Mi prueba práctica mostró que las configuraciones para la divulgación de datos en Google Analytics se podían ampliar fácilmente para los datos de usuarios ya recopilados. Esto significa que el siguiente flujo es posible: 1. Una empresa utiliza Google Analytics en su sitio web. 2. Los datos de los usuarios son recopilados y almacenados en Google Analytics. 3. La empresa decide que quiere compartir estos datos con terceros, por ejemplo, para fines de marketing o análisis. 4. La empresa puede cambiar las configuraciones de Google Analytics para permitir la divulgación de datos a terceros, incluyendo los datos ya recopilados. Es importante destacar que esta práctica puede ser problemática desde el punto de vista del derecho a la privacidad y la protección de datos, especialmente si no se informa a los usuarios sobre la posible divulgación de sus datos:

  1. Google Analytics wird maximal RGPD-compliant konfiguriert
  2. Los datos de los usuarios se recopilan con Google Analytics
  3. La divulgación de datos para Google Analytics hacia otros servicios de Google se amplía, por ejemplo, a Google-Productos & -Servicios (de esta manera, según las directrices de Google, surge una Responsabilidad Compartida, anteriormente era un DPA)
  4. Los datos de los usuarios recopilados según lo indicado en el punto 2, antes de la liberación de datos, ahora podrían utilizarse de forma indebida, en contra de su propósito original
  5. Si es necesario, se puede configurar nuevamente con un solo clic Google Analytics (de la responsabilidad compartida surge de repente un DPA)

El todo nuevo Google Analytics 4 tiene las siguientes recopilaciones de datos predeterminadas [3]:

  • Visitas a páginas
  • Descargas de archivos
  • Scrolls
  • Clic en enlaces externos
  • Compromiso con el video

Esta configuración predeterminada probablemente resultará en un seguimiento sujeto a la obligación de consentimiento.

El LDA de Baviera representa la opinión algo difusa de las autoridades, según la cual Google Analytics es inadmisible sin consentimiento:

Independientemente de que la dirección IP se acorte o no, se debe obtener el consentimiento.

Fuente: https://www.lda.bayern.de/de/faq.html

A mi solicitud al LDA Bayern al respecto, respondió rápidamente y preguntó si sería mejor expresarlo de manera más diferenciada. Confirmé esto y me alegraría que la FAQ del BayLDA se mejorara en consecuencia. De forma positiva, sin duda, la rápida respuesta y la consulta constructiva de la autoridad!

En una investigación , se encontró que la incertidumbre en la recopilación de datos causada por la activación de la IP-Anonymisierung es significativa. Para el 81% de los usuarios, a pesar de haber activado la anonimización, se les identificó su ubicación con una precisión comparable a la que se obtiene sin activar la anonimización.

Según información de Google 6, Google transmite los datos recopilados con Google Analytics a numerosos terceros en numerosos países terceros, incluso en países terceros inseguros.

Además, Google explica cómo utiliza Google los datos de sitios web o aplicaciones que incorporan herramientas de Google (los enlaces de la fuente se han eliminado):

Si visita una página web en la que se utilizan servicios publicitarios como AdSense o herramientas de análisis como Google Analytics, o si incluye contenido de video de YouTube, su navegador envía automáticamente cierta información a Google. Esto incluye la dirección URL de la página visitada y su dirección IP. En algunos casos, también podemos establecer cookies en su navegador o leer las cookies que ya existen. Además, mediante aplicaciones en las que se utilizan servicios publicitarios de Google, se envían datos a Google, como el nombre de la aplicación y un número específico para fines publicitarios.

Las informaciones transmitidas por las páginas web y aplicaciones utilizamos para la prestación, atención y mejora de nuestros servicios existentes, para el desarrollo de nuevos servicios, para medir la eficacia de ciertas publicidades, para protegernos contra el fraude y el abuso así como para personalizar los contenidos y anuncios publicitarios que vea tanto en Google como en nuestras páginas web y aplicaciones de nuestros socios.

Fuente: https://policies.google.com/technologies/partner-sites?hl=de

Google Analytics recopila, entre otras cosas, datos de las siguientes fuentes sobre usuarios:

  • Solicitud HTTP
  • Información del navegador y del sistema
  • Cookies (incluyendo cookies de DoubleClick)

Con "Google" en las disposiciones de protección de datos alemanas se hace referencia a la empresa "Google Ireland Limited" y sus "empresas vinculadas". "Empresas vinculadas" se refiere según esta fuente (negrita agregada por mí) ([1])

Una empresa que forma parte del grupo de empresas de Google, es decir, la Google LLC y sus filiales, incluyendo las siguientes empresas que ofrecen servicios a consumidores en la UE: Google Ireland Limited, Google Commerce Ltd y Google Dialer Inc.

Fuente: https://policies.google.com/terms?hl=de&gl=de

Google LLC es una empresa con sede en los EE.UU.. Con eso, la carga de Google Analytics ya es un proceso crítico desde el punto de vista de protección de datos, porque los datos potencialmente se envían a una empresa estadounidense o a servidores en los EE.UU. o a terceros. Actualización: Google admite que todos los datos de Analytics siempre se procesan en los EE.UU.

La puesta a disposición de Google Analytics por parte de Google como encargado del tratamiento no es posible, porque Google utiliza los datos recopilados con Google Analytics por terceros (es decir, otras páginas web) (#_ftnref7) y según la Declaración de Privacidad, los transmite a numerosas partes interesadas, potencialmente diversas o con estándares de datos inseguros [7]8.

Debido a alguno de los siguientes motivos, desde mi punto de vista el uso de Google Analytics es obligatorio: (Nota: Consideré que "einsatzpflichtig" se traduce mejor como "obligatorio", en lugar de "requerido" o "necesario". También mantuve _"intacto para mantener la coherencia con el contexto original.):

  • la configuración es obviamente exigible por consentimiento o
  • la configuración rastrea involuntariamente más de lo deseado o
  • la situación de los datos permite potencialmente el seguimiento de los usuarios o
  • la liberación de datos a otros servicios de Google puede ampliarse posteriormente para usuarios ya registrados o
  • Las acciones de los usuarios pueden ser potencialmente registradas mediante el Protocolo de Medición
  • Se puede suponer que Google utiliza los datos para sus propios fines o
  • el lugar donde se aloja el servidor se encuentra en un país tercero inseguro.

Anonimización de direcciones IP en el evento de seguimiento

Al acceder al script de Google Analytics se transmite obligatoriamente la dirección IP del usuario a un servidor de Google. Esto está previsto en el protocolo de Internet. También cuando se envían eventos de seguimiento, se transmite naturalmente la dirección de red del usuario.

Con la anonimización de direcciones IP para Google Maps, se entiende que al realizar eventos de seguimiento como parámetros del evento, no se transmite la dirección IP del usuario (aunque sí a través de los datos de tráfico del evento de seguimiento). Esta anonimización debe realizarse necesariamente o ya está activada en la configuración estándar actual de Analytics. Se puede comprobar revisando el código fuente de una página que utiliza Google Analytics, donde debería verse la indicación anonymizeIp. Sin embargo, lo siguiente es incorrecto:

Aquí se activa la anonimización después de que se haya iniciado Google Analytics mediante el comando send. Es importante tener la instrucción anonymizeIp antes del comando send.

Resumen del contexto de la fuente: Google Analytics Fundamentos para la RGPD Google Analytics es un Herramienta de seguimiento, que todavía disfruta de gran popularidad. La herramienta es poco manejable desde el punto de vista de protección de datos, porque no se conoce si y cómo Google utiliza los datos recopilados por una página web con Analytics. Texto fuente a traducir: Fuente de texto: Wurde el Tool about den Google Tag Manager or ähnliches eingebunden, sieht el Code anders aus. In dem Fall öffnet man im Firefox Browser (or in anderen Browsern) el Entwicklerkonsole mit el Taste F12 und öffnet den Karteireiter Netzwerkanalyse. Dann öffnet man el Website, auf el Google Analytics eingebunden is. Man sucht nun nach einem collect Aufruf about de Domäne google-analytics.com: Traducción al español: Si se ha incorporado la herramienta a través del [5]Administrador de etiquetas de Google[6] o algo similar, el código es diferente. En ese caso, en el navegador Firefox (o en otros navegadores) se abre la consola de desarrollador con la tecla F12 y se abre el menú de análisis de red. Luego se abre la página web en la que está incorporado Google Analytics. Ahora buscamos un llamado a collect sobre la dominio google-analytics.com:

Llamada a Google Analytics con la anonimización de la dirección IP activada

El parámetro aip=1 muestra que está activada la anonimización de la dirección IP.

Medición de la eficacia de Google Ads con Google Analytics

Google Analytics puede utilizarse para medir la eficacia de las publicaciones publicitarias en plataformas de Google. Algunos argumentan que esto (incluyendo el uso de cookies de seguimiento) es esencial para algunas empresas, ya que de otra manera no podrían funcionar económicamente. En contra de ello se puede decir:

  • En las Condiciones de uso de Google para productos publicitarios se menciona explícitamente que no deben transmitirse datos personales a fines publicitarios3. Se refieren específicamente a Google Analytics con "marcas en línea (incluidas marcas de cookies), direcciones IP del protocolo de Internet y marcadores de dispositivos, asignados por el cliente"3.
  • Google Ads también puede optimizarse con otros medios de Google sin utilizar Google Analytics. Google dice aquí: “El seguimiento de conversiones puede ayudarte a ver cómo efectivamente tus clics en anuncios llevan a actividades valiosas del cliente en tu sitio web, como compras, inscripciones y envíos de formularios.” ([1])
  • La optimización de páginas de aterrizaje o la detección de visitantes recurrentes también puede realizarse de otra manera que con Google Analytics, por ejemplo, mediante lógicas que se ejecutan en su propio servidor. De esta manera incluso la publicidad desde la cual un visitante llega puede ser tenida en cuenta – sin necesidad de herramientas de Google_
  • Las funciones de remarketing a través de herramientas de terceros están sujetas al requisito de consentimiento aún más que otros mecanismos de seguimiento (véase la sentencia del Tribunal Administrativo de Bayreuth sobre Facebook Custom Audiences del 08.05.2018 – B 1 S 18.105 o la sentencia del TJUE sobre Fashion ID del 29.07.2019 – C-40/17)
  • Google Ads solo puede ser optimizado con Google Analytics si se ha activado la liberación de datos para productos y servicios de Google en el cuenta de Google Analytics. Esto requiere, sin embargo, una autorización general, ya que Google actúa como responsable común, por lo que las condiciones de uso de Google aplican, que exigen una autorización al utilizar cookies o tecnologías similares y sus clientes (dueños de sitios web) incluso se encargan de verificar .
  • Estas: La publicidad puede ser diseñada con los medios proporcionados por Google solo en cierta medida de manera más efectiva y es relativamente eficaz (o ineficaz, dependiendo de cómo se vean las tasas de conversión bastante bajas). El interés legítimo retrocede así solo debido a eso. Una encuesta realizada por el autor entre agencias de marketing en línea reveló que ninguna de las quince personas entrevistadas (seleccionadas al azar) pudo afirmar que la publicidad con Google Analytics podía ser diseñada de manera más efectiva.

Conclusión: Google Analytics no debe utilizarse sin consentimiento para apoyar la optimización de Google Ads. En un artículo propio, describo con mayor detalle el requisito de una autorización.

Alternativas

Para Google Analytics existen diversas opciones respetuosas con la privacidad. ¡Estas son suficientes para el 99% de los responsables de sitios web!

Google Analytics Alternatives

En un artículo separado se describen alternativas adicionales para diferentes herramientas de Google.

Un representante destacado de un servicio analítico amigable con la privacidad es Matomo. Matomo incluso puede utilizarse sin consentimiento, si el herramienta se configura adecuadamente.

Para un comparativo entre Google Analytics 4 y Google Universal Analytics ver https://support.google.com/analytics/answer/9964640?hl=de ([1])

2 Véase también la sentencia del TJUE de 11.11.2020 – C-61/19, por ejemplo el párrafo 42. Una responsabilidad compartida con Google solo existe según la investigación y conocimiento del autor si se ha activado la liberación de datos en Google Analytics para Productos & Servicios de Google – entonces sería necesario una autorización por parte del usuario en cualquier caso.

[Vea 3] https://support.google.com/analytics/answer/9216061?hl=de&utm_id=ad así como Google Analytics Dashboard

4 Tan solo como señal a Google de cuánto tiempo un usuario permaneció en la página web, podría haber algún beneficio.

Ver también https://www.conversionworks.co.uk/blog/2018/04/16/ip-anonymization-ga-impact-assessment/ (la URL ya no es accesible) ([1])

En https://support.google.com/analytics/answer/3379636?hl=de se confirma que Google ha dado por caducado el DPA anterior para Google Analytics (si es que existió y era válido, lo cual es poco probable), y en su lugar rige este nuevo DPA: https://privacy.google.com/businesses/processorterms/. Se recomienda consultar especialmente los apartados 10 (transferencias de datos) y 11 (subcontratistas), así como la nota al pie número 27 y el apartado correspondiente, que sugiere que no es posible establecer un DPA con Google para Google Analytics. ([1])

Vgl. también las declaraciones en y Googles afirmación en https://marketingplatform.google.com/about/analytics/terms/de/ („Usted acepta que Google o sus empresas relacionadas almacenen información sobre su uso del servicio (incluyendo y sin limitación, datos de los clientes) y lo utilicen para proporcionar el servicio de análisis web y seguimiento…“) ([1])

8 Ver https://policies.google.com/privacy?hl=de, donde Google admite que combina datos, entre otros, de Google Analytics con datos de terceros y permite a los terceros (como socios publicitarios) beneficiarse de ello. Si estas condiciones no son aplicables debido a un DPA (ver https://privacy.google.com/businesses/processorterms/, apartado 4.2), los apartados 10 y 11 del mencionado DPA establecen que Google puede transferir datos a la matriz estadounidense, Google LLC, lo cual no es compatible con la RGPD sin consentimiento (ver Ley FISA, nota al pie 39).

Puntos clave de este artículo

Google Analytics es problemático debido a su procesamiento de datos inseguro y la retransmisión a Google, y a menudo no es legal desde el punto de vista de la protección de datos.

Aunque Google Analytics ahora es conforme a la RGPD, aún puede provocar problemas de privacidad, ya que podría mal utilizar los datos de los usuarios.

Google Analytics no se puede utilizar sin el consentimiento de los usuarios, ya que los datos se transmiten a Google y posiblemente también a empresas en los Estados Unidos.

Google Analytics es problemático porque recopila datos de los usuarios y podría compartirlos con terceros sin informar a los usuarios al respecto.

Google Analytics no se puede utilizar para la optimización de publicidad sin el consentimiento del usuario.

El uso de Google Analytics puede violar la Reglamento General de Protección de Datos (RGPD) porque Google transfiere datos a los Estados Unidos y los vincula con datos de otras empresas.

Sobre estas afirmaciones clave

Sobre el autor
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.

Vídeos de Vimeo: ¿pueden utilizarse en sitios web respetando la privacidad?