Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Fondamenti di Google Analytics per la GDPR

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Google Analytics è un strumento di tracciamento, che ancora gode di grande popolarità. L' strumento è difficile da controllare dal punto di vista della protezione dei dati, perché non si sa se e come Google utilizzi i dati raccolti dalla pagina web con _Analytics.

La complessità di Google Analytics supera notevolmente le capacità di quasi tutti i responsabili e, per questo solo motivo, provoca violazioni della privacy su larga scala.

La mia tesi.

Per Google Analytics esistono diverse versioni:

  • Google Analytics 4 (rettamente nuovo) 1
  • Tag del sito globale per Google Analytics 4
  • Google Universal Analytics (attuale), su cui si riferiscono le informazioni in questo documento, salvo indicazione contraria
  • Tag del sito globale per Google Analytics Universale
  • Legacy Analytics (alt)
  • Urchin Analytics (uralt)
  • _Google Tag Manager come contenitore per le espressioni di analisi a sé stanti sopra menzionate

È necessaria una consenso per Google Analytics?

Per la versione standard attuale di Google Analytics (Universal Analytics), che utilizza i cookie di prima parte, è già necessaria un consenso in conformità con l'articolo 25 del TTDSG per un utilizzo conforme alla legge. Inoltre, a causa del trasferimento dei dati che avviene sempre negli Stati Uniti, è necessario anche un consenso.

A secondo l'implementazione e la configurazione , Google Analytics raccoglie più o meno dati dagli utenti, sempre molti però. Alcune configurazioni, come ad esempio la condivisione dei dati per i Google-Produotti & -Servizi, richiedono il consenso. Altre configurazioni non sono così chiare da trattare, a meno che si creda che Google utilizzi i dati degli altri solo per scopi diversi dai propri. Esattamente questo impressione si ottiene però leggendo i documenti contrattuali (come la dichiarazione di protezione dei dati, le condizioni d'uso ecc.) di Google.

Google Analytics è un strumento di tracciatura(/tracking), che ancora gode di grande popolarità. Lo strumento è a malapena controllabile dal punto di vista della protezione dei dati, perché non si sa se e come Google utilizzi i dati raccolti da una pagina web con Analytics. Google archivia per ogni utente – al fine di ridurre l'anonimato degli utenti – un'identificazione univoca per le dimensioni Browser e Dispositivo, che in Google Analytics viene chiamata ID del cliente. Con questa si può identificare una persona non direttamente. Tuttavia, si può facilmente archiviare l'indirizzo IP dell'utente insieme alla Client ID di Google sul proprio server e tenerla a disposizione. A seconda delle esigenze, si esportano con la funzione di esportazione pratica in Google Analytics le Client IDs e si confrontano semplicemente con gli indirizzi IP registrati autonomamente. In questo modo si riesce anche ad effettuare una De-Duplikation degli utenti.

In versione senza cookie e con una configurazione amichevole per la protezione dei dati, Google Analytics potrebbe funzionare senza l'ID del cliente e senza il sospetto che Google utilizzi i dati raccolti da altre pagine – a patto che non ci siano problemi di localizzazione del server. Tuttavia, si pone allora la domanda: quale vantaggio offre questo strumento rispetto ad altri, decisamente più sicuri dal punto di vista giuridico e con meno sforzo per la protezione dei dati? In versione senza cookie e con configurazione amichevole per la GDPR, Google Analytics mostra nel dashboard due utenti che hanno visitato direttamente una pagina per due volte consecutive. Altri strumenti possono fare lo stesso senza sollevare problemi di protezione dei dati. Ciò detto, questo è in sintesi senza alcun evidente beneficio per la maggior parte degli amministratori di siti web 4, forse invece per Google.

In precedenza, Google Analytics utilizzava cookie di terze parti e per questo motivo era considerato obbligatorio il consenso. Attualmente, Google Analytics utilizza cookie di prima parte, ma li utilizza esattamente in modo analogo ai cookie precedenti:

Third-Party CookiesFirst-Party Cookies
Memorizzazione delle identificazioni degli utentiMemorizzazione delle identificazioni degli utenti
Google Analytics ha accesso tramite dominioGoogle Analytics ha accesso tramite JavaScript
Il sito web che include Google Analytics non ha accesso ai cookieIl sito web che include Google Analytics ha accesso ai cookie
Il sito web che include Google Analytics può conoscere gli utenti tramite JavaScriptIl sito web che integra Google Analytics conosce le identificazioni degli utenti tramite l'accesso ai cookie
Google ha accesso ai dati di altri account Analytics tramite cookie e potenzialmente tramite server GoogleGoogle ha accesso generale ai dati di altri account Analytics
Google Analytics con cookie di terze parti (precedentemente) e cookie di prima parte

Come si può vedere, la pagina web che utilizza Google Analytics ha accesso a non meno di informazioni con i cookie First-Party Google rispetto a quelli Third-Party Google. Anche Google potrebbe avere le stesse possibilità di accesso – tuttavia, ciò deve essere supposto in base alle dichiarazioni (regolamento sulla protezione dei dati, condizioni d'uso ecc.) di Google, se Google Analytics viene utilizzato in una configurazione con cookie e altrimenti massimamente rispettosa della privacy. Tuttavia, spetta all'amministratore – il gestore della pagina web che utilizza Google Analytics – dimostrare la legittimità del trattamento.[2]

Il mio test pratico ha mostrato che le impostazioni per la condivisione dei dati in Google Analytics possono essere estese facilmente dopo aver raccolto i dati degli utenti già registrati. Ciò significa che il seguente iter è possibile: … (continuazione della traduzione del resto del testo):

  1. Google Analytics wird maximal GDPR-compliant konfiguriert
  2. I dati degli utenti vengono raccolti con Google Analytics
  3. La condivisione dei dati per Google Analytics verso altri servizi di Google viene ampliata, ad esempio su Google-Prodotti & -Servizi (in questo modo, secondo le indicazioni di Google, si crea una Responsabilità Comune, in precedenza era un DPA)
  4. I dati degli utenti raccolti ai sensi del punto 2, prima della condivisione dei dati, vengono ora potenzialmente utilizzati in modo non conforme alla loro precedente finalità
  5. Se necessario, è possibile configurare nuovamente Google Analytics con un solo clic del mouse (dalla responsabilità condivisa nasce improvvisamente un DPA)

Il tutto nuovo Google Analytics 4 ha le seguenti raccolte di dati preimpostate [3]:

  • Visite pagine
  • Download di file
  • Scrolls
  • Clicchi su link esterni
  • Coinvolgimento con il video

Questa impostazione predefinita porta con la massima probabilità a un tracciamento soggetto all'obbligo di consenso.

Il LDA Baviera rappresenta l'opinione delle autorità, piuttosto vaga, secondo cui Google Analytics è illegale senza il consenso:

Indipendentemente dal fatto che l'indirizzo IP venga abbreviato o meno, è necessario ottenere il consenso.

Fonte: https://www.lda.bayern.de/de/faq.html

Alla mia richiesta al LDA Bayern in merito, ha risposto rapidamente chiedendomi se fosse meglio esprimerlo in modo più differenziato. Ho confermato e mi piacerebbe che le FAQ del BayLDA fossero migliorate di conseguenza. Positivamente, c'è sicuramente la rapida risposta e la costruttiva richiesta di chiarimento dell'autorità!

In un'indagine è stata riscontrata l'imprecisione nella raccolta dei dati a causa dell'anomimizzazione della IP. Per il 81% degli utenti, nonostante fosse attivato il meccanismo di anonimizzazione, sono stati comunque rilevati con una precisione comparabile a quella senza anonimizzazione i loro luoghi di provenienza.

Secondo le informazioni di Google 6, Google trasmette i dati raccolti con Google Analytics a numerose terze parti in numerosi paesi terzi, anche in paesi terzi non sicuri. ([1])

Inoltre, Google spiega come Google utilizza i dati provenienti da siti web o app che integrano strumenti Google (link alla fonte rimossi):

Se visitate un sito web che utilizza servizi pubblicitari come AdSense o strumenti di analisi come Google Analytics, oppure contenuti video da YouTube incorporati, il vostro browser invia automaticamente a Google alcune informazioni. Tra queste ci sono anche l'URL della pagina visitata e la vostra IP-Adresse. In alcuni casi, utilizziamo anche cookie nel vostro browser o leggiamo i cookie già presenti. Anche attraverso le app che utilizzano servizi pubblicitari di Google, vengono inviate informazioni a Google, ad esempio il nome dell'app e un codice identificativo specifico per scopi pubblicitari.

Le informazioni trasmesse dalle pagine web e dagli app utilizzate vengono usate per fornire, gestire e migliorare i nostri servizi esistenti, per lo sviluppo di nuovi servizi, per la misurazione dell'efficacia di specifiche forme di pubblicità, per proteggere contro frodi e abusi e per la personalizzazione dei contenuti e delle inserzioni pubblicitarie che potete vedere sia su Google che sulle nostre pagine web e app partner.

Fonte: https://policies.google.com/technologies/partner-sites?hl=de

Google Analytics raccoglie, tra l'altro, dati da fonti come: utenti:

  • Richiesta HTTP
  • Informazioni sul browser e sul sistema
  • Cookie (inclusi i cookie di DoubleClick)

Con "Google" si intendono, secondo le disposizioni sulla protezione dei dati personali tedesche , la società "Google Ireland Limited" e i suoi "aziende collegate". "Aziende collegate" indica, a seconda di questa fonte (in grassetto aggiunto da me stesso) Con riferimento alla sommarizzazione del contesto fornita: Il testo originale si riferisce al fatto che Google Analytics è un tool difficile da controllare dal punto di vista della protezione dei dati, poiché non è noto se e come Google utilizzi i dati raccolti dalle pagine web che utilizzano il tool

Un'azienda che fa parte del gruppo di imprese Google, quindi della Google LLC e delle sue società affiliate, tra cui le seguenti aziende che offrono servizi per i consumatori nell'UE: Google Ireland Limited, Google Commerce Ltd e Google Dialer Inc.

Fonte: https://policies.google.com/terms?hl=de&gl=de

Google LLC è un'azienda con sede legale negli Stati Uniti. Ciò significa che il caricamento di Google Analytics è già un atto critico dal punto di vista della protezione dei dati, perché i dati potenzialmente possono essere inviati a un'azienda americana o sui server negli Stati Uniti o a terzi. Aggiornamento: Google ammette apertamente, che tutti i dati di Analytics vengono sempre elaborati negli Stati Uniti.

La fornitura di Google Analytics da parte di Google come incaricato di trattamento non è possibile, perché Google utilizza le dati raccolti con Google Analytics da terzi (ossia altre pagine web) (#_ftnref7) e li trasferisce a (numerose, potenzialmente arbitrarie o quelle con standard di dati instabili) terze parti in base alla dichiarazione dei diritti sulla privacy [7]8.

Dal seguente motivo, a mio avviso, l'uso di Google Analytics richiede il consenso: Perché non è noto se e come Google utilizzi i dati raccolti da una pagina web con _Analytics:

  • la configurazione è evidentemente soggetta a obbligo di consenso o
  • la configurazione traccia inavvertitamente più di quanto desiderato o
  • la situazione dei dati consente potenzialmente il tracciamento degli utenti o
  • la condivisione dei dati con altri servizi Google può essere estesa successivamente anche per gli utenti già registrati oppure
  • Le azioni degli utenti possono essere potenzialmente registrate con il Protocollo di misurazione o
  • Si può presumere che Google utilizzi i dati per scopi propri o
  • il server si trova in un paese terzo non sicuro.

Anonimizzazione degli indirizzi IP durante l'evento di tracciamento

Quando si richiama lo script di Google Analytics, viene già inviata obbligatoriamente l'indirizzo IP dell'utente a un server di Google. Ciò è previsto dal protocollo Internet. Anche per gli eventi di tracciamento che il tool invia, viene naturalmente trasferita l'indirizzo di rete dell'utente.

Con l'anonimizzazione dell'indirizzo IP per Google Maps si intende che durante gli eventi di tracciamento come parametro evento non viene trasferito l'indirizzo IP dell'utente (ma forzatamente attraverso i dati di traffico degli eventi di tracciamento). Questa anonimizzazione dovrebbe essere effettuata assolutamente o è già attivata nella configurazione standard corrente di Analytics. Si può verificare guardando il codice sorgente di una pagina che integra Google Analytics. Lì si dovrebbe vedere l'indicazione anonymizeIp. È però sbagliato:

Ecco la traduzione: Qui viene attivata l'anonimizzazione solo dopo che Google Analytics è stato avviato con il comando send. È importante avere l'istruzione anonymizeIp prima del comando send.

Google Analytics – Fondamenti per la GDPR Google Analytics è un Strumento di tracciatura, che ancora gode di grande popolarità. Lo strumento è difficile da gestire dal punto di vista della protezione dei dati, perché non si sa se e come Google utilizzi i dati raccolti dalla pagina web con Analytics. Se il tool è stato inserito tramite Google Tag Manager o qualcosa di simile, la codifica è diversa. In tal caso, apri la console dello sviluppatore del browser Firefox (o altri browser) premendo F12 e seleziona l'elenco "Analisi rete". Poi apri la pagina web su cui è stato inserito Google Analytics. Cerca ora un richiamo di tipo collect sulla domanda google-analytics.com:

Richiesta di Google Analytics con anonimizzazione dell'indirizzo IP abilitata

Il parametro aip=1 indica che è attivata l'anonimizzazione dell'indirizzo IP.

Misurazione dell'efficacia di Google Ads con Google Analytics

Google Analytics può essere utilizzato per misurare l'efficacia delle inserzioni pubblicitarie lanciate su piattaforme di Google. Alcuni sostengono che ciò (compresa l'utilizzo dei cookie di tracciamento) sia essenziale per alcuni imprese, poiché altrimenti non potrebbero operare in modo economicamente sostenibile. Ciò va contro:

  • In Google Condizioni di utilizzo per prodotti pubblicitari è esplicitamente menzionato che non possono essere trasmesse a Google dati personali per scopi pubblicitari3. Si intendono con ciò, per Google Analytics, esplicitamente "marcature online (compresi cookie identificativi), indirizzi IP e marcature di dispositivo, da parte del cliente assegnate marcature"3.
  • Google Ads può essere anche ottimizzato senza Google Analytics con altri strumenti di bordo di Google. Google scrive qui: “Conversion tracking può aiutarti a vedere in che misura i clic pubblicitari portano a attività preziose dei clienti sul tuo sito web, come ad esempio acquisti, iscrizioni e invio di formulari.” ([1])
  • La ottimizzazione delle pagine di atterraggio o la riconoscimento dei visitatori ricorrenti può avvenire anche senza Google Analytics, ad esempio attraverso logiche che si svolgono sul proprio server. In questo modo è possibile considerare anche l'annuncio pubblicitario da cui un visitatore proviene – tutto senza strumenti di Google
  • Le funzionalità di remarketing tramite strumenti terzi sono soggette al requisito di consenso ancora più delle altre meccaniche di tracciamento (cfr. sentenza del Tribunale Superiore per i Liti Civili della Baviera su Facebook Custom Audiences dal 08/05/2018 – B 1 S 18.105 o sentenza della Corte di Giustizia dell'Unione Europea su Fashion ID dal 29/07/2019 – C-40/17)
  • Google Ads può essere ottimizzato con Google Analytics solo se la condivisione dei dati per i prodotti e servizi di Google è attivata nel conto di Google Analytics. Ciò richiede tuttavia una autorizzazione, in quanto Google agisce come Responsabile Comune, in modo che le condizioni d'uso di Google siano applicate (che richiedono un'autorizzazione all'utilizzo dei cookie o tecnologie simili) e i suoi clienti (gestori di siti web) verificano condizioni d'uso di Google e anche controllano.
  • Queste pubblicità possono essere gestite solo in parte con i mezzi forniti da Google e sono già relativamente efficaci (o inefficaci, a seconda di come si considerano le basse tassi di conversione). L'interesse legittimo viene quindi messo in secondo piano. Una ricerca condotta dall'autore tra agenzie di marketing online ha rivelato che nessuna delle quindici agenzie intervistate ha potuto sostenere di essere in grado di gestire pubblicità con Google Analytics in modo più efficace.

Riassunto: Google Analytics Fondamenti per la GDPR Google Analytics è uno strumento di tracciatura che ancora gode di grande popolarità. Lo strumento è difficile da gestire dal punto di vista della protezione dei dati, perché non si sa se e come Google utilizzi i dati raccolti dalla pagina web con Analytics. Traduzione: Conclusione: Google Analytics non può essere utilizzato senza consenso per supportare l'ottimizzazione di Google Ads. In un articolo separato descrivo più dettagliatamente il requisitodi un consenso.

Alternative

Per Google Analytics esistono diverse opzioni rispettose della privacy. Queste sono probabilmente sufficienti per il 99% degli amministratori di siti web!

Google Analytics Alternatives

In un contributo separato vengono descritte ulteriori alternative per diversi strumenti di Google.

Un rappresentante prominente di un servizio di analisi amichevole per la protezione dei dati è Matomo. Matomo può essere utilizzato anche senza consenso, se il tool viene configurato correttamente.

Per un confronto tra Google Analytics 4 e Google Universal Analytics, vedere https://support.google.com/analytics/answer/9964640?hl=de ([1])

[2] Vedi anche la sentenza della Corte di Giustizia dell'Unione Europea del 11.11.2020 – C‑61/19, ad esempio punto 42. Una responsabilità condivisa con Google si verifica, secondo l'autore, solo se la condivisione dei dati in Google Analytics per Google-Prodotti & -Servizi è attivata – in tal caso sarebbe comunque necessaria una autorizzazione dell'utente. Nota: La traduzione tiene conto del contesto fornito e lascia intatti i quadrati di parentesi.

[3] https://support.google.com/analytics/answer/9216061?hl=de&utm_id=ad

4 Solo come segnale a Google su quanto un utente sia rimasto sulla pagina web, potrebbe esservi un vantaggio.

Vedi https://www.conversionworks.co.uk/blog/2018/04/16/ip-anonymization-ga-impact-assessment/ (URL non più raggiungibile) ([1])

In 6 Google conferma che il precedente contratto di affidamento (DPA) per Google Analytics non è più valido (se mai esistito e se fosse stato legittimo) e che invece è applicabile questo DPA: https://privacy.google.com/businesses/processorterms/. Si veda in particolare i paragrafi 10 (Trasmissioni di dati) e 11 (Sottosoggetti affidatari). Si veda anche la nota 27 e il relativo paragrafo, che suggerisce che non sia possibile stipulare un contratto di affidamento con Google per Google Analytics. ([1])

https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/google-analytics-datenuebermittlung-verstoesst-gegen-dsgvo/ e la dichiarazione di Google su https://marketingplatform.google.com/about/analytics/terms/de/ ("Si dichiara d'accordo che Google o le sue società affiliate conservino informazioni sulla sua utilizzo del servizio (compresi e senza limitazione i dati dei clienti) e lo utilizzino per fornire il servizio di analisi web e tracciamento…")

Google Analytics è un strumento di tracciatura, che ancora gode di grande popolarità. Lo strumento è a malapena controllabile dal punto di vista della protezione dei dati, perché non si sa se e come Google utilizzi i dati raccolti da una pagina web con Analytics. [8] Vedi https://policies.google.com/privacy?hl=de, dove Google ammette di collegare i dati di Google Analytics a quelli di terze parti e di permettere ai terzi (come partner pubblicitari) di trarne profitto. A meno che queste condizioni non siano escluse da un DPA (vedi https://privacy.google.com/businesses/processorterms/, sezione 4.2), i paragrafi 10 e 11 dello stesso DPA affermano che Google può trasferire i dati alla madre americana, Google LLC, il che non è compatibile con la GDPR senza consenso (vedi FISA Gesetz, nota 39).

Principali punti chiave di questo articolo

Google Analytics è problematico a causa della gestione dei dati incerta e della trasmissione a Google, spesso illecita dal punto di vista del diritto alla privacy.

Sebbene Google Analytics sia ora conforme alla GDPR, potrebbe comunque causare problemi di privacy, poiché potrebbe essere utilizzato per un uso improprio dei dati degli utenti.

Google Analytics non può essere utilizzato senza il consenso degli utenti, poiché i dati vengono trasferiti a Google e potenzialmente anche a società negli Stati Uniti.

Google Analytics è problematico perché raccoglie dati degli utenti e potrebbe trasferirli a terzi senza informare gli utenti.

Google Analytics non può essere utilizzato per l'ottimizzazione della pubblicità senza il consenso.

L'utilizzo di Google Analytics può violare il Regolamento generale sulla protezione dei dati (GDPR) poiché Google trasferisce dati negli Stati Uniti e li collega a dati di altre aziende.

Sui punti chiave di cui sopra

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

I video di Vimeo: possono essere utilizzati sui siti web in modo rispettoso della privacy?