Negli ultimi mesi, Google Analytics si è evoluto notevolmente ed è ora passato a Google Analytics 4. La domanda è se il consenso sia necessario per la versione 2023 e perché. La risposta dipende dalla configurazione dello strumento, se il trasferimento dei dati negli Stati Uniti e i termini di utilizzo di Google non sono considerati un problema.
Questo articolo esamina principalmente Google Universal Analytics. Questa versione di Google Analytics è stata fino a poco tempo fa la variante più utilizzata. Le differenze con Google Analytics 4 sono da un punto di vista della protezione dei dati in larga misura trascurabili. Inoltre ci sono così dette Google Analytics 4 Properties. Ciò si riferisce a proprietà con caratteristiche, che potevano essere utilizzate per il conto Google Universal Analytics precedente. Era possibile l'uso parallelo di GA4 Properties e GA Properties.
Una parola in anticipo sulle condizioni d'uso di GA4
Le condizioni di utilizzo Google stabiliscono nel paragrafo "7. Riservatezza":
L'utente non trasmetterà a Google alcuna informazione che Google potrebbe utilizzare o riconoscere come informazioni di identificazione personale, né consentirà o aiuterà terzi a farlo"
Ciò significa che l'utilizzo di Google Analytics nella sua forma standard non è possibile, poiché l'indirizzo IP è già un dato personale, che viene sempre trasmesso a Google se GA è integrato come standard. O Google non ha idea della protezione dei dati o sta deliberatamente spostando l'intera responsabilità della trasmissione dei dati al responsabile del trattamento che utilizza GA.
Google Analytics con cookie (configurazione standard)
Nella configurazione standard, ha Google Analytics la seguente forma:
- Impiego di Cookies di prima parte
- Trasferimento dei valori dei cookie ai server di Google
- Conduzione di un Client Id per utente, che è unico per browser e dispositivo
- Il vantaggio dei fingerprint del browser, tra cui l'estrazione della finestra di visualizzazione, è sufficiente per rendere Google Analytics obbligatoria la conferma in ogni configurazione
- Analisi dei percorsi dei clic
- Valutazione dei tempi di permanenza degli utenti sulle singole pagine
A causa dei cookie utilizzati e del trasferimento di dati dimostrato da Google Analytics attraverso i cookie a Google Server, è obbligatoria la consapevolezza. Ciò si può dedurre logicamente dall'Art. 5 (3) della direttiva ePrivacy, che secondo il sentenza del BGH del 28.05.2020 (I ZR 7/16) deve essere applicata in Germania o interpretato conformemente alla legge § 15 Abs. 3 TMG.
Il Client Id si chiama appunto Client Id, ma con ciò è intesa una identificazione per un utente (= Client).
Non è inteso che l'identificazione avvenga in ogni caso sul Client (cioè sull'apparecchio del utente, se si vuole considerarlo come client), ma la Client Id viene memorizzata sull'apparecchio del utente nel funzionamento basato sui cookie di Google Analytics. Nel cookielosem Betrieb, invece, la Client Id non viene memorizzata sull'apparecchio del utente – la memorizzazione delle informazioni sull'apparecchio del utente funziona senza cookie (data: 05.03.2021)!
Prova dell'accesso ai cookie da parte di Google Analytics
Che l'accesso ai cookie sia effettuato da Google Analytics, si può dimostrare in questo modo:
I cookie creati da Google Analytics al momento dell'accesso a una pagina web scelta a caso sono i seguenti:
Che questi cookie siano stati creati da Google Analytics si può anche dimostrare. Lo salvo qui fuori. Chiunque abbia una certa capacità tecnica riuscirà a farlo da solo.
Che Google Analytics acceda a questi cookie si può dimostrare osservando l'evento di tracciamento che viene inviato dallo script di Google Analytics:
https://www.google-analytics.com/j/collect?v=1&_v=j87&aip=1&cid=1111111162.1612337222&_gid=4444463630.1612555025
Il vero appello è ancora molto più lungo. È stato tagliato per motivi di riservatezza e per una migliore leggibilità. Come si può vedere, i valori memorizzati nei cookie vengono trasmessi ai parametri cid e _gid. Di conseguenza, è evidente che ci sia stata un accesso ai cookie, quindi un accesso alle informazioni memorizzate nel dispositivo dell'utente. Questa prova è inattaccabile perché riproducibile in qualsiasi momento (data: 10.02.2021).
I cookie non sono un interesse legittimo
Il fatto che i cookie non siano coperti da un interesse legittimo può essere dedotto solo dal fatto che Google Analytics può funzionare anche senza cookie. Questo caso verrà esaminato successivamente. In ogni caso, sarebbe irrilevante se i cookie potessero essere attribuiti a un interesse legittimo. Infatti, il § 25 TTDSG, che regola l'obbligo di consenso per i cookie, non conosce affatto l'interesse legittimo! Il TTDSG è in questo punto una legge speciale rispetto alla GDPR e ha la precedenza sulla GDPR. Secondo il TTDSG, non conta nemmeno se nei cookie ci sono valori che si riferiscono a persone o meno. Il TTDSG realizza la direttiva ePrivacy dell'UE in modo quasi identico per la Germania.
Se Google Analytics utilizza al posto dei cookie tradizionali la cosiddetta HTML5 Local Storage, la base giuridica è identica. Ciò significa che anche con questa cosiddetta Archiviazione web è necessario richiedere il consenso dell'utente.
Google Analytics con cookie o web storage richiede il consenso in base alla Direttiva ePrivacy
Configurazione standard di Google Analytics.
Google Analytics ohne Cookies
Un altro mio articolo descrive la configurazione di Google Analytics senza cookie . ([1])
Se Google Analytics viene configurato in modo che non vengano utilizzati i cookie, la caratteristica è la seguente:
- Conduzione di un Client Id per utente, che è unico per browser e dispositivo
- Utilizzo dell'impronta digitale del browser
- Analisi dei percorsi dei clic
- Valutazione dei tempi di permanenza degli utenti sulle pagine
Il Client Id viene inviato ai server di Google con ogni evento di tracciamento del tool di analisi, ovviamente. Tuttavia, il Client Id viene riportato a zero con ogni chiamata ad una pagina diversa della stessa domanda (quindi la stessa web page visitata) se non si utilizzano i cookie. Google Analytics quindi riconosce un utente all'interno della stessa sessione come nuovo, se l'utente richiama due pagine della stessa web page. Ciò non sorprende, poiché la trasmissione del Client Id da pagina 1 a pagina 2 non può avvenire direttamente senza i cookie e può avvenire al massimo (in segreto) attraverso il Fingerprinting che non è diretta.
Con l'aiuto dell' Client Id un utente può essere tracciato. L' Client Id a sua volta può essere letto dalla pagina web che utilizza Google Analytics. Il codice per leggere l' Client Id è:
// Auslesen der Client ID
// Code erst nach dem send Befehl ausführen!
ga(function(tracker) {
console.log(tracker.get('clientId'));
});
Ora una pagina web può memorizzare l'indirizzo IP di ogni utente e l' indirizzo del client associato a esso. Ciò è possibile perché Google Analytics rende disponibile l'ID del client della pagina web.
Una variante di Google Analytics amichevole per la protezione dei dati, che non esiste a causa dell'esistenza della Client Id, tenere almeno codificata la Client Id sul dispositivo finale del utente e decodificarla solo sul server Google e quindi nel dashboard di Google Analytics. Ciò impedirebbe di poter capire quale utente è associato al browser a quale risultato nel dashboard di Google Analytics.
Il fatto che Google Universal Analytics mostri la Client Id in chiaro, consente di esportare o interrogare i dati di Google Analytics successivamente e mescolarli con le proprie registrazioni per utenti. È comunque possibile registrare l'indirizzo IP dell'utente senza che ciò possa essere dimostrato. Ciò che invece potrebbe essere dimostrato è il trasferimento della Client Id a un proprio server. Per questo sarebbe necessario un chiamata JavaScript per AJAX. Alternativamente, si potrebbe passare la Client Id come parametro alla pagina successiva, il che anch'esso potrebbe essere dimostrato. Inoltre, l'inconveniente di questa procedura è che non ci potrebbe essere tracciamento se la pagina viene lasciata completamente.
Se la Client Id viene trasmessa al proprio server, cioè al server della pagina web appena visitata, è data una obbligazione di consenso.
Se la Client Id viene inviata solo al Google Analytics conto e non altrove, non è data una obbligo di consenso in base Art. 6 GDPR. Tuttavia, deve essere fornita una informazione trasparente sui processi di elaborazione dei dati in base Art. 12 GDPR. Le informazioni sulla protezione dei dati del gruppo Google sono l'opposto della trasparenza.
Se qualcuno si rivolge comunque all'aiuto di Google, può leggere lì che una tracciatura degli utenti singoli tramite il Client Id può avvenire nel tempo e attraverso diversi punti di contatto (Touch Points). Ciò sembra richiedere un consenso. Ciò vale anche se si utilizza solo Google Analytics 360 (GA 360, precedentemente GA Premium) per una analisi approfondita degli utenti, ma non viene effettivamente utilizzato. GA 360 consente di accedere direttamente ai dati di base (con GA360 si paga in sostanza per la possibilità di esportare e valutare i dati). ([1])
La sottoscrizione obbligatoria vale anche se si deve scavare a fondo nella cassetta degli attrezzi per eseguire un'analisi del clickstream chiamata Clickstream Analyse con Google Analytics (ad esempio attraverso il Google Tag Manager). Risparmierò il link all'articolo che spiega come fare, per non incoraggiare nessuno a sbagliare. In poche parole, si traccia un grafico di come Google Analytics registra i dati. Poi si confrontano le metadati con i dati di tracciamento per creare dei colpi più dettagliati che possono essere associati agli utenti singoli.
Aggiornamento del 30.04.2021: Da Google stesso proviene una dichiarazione scritta ufficiale, secondo cui tutte (!) i dati di Google Analytics vengono archiviati e analizzati negli Stati Uniti. Di conseguenza, sempre in base a tale dichiarazione, si verifica un trasferimento dei dati negli Stati Uniti, il che solleva la questione ai sensi dell' art. 44 GDPR.
Google Analytics memorizza sempre tutti i dati (almeno) negli Stati Uniti
Nelle mie parole è riprodotta la dichiarazione di Google stesso, al 30/04/2021.
Prima che i dati di Google Analytics finiscano negli Stati Uniti, di solito vengono raccolti da cosiddetti collettori nelle vicinanze geografiche del visitatore di un sito web ed eventualmente inviati a destinazione tramite stazioni intermedie. Ciò significa che i dati vengono potenzialmente elaborati in tutto il mondo.
Memorizzazione dell'ID del cliente
Se Google Analytics viene eseguito senza cookie, la Client Id non viene memorizzata sul dispositivo dell'utente, ma esiste solo nella memoria principale come informazione effimera.
Il Client Id viene memorizzato solo su server Google in assenza di cookie, il che è comunque abbastanza grave (vedi sopra). Ecco un esempio di cosa vede chi integra Google Analytics sul proprio sito web e successivamente analizza i dati raccolti nel Dashboard di Google Analytics:
Sarebbe stato possibile per Google non rendere disponibile questo Client Id e quindi essere più rispettosi della privacy. Questo non voleva fare Google, quindi non volle essere rispettoso della privacy.
La seguente schermata mostra cosa si può fare con i dati di Google Analytics:
I dati non sono disponibili tramite mezzi standard di Google, ma possono essere ottenuti senza ulteriori prodotti Google. Come mostrato nell'immagine, anche Parole chiave possono essere lette, che sono state utilizzate nella ricerca della pagina web appena richiamata. Inoltre, a ogni utente viene assegnato un identificatore univoco. Così gli utenti possono essere tracciati attraverso diversi canali. Ciò può anche essere fatto in modo semplice con una propria copia dello script di Google Analytics, che però si nota subito se qualcuno con conoscenza tecnica e comprensione dei dati personali lo esamina più da vicino. Una documentazione di Google mostra quanti dati vengono registrati ogni interazione utente con Google Analytics. Sono così tanti che solo possono essere contati automaticamente. Ci sono 257 attributi per hit (data: 26.07.2021). Questa registrazione avviene sempre, ma è disponibile solo in Google Analytics 360.
Ecco un esempio positivo con Piwik, in cui si vede che condurre la stessa Client Id nel browser della pagina visitata e sul server dove vengono salvati i risultati dell'analisi, è ovviamente non necessario:
Matomo memorizza questo visitatore con il seguente trasferimento di dati, che avviene nel browser:
action_name=&idsite=1&rec=1&r=477433&h=13&m=29&s=28&url=https://xyz.de/&_id=&_idts=16149xx369&_idvc=1&_idn=1&_refts=0&_viewts=16149xx369&send_image=0&res=1920x1080>_ms=236&pv_id=bxxyyP
Come si può vedere confrontando questi parametri con lo screenshot precedente, ovunque non è riconoscibile l'ID del visitatore 67f37f3a2aa98b84. Neanche in un cookie di sessione di Matomo viene salvato questo ID, ma il valore è invece 8xx1f5bec073xxffe61862b70312xxe0.
Una mappatura di un utente nel browser con un visitatore nell'output di Matomo non è quindi possibile e molto più rispettosa della privacy rispetto a Google Analytics.
Ci sono inoltre strumenti che funzionano perfettamente senza Client Id. Poiché qui non voglio fare pubblicità a fornitori commerciali, nomino il fornitore noto a me su richiesta.
DPA con Google?
Quando in una configurazione senza cookie e senza condivisione di dati di analisi con terzi si deve chiudere un DPA con Google, è principalmente il responsabile del sito web a dover rispondere. Un DPA è un contratto di elaborazione dei dati su richiesta. Tuttavia, tale contratto può essere concluso solo con Google se Google non utilizza i dati raccolti con Google Analytics per scopi propri.
Trasferimento dei dati a terzi
Nelle condizioni di utilizzo per Google Analytics è specificato al punto 6 che Google può trasmettere i dati a terzi per fornire il servizio. Ciò è in sé ammissibile, a condizione che questi terzi possano garantire un livello di protezione conforme alla GDPR. In questo caso si pone la domanda, chi sono questi terzi. Lasciamo questo punto da parte con una certa leggerezza.
Accesso ai dati da paesi terzi non sicuri
Nel primo articolo delle condizioni d'uso appena citate viene menzionata la società Google LLC: "Queste condizioni d'uso per Google Analytics … valgono tra Google LLC e voi …"). La società Google LLC ha sede negli Stati Uniti.
Un'ulteriore indicazione del fatto che un cliente di Google Analytics stipula effettivamente il suo contratto con Google LLC, USA, e non con Google Ireland Limited, Irlanda. Google invia occasionalmente delle e-mail ai clienti di Analytics. Ho ricevuto una di queste e-mail:
Il piè di pagina dell'e-mail recita come segue:
Va notato che sono registrato con Analytics presso una società con sede in Germania. Google richiede esplicitamente questa informazione per visualizzare le condizioni valide per l'Europa.
Ritengo che la suddetta e-mail e le informazioni contenute nell'accordo con Google per la stipula di un account Analytics siano la prova che il partner contrattuale è Google LLC, USA. Se si fa clic sul link di annullamento dell'iscrizione contenuto nella suddetta e-mail, viene visualizzato un sito web in cui Google LLC, USA, è nuovamente indicato come gestore del sito web.
Il partner contrattuale centrale per i clienti tedeschi di Google Analytics è Google LLC, USA
Un fatto dimostrabile.
Le USA sono un paese terzo non affidabile, per cui non possono essere garantite le norme sulla protezione dei dati (GDPR). A fronte della GDPR stanno il FISA Act (legge di spionaggio all'estero) e il Cloud Act. Le clausole contrattuali standard sono quindi bullshit per gli Stati Uniti.
Google Analytics senza cookie richiede il consenso a causa del trasferimento dei dati a paesi terzi non sicuri
Inoltre, è probabile che vi sia l'obbligo di ottenere il consenso a causa delle informazioni non trasparenti fornite da Google.
Utilizzare il proprio ID cliente
È possibile utilizzare al posto del Client Id assegnato da Google uno proprio. Ciò è particolarmente utile nell'uso di più conti Google Analytics.
ga('create', 'UA-XXXXX-Y', {
'stoccaggio": "nessuno",
'clientId': '12a24efd-ec42-492a-92df-c62cfd4540a3'
});
Il codice sorgente mostrato invia a Google Analytics un proprio Client Id, che è stato generato in precedenza dalla pagina web o riproposto per un utente ricorrente. Inoltre, vengono disabilitati i cookie. Con i cookie il caso sarebbe identico a quello descritto sopra.
L'uso di un proprio Client Id porta direttamente a una richiesta di consenso in base all'Art. 5 comma c della GDPR o all'Art. 25 della GDPR, ai dettami della minimizzazione dei dati e del datenschutz attraverso la tecnologia progettata per il rispetto della privacy. ([1])
Google Analytics con il proprio ID cliente è soggetto all'obbligo di consenso ai sensi dell'art. 5 (1) c GDPR, art. 25 GDPR.
Inoltre, potrebbero esserci ulteriori richieste legali.
Il proprio ID utente per Google Analytics
Invece di una Client Id, una pagina web può utilizzare la propria User ID. Le differenze tra Client Id e User ID sono:
- Il Client Id è pseudonimizzato e limitato a un browser su un dispositivo finale. Il User ID può lavorare in modo transazionale e identificare gli utenti in base alla persona.
- Il Client Id è lo standard per le valutazioni di Google Analytics. La User ID deve essere autorizzata per le valutazioni.
- Il Client Id viene assegnato automaticamente. L'ID Utente deve essere assegnato e gestito dal cliente di Google Analytics.
Il seguente codice mostra la trasmissione di una propria ID Utente a Google Analytics.
ga('create', 'UA-XXXXX-Y', 'auto', {
userId: USER_ID
});
ga('send', 'pageview');
Prima che la User ID venga trasmessa a Google Analytics, deve essere naturalmente generata da sé.
La User ID può essere collegata segretamente a un'indirizzo IP. Inoltre si può supporre che la User ID venga confrontata con i dati dell'utente, raccolti o da raccogliere in altri modi.
Dopo aver letto, è necessaria un consenso per condurre una propria ID di utente per Analisi Google.
Google Analytics con il proprio ID utente è soggetto al consenso sulla base dell'art. 5 (1) c GDPR o dell'art. 5 (3) della direttiva ePrivacy, a seconda della struttura
L'ID utente può essere gestito in modi diversi. La valutazione deve essere fatta in base a questo.
Riepilogo
La seguente tabella mostra l'evaluazione dell'obbligo di consenso per diverse configurazioni di Google Analytics:
| Configurazione di Google Analytics | Valutazione |
|---|---|
| Con i cookie | Obbligo di consenso ai sensi dell' Art. 5 (3) ePrivacy directive |
| Senza cookie, con ID cliente, nessun uso personale dell'ID cliente | Obbligo di consenso ai sensi dell' Art. 44ff GDPR o Art. 5 Abs. 1b or c GDPR o Art. 25 GDPR |
| Senza cookie, con ID cliente, uso proprio dell'ID cliente | Obbligo di consenso ai sensi dell' Art. 5, comma 1 b o c GDPR o Art. 25 GDPR |
| Senza cookie, con il proprio ID cliente | Obbligo di consenso ai sensi dell' Art. 6 GDPR o Art. 5 Abs. 1 c GDPR o Art. 25 GDPR |
| Senza cookie, con ID utente | Obbligo di consenso ai sensi della Direttiva ePrivacy art. 5 (3) o Art. 5, comma c GDPR o Art. 25 GDPR (secondo l'implementazione dell'ID utente) |
Per tutti questi scenari è valido, secondo Art. 44ff GDPR, un obbligo di consenso, perché l'editore del servizio Google LLC si trova negli Stati Uniti e opera a livello mondiale e trasferisce dati a terzi.
Anche per questi scenari rimane valido il fatto che probabilmente esiste un obbligo di consenso a causa Art. 12 GDPR. Questo articolo stabilisce che deve essere fornata all'utente una informazione trasparente. Art. 5 comma 1 b GDPR richiede inoltre scopi chiari e definiti. Potresti spiegarmi le condizioni di utilizzo e la politica sulla protezione dei dati di Google? Potresti dirmi chi o cosa si intende con "Google"? A questo riguardo, mi è apparsa la risposta che "Google" nel senso della dichiarazione di protezione dei dati di Google per l'Unione Europea corrisponde al gruppo Google, quindi Google Irlanda, Google USA e i più di cento sottoutilizzatori.
Tutto ciò che è da notare è di non utilizzare i Cookies Opt-Out. Al contrario, il Google Analytics Script non deve più essere caricato quando l'utente ha revocato la sua autorizzazione.
Chi dà importanza alla massima sicurezza giuridica dovrebbe utilizzare un altro strumento di analisi. Ad esempio, Piwik (Matomo) può essere configurato in installazione locale in modo da non richiedere il consenso. Anche WP Statistics per siti web WordPress fa un buon lavoro.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.