Google Analytics er det mest populære tracking-tool, men det også opkald til mange spørgsmål omkring privatlivssikkerhed. I standardversionen er selv en brug efter en samtykningsanmodning rettensikker næsten umulig. Der er dog en løsning uden cookie popup.
Indledning
Brugsområdet for Google Analytics er meget bredt. Her er en del almindelige tilfælde:
- Statistik (besøgstæller)
- Indholdsoptimering:
- Hartes Tracking: Demografiske vurderinger, adfærdsanalyser, overordnet efterfølgelse af brugere
- Knippetråde
- Optimering af annoncer (Konverteringsfølgning, Retargeting)
- Kombination med Google Optimize (Delte tests)
Rein statistiske udvælgelser kan meget godt foretages uden _Google Analytic_s. Herfor anbefaler jeg Matomo uden samtykke eller Trackboxx (kommercielt produkt af en tysk leverandør).
Man kan også vurdere klikruter til indholdsoptimering via Matomo.
Der er også andre løsninger til A/B-Tests, som er lige så godt som Google Optimize, men der er måske lidt bedre til at holde styr på persondata.
Optimeringen af annoncer er mindst teknisk set det enkleste med Google Analytics muligt. Rent juridisk er kompleksiteten dog knap beherskelig. Som et eksempel herpå kan nævnes Google Tag Manager, som Google netop tilfældigvis næsten tvunget har koblet sammen med Google Analytics, selv om det i ingen måde var nødvendigt. Tag Manager alene er rent juridisk knap beherskelig, som min enkel undersøgelse allerede viser.
Men hvordan ser det ud med de anvendelsesfald, hvor Google Analytics har mening?
Juridiske problemer med Google Analytics
Som netop er vist, bruges ofte Google Tag Manager (GTM) sammen med Google Analytics. Jeg kan kun anbefale at man ikke bruger GTM uden tilladelse. Der er i virkeligheden ingen brug for GTM, og slet ikke til at laste Google Analytics.
Hvis du har brug for en Etiket Administrator, så vælger du noget andet eller søger dig selv en person, der kan programmere. En alternativ løsning til almindelige tilfælde er mit Untagmanager. Det hjælper ikke jer og I finder ingen programmerer eller ønsker ikke at betale? Hvis svaret på denne spørgsmål Ja er, så måske er begrebet privacy endnu ikke dybt nok i jeres bevidsthed. Ingen problem, markedet og berørte personer vil reguler det.
Pga. af Google Universal Analytics anvendte Cookies er en samtykkekrav nødvendigt. Dette følger af BGH-aflønningen til Planet49. Ifølge dette skal § 15 Abs. 3 TMG være anvendt i overensstemmelse med Art. 5 Abs. 3 af ePrivacy-Richtlinien.
Køkkenerne er teknisk ikke nødvendige og kræver derfor en samtykke. Kurzbeweis: Google Analytics kan i standard tilfælde konfigureres sådan, at ingen cookies anvendes.
Selv uden cookies er Google Analytics tilladelsespligtig. Der er flere grunde til dette. Se linket ovenover i denne afsnit. Vidste du, at alle analyseredekvenser altid behandles i USA?
Laut Art. 13 GDPR erfordern umfassende oplysningstilbud til Google Analytics. Disse oplysninger følges ofte også med som Persondatafortrolighedsbegæringen. Vedkender du, hvordan de mange data, der er indsamlet ved hjælp af Google Analytics, bliver behandlet af Google-koncernen? Hvis ja, så del med det mig, fordi jeg ikke ved det selv. Og til hver eneste cookie skal navn, formål og levetid nævnes. Kender du de nøjagtige formål bag Google Analytics-cookies? Jeg tvivler på det.
Yderligere problemer med Google Analytics
Når Google Analytics bruges så meget verden over, er websteder, der bruger dette værktøj, et let at opdage og attraktivt mål for angreb.
Hackere kan bruge Google Analytics til at udskifte data fra en kompromitteret hjemmeside uden problemer, usigtbart og næsten umærkeligt. At indstille Firewall-regler, der kunne forhindre dette, synes for mange hjemmesider at være fuldstændig urealistisk. ([1])
Hvis en hjemmeside bruger Google Analytics, er det ifølge min erfaring næsten sikkert, at hjemmesiden overtræder dataskyddsbestemmelserne. Hvis nogen søger et formål for en advarsel, søger de måske først efter hjemmesider, der bruger Googles tracker. I mellemtiden er næsten alle klar over, at Analytics har stor farepotential.
Analyse uden samtykke
Løsningen for at sikre indsamling af brugere uden samtykke ved hjælp af Google Analytics bygger på et enkelt grundprincip. For løsningen gælder selvfølgelig, at den drives uden teknisk ikke nødvendige cookies. Dette er muligt, fordi Google Analytics kan anvendes uden cookies.
Det synes mig værdigt at løse et par bestemte brugercasemanaler. Det at forene Analytics-data med Google Ads-data er tilfældet, der for mig giver mest mening. Google Ads er en mulighed for at udsende online annoncering. Annoncører ønsker gerne at vide, hvor godt en annonce konverterer og hvilke søgeord, der har ført til en konvertering. Det kan også gøres uden Google Analytics, men hvem ved det allerede og vil tage mere besvær på sig?
Eventuelt kan det også være værd at følge Aktionerne fra hjemmesiden besøgende nærmere. Mange analyse-verktøjer holder kun fast, hvordan klik-ruten til en besøgende var og hvor længe han blev på en side. Nogle af dem måske også er interesseret i, hvordan scroll-adfærden hos brugeren var og lignende.
Det er tydeligt: Med det standard-skript fra Google Analytics lykkes en GDPR-sammenhængende brug knap eller ikke i det hele taget.
Der er to Løsningssætninger, der er forskellige i præstation og kompleksitet.
Begrebsgrundlag
Løsningen bygger generelt på, at når man følger begivenheder (tracking events) bliver en Google-server ikke direkte opkaldet fra Google Analytics-skriptet. I stedet bliver den eje server af netstedet, der er blevet besøgt, opkaldet. Den egen server får besked om det tracking event. Den egen server sletter nu følsomme informationer, som kunne indebære en personlig tilknytning. Resten af dataene bliver sendt til det eget Google Analytics-konto.
Princippet hedder Proxy. En proxy er en stedfortreder. Mange kender begrebet godt fra netværksverdenen. En proxy er en slags tunnel. Når tunnelen er lang nok, passerer analogien også helt fint. For når man kommer til slutningen af tunnelen, ved man ikke hvem der lige har kørt ind i tunnelen. For at afrunde analogien, skulle man måske antage, at midt i tunnelen sker en kørerbytte, som ikke kan observeres fra udenfor tunnelen.
For Google Analytics bliver så en Proxy oprettet. Denne Proxy tunneler nu tracking events over sin egen server. Ved denne tunnel-proces bliver data med brugerbehandling anonymiseret eller fjernet. Således falder pligten til at spørge om tilladelse væk. Det er også vigtigt, at ingenting cookies anvendes, da disse ville kræve et såkaldt cookie-popup. Et cookie-popup skulle i virkeligheden hedde Einwilligungsabfrage eller Consent Popup. Bemærkelsesværdigt kunne et cookie-popup faktisk være en selvstændig løsning, men ikke for Google Analytics i den oprindelige version.
Direkte opkald ved siden af sidevisning
Denne tilgang følger kun sideindløsninger. Her medtages browserkonfigurationen af brugeren, hvilket giver en bedre datagrundlag. Dette kender man fra den Google Analytics-standard og er intet nyt.
GA-hændelser sendes af brugerens browser til en egen server. Der fjernes følsomme data som f.eks. IP-adressen på brugeren, eller erstattes med helt andre værdier uden personbevisning til tredje part. Den, der selv bruger sin egen IP-adresse til GA-tracking events, er åbenlyst enig i at han selv overdrager sin egen netværksadresse til Google.
const url = 'your-analytics-script.php';
var data = {dt: document.title,...};
data = jsonify(data);
var sender = new XMLHttpRequest();
sender.open("POST", url, true);
sender.send(data);
Koden viser hvordan data kan sendes fra browseren til et eget PHP-script. I variablen data står alle værdier, der skal sendes. I eksemplet bliver dokumenttitlen sendt til serveren. Sendningen foregår via HTTP Post, så der ikke opstår problemer med datamængden (da der er en begrænsning for datamængden ved GET).
På serveren bliver tracking-tilfældet så sendt videre til Google. Google får, hvis det gør sig godt, ingen data om en anden person. Sendingen af data til Google kan foregå på samme måde som det oprindelige tracking, altså ved at sende posts til en HTTP-adresse som https://www.google-analytics.com/collect. For debugging kan adresse https://www.google-analytics.com/debug/collect anvendes. I stedet for dette kan Analytics Reporting API bruges, der ser ud til at være renere, men også lidt mere kompleks.
Brug af det oprindelige skrift
Flere elegant, men også mere kompleks og vedligeholdelseskrævende er at tilpasse det oprindelige Google Analytics Script. Scriptet bliver så tilpasnet, at det sender data ikke til google-analytics.com, men til en egen server.
Det almindelige forfølgende på sin egen server til at videregive data til Google er analog til den første løsning.
Der gang til at opdatere Google Analytics-skriptet sker af og til. Det er ikke altid nødvendigt at følge med i disse opdateringer. Der kan være situationer, hvor et opdatering er påkrævet. I så fald skal det modificerede skript erstattes med et nyt modificeret skript. Dette er muligt, men indebærer en lidt større indsats. Denne indsats vil være begrænset og vil sandsynligvis kun ske hver anden måned, hvis overhovedet.
Konklusion
Hvis man absolut ønsker at bruge Google Analytics, bør det gøres på den beskrevne måde. Den rettighedskonforme oprindelige variant ville kun være tilgængelig efter virksomme samtykkelse. Et samtykke bliver dog næsten aldrig givet, hvis det korrekt spørges om. Derudover opstår der spørgsmål vedrørende, hvordan Google håndterer de data.
For de fleste anvendelsesfald vil Matomo i lokal installation være mere end tilstrækkelig. Den, der bruger WordPress, kan også gå tilbage på WP Statistics. ([1])
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
