Google och vissa marknadsföringspersoner skulle vilja att Google Analytics är tillåtelsefritt om cookies har inaktiverats via konfiguration. Rätt är att Google Analytics alltid hämtar data från användarens enhet och därför är det tillåtelsepliktigt redan av den anledningen. Detta ändrar sig inte heller med Googles Consent Mode som inte förtjänar sitt namn.
Inledning
Förhandsinformation: Lagen känner inte till begreppet cookie. Rättsliga bestämmelserna behandlar åtkomst till ditt och mitt slutanordning. Cookies är "bara" den mest populära representanten för denna kategori, men inte den enda relevanta fallen.
Med Google Konsent Modus lovar Google att Google Analytics kan användas även utan samtycke (eftersom ingen cookie används) . Att detta är fel, visar jag genom ett enkelt exempel. Även utan Consent Mode binder vissa Google Analytics in utan cookies och utan samtycke. Det gör det inte betydligt bättre. Kanske vet några inte att Consent Mode från Google strider mot ett uppgiftshanteringssammanhang, eftersom Google därmed behandlar data till egna ändamål (se Artikel 28 DSGVO). Den dumme eller huvudansvarige är i alla fall webbplatsens förvaltare. Vill ni vara bland de dumma?
Denna artikel visar att Google Analytics gör inloggningar på användarens enhet som kräver samtycke. Rättsregeln för detta är mycket enkel.
Utöver detta problem, som jag nedan benämner, vill jag bara påpeka ytterligare juridiska problem med Google Analytics.
Datatransfer till USA
Här har redan mycket sagts. Även Google har sagt något om datatransfert till USA:
Google Analytics behandlar alla analyserade data alltid i USA.
Skriftlig uttalande till den österrikiska tillsynsmyndigheten.
För mer detaljer se ett tidigare inlägg om Google Analytics.
Användarprofilsbildning och personligt innehåll
Google Analytics anses vara extrem mäktigt. Knappast föreställbart att detta är möjligt utan användarprofilbildning. Den Google Client ID som Analytics innehåller, är en personuppgiftsvärde. Mer om det i en undersökning av Google Analytics.
Europeiska dataskyddsförfattningar
Nu håller vissa europeiska dataskyddsmyndigheter Google Analytics för generellt lagstridigt eller för att vara tillåtet endast med samtycke (i teorin, om verktyget inte redan i sig strider mot GDPR). Här kan du läsa mer om detta:
- Danmark
- Frankrike
- Österrike
- Italien
- Tyskland: Fanns det en uttalande? Jag vet inte om någon liknande finns.
Nu till det egentliga ämnet i detta inlägg:
Varför Google Analytics alltid behöver en samtyckande.
Kokkipparagrafen
I Tillsynslagen om dataskydd, det tyska dataskyddslag som gällt sedan den 01 december 2021, dyker ordet Cookie inte upp en enda gång. Sedan maj heter laget nu TDDDG, men är ordagrant förblivet detsamma. För alla som vill veta mer om detta, här är § 25 TTDSG, som också kallas Cookie-regeln (lite tillbakaskjutna för bättre förståelse):
(1. Lagring av information i slutanvändarens terminalutrustning eller tillgång till information som redan lagrats i terminalutrustningen får endast tillåtas om slutanvändaren har lämnat sitt samtycke.
(2) Samtycke i enlighet med punkt 1 krävs inte
1. om det enda syftet med att lagra information i slutanvändarens terminalutrustning eller det enda syftet med att få tillgång till information som redan finns lagrad i slutanvändarens terminalutrustning är att överföra en kommunikation via ett allmänt tillgängligt telenät, eller
2. om lagringen av information i slutanvändarens terminalutrustning eller åtkomsten till information som redan finns lagrad i slutanvändarens terminalutrustning är absolut nödvändig för att leverantören av en telemediatjänst ska kunna tillhandahålla en telemediatjänst som användaren uttryckligen har begärt.Sammanfattning i förhållande till webbsidor och Google Analytics:
Åtkomst till användarens enhet är endast tillåten utan samtycke om åtkomsten är tekniskt nödvändig.
Sektion 25 i TTDSG beträffande Google Analytics
Åtkomsten till min enhet är inte nödvändig för att Google Analytics ska fungera. Det gäller redan av den anledningen att Google Analytics inte är nödvändigt. Vi vill vara exakta: Även för mätning av uppsättningen är ett kakor inte nödvändigt, som jag kan rapportera objektivt (eftersom tekniskt bevisbar) från min egen erfarenhet.
För tydlighetens skull krävs en samtycke om det inte är tekniskt nödvändigt att
- Data lagras i användarens enhet OCH
- När data nås på slutanvändarens enhet.
Excurs: Vad är skillnaden mellan åtkomsten till Visningsyta och åtkomsten till Referrer, den aktuella URL:en eller IP-adressen? Referrern, den aktuella URL:n och IP-adressen skickas med i HTTP-huvudet för varje HTTP-begäran. En explicit enhetsåtkomst är inte nödvändig för dessa data. Det är helt annorlunda med Viewport: Denna måste explicit begäras av den besökta webbplatsen (eller det där inlagda tjänsten Google Analytics). Således sker en enhetsåtkomst som måste legitimeras enligt § 25 TTDSG. Ihoppas att datapolningen av data som antingen explicit (Viewport) eller implicit (Referrer etc.) lästes ut från användarens enhet måste enligt artikel 6, paragraf 1 DSGVO legitimeras. Rättsprövningen måste således gå till: 1. Ligger ett tillträde enligt § 25 TTDSG före? Om ja: Är detta en villkorlig rättighet. Det spelar ingen roll om data är personbezogen eller inte. För att alla ska förstå, har EU-domstolen läst lagtexten igen och fastställt detta uttryckligen. 2. Efter att det föregående kontrollsteg har genomförts med framgång, måste enligt artikel 6 § 1 DSGVO kontrolleras om behandlingen av data är tillåten. Denna lagstadga gäller endast för personuppgifter. Kakor är alltid personuppgiftsrelaterade, eftersom de alltid är kopplade till den potentiellt personuppgiftsrelaterade IP-adressen hos användaren eller (tillägg), eftersom de innehåller identifierare som tillåter en personuppgiftsrelation. Detta syns särskilt tydligt med Googles verktyg, som använder kakor namn IDE för att direkt koppla användaren till ett Google-konto.
En samtycke är också då nödvändig när ingenting sparas, utan man har tillgång till data på enheten som redan sparats där!
Det onda Google gör det ändå
Här ett typiskt spårningshändelse från Google Analytics. Detta spårningshändelse är för att skicka de samlade data till besökaren på en webbplats till den Google Analytics datapoolen.
GET https://www.google-analytics.com/collect?v=1&_v=j98&aip=1&a=829475794&t=pageview&_s=1&dl=https://www.asctechnologies.com/&ul=de&de=UTF-8&dt=BDX – We are the experts for something&sd=24-bit&sr=1696x954&Resolution 1491x331&je=0&_u=YCgAiAABBAAAAAAAIk~&cid=1201829514.1665683574&tid=UA-476697-1&_gid=553010699.1665683574>m=2wgaa0NF2377V&gcs=G100&z=1872566096
Tryckt ut de relevanta delarna:
- URL: Visar på Google Analytics-tjänsten
- vp = Viewport: Storlek på fönstret i webbläsaren
Betydelsen av parametern namn vp beskrivs officiellt i Googles dokumentation till Google Analytics Measurement Protocol: „Anger visningsytan på webbläsaren / enheten.”
Fönstrets storlek i webbläsaren sparas på användarens enhet. Gör ett test: Ställ om fönstret till mindre än fullskärmsstorlek, stäng av webbläsaren, öppna den igen. Om fönstret nu är lika stort som innan du stängde av webbläsaren så sparar din webbläsare uppenbarligen storleken på datorn. När du sedan slår på datorn och öppnar webbläsaren kommer den att visas i samma storlek som tidigare.
Det finns ett tillträde till enheten. § 25 TTDSG gäller för alla typer av data, även om de inte är personuppgifter. Det finns också inget berättigat intresse i denna lagbestämmelse.
Viewport är en datavärde som kan anta olika värden. Det är dock inte relevant. I lagen står ingenting om detta. För att ge ett litet exempel, nämna dynamiska IP-adresser. Särskilt vid DSL-anslutningar ändras de hela tiden. EU-domstolen har uttalat att dynamiska IP-adresser är personuppgifter. För tydlighetens skull och för att skilja från IP-adresser, ska det sägas igen: Det är helt ointresse vilka data som tillgripits! Analogin med IP-adresser avsåg bara att visa att även ändrande värden kan vara kritiska eller att de enligt § 25 TTDSG (alltid) är det.
Sammanfattning: Google Analytics tar tillgång till användarens enhet, vilket alltid kräver samtycke.
För övrigt diskuterades tillgången till enheten också på IDACON 2022 i München av Frau Prof. Weiden. Konferensen ägde rum den 17 och 18 oktober 2022. Tillsammans med Herr Breyer höll jag där också en föreläsning om ämnet Cloud Computing och dataskydd. Jag skrev redan denna artikel innan IDACON och hade bara inte publicerat den än, eftersom det redan fanns andra artiklar i kö.
Exempel på data som inte (explicit) tillgång till användarens enhet:
- Aktuella URL: Den skickas nämligen med de huvuddata som finns i HTTP-ansökan. Ansvarig ( = webbplatsägaren) tar alltså inte själv kontakt med enheten.
- Besökarens webbadress: Dito, så är det en del av HTTP-anropsdata och inte ett explicit enhetsåtkomst genom ansvarig
- Skärmupplösning (tvetydigt): Jag säger att denna är inte lagrad i enheten, utan ingenstans och om så är fallet bara för komforts skull i operativsystemet. En förklaring: håll mobiltelefonen i högformat och stäng av den, håll den i breddformat och slå på den. Nu är upplösningen tydligt en annan än vid stängning (om mobilen automatiskt vänder skärmen).
Google samtyckesläge
Som avslutning en exkurs i Googles samtyckesläge.
Google Consent Mode är till och med inte till hjälp för marknadsförare.
Glöm inte fing Googles samtyckesläge. Vad är Googles samtyckesläge? Sammanfattning: När din webbplats använder Googles samtyckesläge och Google Analytics, så sker följande:
- Om användaren inte har gett sitt samtycke laddas Google Analytics ändå och hoppasvis använder den inga kakor. Data kommer först till Google. Vänligtvis läggs också aggregerade, alltså statistiskt förfalskade data, in i ditt Google Analytics konto.
- Om användaren har gett sitt samtycke, laddas Google Analytics också in och sedan beroende på konfiguration även med kakor. Ditt analyserkonto fylls som i det klassiska fallet (utan att använda konsentmodet) med högkvalitativa data.
Min åsikt om det är:
Google-konsentmodus är en folkupplysning på lägsta nivå.
Min åsikt.
Web-analysguru M. Baersch har delat med mig sin bedömning till denna artikel om Googles samtyckesläge:
Även som man kan och bör betraktas som en "marknadsföringsmänniska" i konsentläge, så bör man kritiskt granska detta. Trots att namnet är oskyldigt så har ett företag med Google Analytics eller Google Ads Tagging ingenting med att uppfylla kraven på dataskydd eller respektera konsentet att göra i konsentläge. Data som samlas in i konsentläge skiljer sig från data som samlats in med konsent i princip endast genom ett attribut: Besökaren kan inte igenkännas mellan två besöksföreningar, eftersom inga kakor används för att spara detta. Det är alltså en (dålig) "TTDSG-läge", men inte ett "konsentläge". Om man inte har gett sitt samtycke så förväntar man sig vanligtvis inte att det trots detta sker spårning – med alla dess dimensioner och implikationer; vid varje besöksförening. Även om dessa data inte direkt visas i analyseringsytan (utom i BigQuery), utan teoretiskt sett endast för att modellera konverteringar och så fylla på spårningsluckan. Därvid kan till exempel en Single Page Application (SPA) inte kräva mycket maskinintelligens, eftersom klient-ID:en stannar där kvar vid varje besöksförening, precis som vid vanlig spårning. Även om ett Conversion Linker, som vid bristande samtycke slänger med Klick-IDs från entrésidan till konverterings-URL:en, tillåter en direkt koppling av konverteringar till källan utan att maskinintelligens krävs: Alla nödvändiga data finns i hits som Google kallar för "harmlosa Conversion Pings".
I verkligheten uppfylls alltså 100 % av sidvisningar för 100 % av alla besökare som vägrat ge sitt samtycke till spårning, och deras beslut ignoreras ändå sker spårning. Det är inte ett lämpligt sätt. Andra metoder måste hittas för att generera feedback vid konverteringar om de verkligen har inträffat utan att ignorera webbplatsbesökarens önskemål och möta dataskyddskrav med otillfredsställande metoder som Consent Mode.
Citat från M. Baersch.
Från marknadsföringssynpunkt är Googles samtyckesläge alltså största möjliga blödsjuka. Det försvagar bra data med dålig data. Det finns bara en vinnare, och det heter Google. Kanske låt det vara därhänt med Googles samtyckesläge. Kanske förstår er marknadsavdelning vad som står ovan.
Som en läsare skrev i ett kommentar till min artikel:
Google Consent Mode är en lika förvirrande term som militära specialoperationer
Sammandrag
Många rättsliga och tekniska skäl visar att Google Analytics antingen helt är olagligt eller bara får laddas efter samtycke.
Ett enkelt exempel visar att Google Analytics redan på grund av frågan om Viewports är samtyckespliktig. Denna åtkomst är tekniskt inte nödvändig och därmed inte samtyckesfri.
Google Analytics är alltid villkorsbunden och aldrig rättssäker att använda.
Se inlägg för orsaker.
Om du planerar att köra serverbaserat spårning med Google Analytics, råder jag dig till att inte göra det. Antingen är detta en åtgärd som kräver samtycke, eller så är datakvaliteten så dålig att andra verktyg som Matomo ger bättre resultat utan något samtycke och utan juridiska problem. Endast stora företag kunde dra nytta av serverbaserat spårning, men de skulle också (sannolikt) göra sig mer angreppsvärda, som min erfarenhet visar. Den som gör mycket erbjuder mycket angreppsmöjligheter.
Bildet till en artikel har skapats automatiskt av ett datorprogram.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
