In de afgelopen maanden is Google Analytics aanzienlijk geëvolueerd en nu is Google Analytics 4 aan de beurt. De vraag is of er toestemming nodig is voor de versie 2023 en waarom. Het antwoord hangt af van de configuratie van de tool, of de gegevensoverdracht naar de VS en de gebruiksvoorwaarden van Google niet als een probleem worden gezien.
Deze artikel onderzoekt voornamelijk Google Universal Analytics. Deze vorm van Google Analytics what de meest gebruikte variant tot voor kort. De verschillen met Google Analytics 4 zijn in grote mate uit het oog te verliezen vanuit privacy-oogpunt. Daarnaast bestaan er zogenoemde Google Analytics 4 Properties. Hierbij gaat het om eigenschappen met kenmerken, die voor het voormalige Google Universal Analytics account konden worden gebruikt. De parallele gebruik van GA4 Properties en GA Properties what mogelijk.
Een woord vooraf over de GA4 gebruiksvoorwaarden
De gebruiksvoorwaarden van Googlezeggen in paragraaf "7. Gegevensbescherming":
U zult geen informatie naar Google verzenden die Google zou kunnen gebruiken of herkennen als persoonlijk identificeerbare informatie, noch zult u derden toestaan of helpen dit te doen
Dit betekent dat het gebruik van Google Analytics in zijn standaardvorm niet mogelijk is, omdat het IP-adres al persoonlijke gegevens zijn, die altijd worden doorgegeven aan Google als GA standaard is geïntegreerd. Of Google heeft geen idee van gegevensbescherming of schuift bewust de volledige verantwoordelijkheid voor het leveren van gegevens door naar de beheerder die GA gebruikt.
Google Analytics met cookies (standaardconfiguratie)
In de standaardconfiguratie heeft Google Analytics volgende vorm:
- Gebruik van First-Party Cookies
- Overdracht van de waarden van de cookies naar de servers van Google
- Een Client Id per gebruiker, dat per browser en apparaat uniek is
- Voordelen van browser-vingerafdrukken, onder andere door het lezen van de Viewports. Alleen daarom is Google Analytics in elke configuratie toestemmingsplichtig
- Analyse van klikpaden
- Evaluatie van de verblijftijd van gebruikers op afzonderlijke pagina's
Vanwege de gebruikte cookies en het vastgestelde gegevensoverdracht door Google Analytics vanuit de cookies naar Google-servers is een informatieplichtige toestemming noodzakelijk. Dit kan logischerwijs worden afgeleid uit artikel 5 (3) ePrivacy Richtlijn, die volgens het BGH-uitspraak van 28 mei 2020 (I ZR 7/16) voor Duitsland van toepassing is en § 15 lid 3 TMG richtlijnconform moet worden geïnterpreteerd.
De Client Id heet zeker Client Id, maar met dat wordt een identificatie voor een gebruiker (= Client) bedoeld.
Het is niet de bedoeling dat de identificatie in elk geval op het Client (dus het eindapparaat van de gebruiker, als men het eindapparaat als client wil aanduiden) wordt opgeslagen. Bij cookiebehaftet gebruik van Google Analytics wordt de Client Id op het eindapparaat van de gebruiker opgeslagen. Bij cookielose gebruik wordt de Client Id niet op het eindapparaat van de gebruiker opgeslagen – de opslag van informatie in het eindapparaat van de gebruiker werkt zonder cookies niet (Staan: 05.03.2021)!
Bewijs van toegang tot cookies door Google Analytics
Dat de toegang tot cookies door Google Analytics plaatsvindt, kan als volgt bewezen worden:
De door Google Analytics bij het bezoek aan een willekeurig gekozen website gegenereerde cookies zijn de volgende:
Dat deze cookies door Google Analytics zijn gemaakt, kan ook worden bewezen. Dat sparen we hier uit. Iedere technisch halbwegs begaafde zal het alleen maar kunnen oplossen.
Dat Google Analytics op deze cookies toegang heeft, kan worden bewezen door het tracking event te bekijken dat wordt afgezet door het Google Analytics Script:
https://www.google-analytics.com/j/collect?v=1&_v=j87&aip=1&cid=1111111162.1612337222&_gid=4444463630.1612555025
De echte oproep is nog veel langer. Hij werd gekort om redenen van privacy en voor een betere leesbaarheid. Zoals je kunt zien, worden in de parameters cid en _gid de opgeslagen waarden uit de cookies overgedragen. Daarmee is het duidelijk dat er een toegang tot de cookies heeft plaatsgevonden, dus een toegang tot de informatie die op het eindapparaat van de gebruiker wordt opgeslagen. Deze bewijsvoering is onweerlegbaar, omdat hij telkens kan worden herhaald (Staan: 10.02.2021).
Cookies zijn geen rechtmatig belang
Dat cookies hier niet door een gerechtvaardigd belang gedekt zijn, kan alleen uit de feit dat Google Analytics ook zonder cookies kan worden gedreven, afgeleid worden. Dit geval wordt als volgende behandeld. Bovendien zou het ook niets uitmaken als cookies aan een gerechtvaardigd belang zouden kunnen worden toegeschreven. Want de § 25 TTDSG, die de verplichting tot toestemming van cookies regelt, kent het gerechtvaardigde belang helemaal niet! Het TTDSG is in dit opzicht een bijzonder wetsartikel ten opzichte van de GDPR en heeft voorrang boven de GDPR wat betreft cookies. Volgens het TTDSG speelt het ook geen rol of er waarde in de cookies staat die persoonsgebonden zijn of niet. Het TTDSG realiseert de ePrivacy-richtlijn van de EU bijna letterlijk voor Duitsland.
Als Google Analytics in plaats van traditionele cookies de zogenaamde HTML5 Local Storage gebruikt, is de rechtsgrondslag hetzelfde. Dat betekent dat ook met deze zogenaamde Webopslag toestemming van de gebruiker moet worden gevraagd.
Google Analytics met cookies of webopslag vereist toestemming op basis van de ePrivacy-richtlijn
Standaardconfiguratie van Google Analytics.
Google Analytics ohne Cookies
Een van mijn andere artikelen beschrijft de configuratie van Google Analytics zonder cookies.
Wanneer Google Analytics zo geconfigureerd is dat geen cookies worden gebruikt, dan heeft de kenmerk als volgt:
- Een Client Id per gebruiker, dat per browser en apparaat uniek is
- De vingerafdruk van de browser gebruiken
- Analyse van klikpaden
- Evaluatie van de verblijftijd van gebruikers op pagina's
De Client Id wordt bij elk tracking-event natuurlijk naar Google-servers gestuurd. Maar de Client Id wordt, als geen cookies worden gebruikt, bij elke aanvraag van een andere pagina van dezelfde domein (dus de bezochte website) met een ander waarde gegeven. Google Analytics herkent dus een gebruiker zelf binnen één en dezelfde sessie niet als terugkerend, als de gebruiker twee pagina's van dezelfde website aanvraagt. Dit verwondert niet, want het overdragen van de Client Id van pagina 1 naar pagina 2 kan zonder cookies niet rechtstreeks plaatsvinden en hoogstens (onopgemerkt) door onrechtstreeks na te gaan komen Fingerprinting.
Met behulp van de Client Id kan een gebruiker worden gevolgd. De Client Id kan op zijn beurt worden gelezen vanaf de website die Google Analytics gebruikt. De code voor het lezen van de Client Id luidt:
// Read the Client ID
// Execute the Code after the send command!
ga(function(tracker) {
console.log(tracker.get('clientId'));
});
Nu kan een website voor elk gebruiker zijn IP-adres opslaan. Gelijksgredig kan bij de IP-adres van elke gebruiker de horende Client Id worden opgeslagen. Dat dit überhaupt mogelijk is, ligt schriftelijk aan het feit dat Google Analytics de Client Id van de website toegankelijk maakt.
Een privacyvriendelijke variant van Google Analytics, die er niet is omdat de Client Id bestaat, zou de Client Id op het eindapparaat van de gebruiker ten minste coderen en pas op de Google-server en dus in het Google Analytics-dashboard ontcijferen. Dit zou voorkomen dat men kan achterhalen welke gebruiker in de browser welk resultaat in het Google Analytics-dashboard is toegewezen.
Als Google Universal Analytics de Client Id in het openbaar beschikbaar stelt, kan men later de Google Analytics gegevens exporteren of via een interface opvragen en vervolgens mengen met eigen registraties van gebruikers. Het registreren van de IP-adres van de gebruiker is in ieder geval mogelijk zonder dat dit bewezen kan worden. Wat echter wel bewijsbaar zou zijn, is het overdragen van de Client Id naar een eigen server. Hiervoor zou een JavaScript-aanroep per AJAX nodig zijn. Alternatief kon men bij het aanroepen van een volgende pagina de Client Id als parameter meegeven, wat eveneens bewijsbaar zou zijn. Bovendien zou de nadeel van dit handelen zijn dat er geen tracking zou kunnen plaatsvinden als de website helemaal verlaten wordt.
Indien de Client Id wordt overgedragen naar eigen server, namelijk de server van de website die op dit moment bezocht wordt, is een toestemmingsplicht gegeven.
Wanneer de Client Id alleen naar het Google Analytics account wordt gestuurd en niet ergens anders, is er geen expliciete toestemming vereist volgens Artikel 6 GDPR. Echter moet volgens Artikel 12 GDPR een transparante informatie over de gegevensverwerking plaatsvinden. De privacyinformatie van het Google-concern is het tegenovergestelde van transparant.
Als je naar Google kijkt, kun je daar lezen dat een volgactie van individuele gebruikers op basis van de Client Id gedurende een langere periode en over meerdere contactpunten (Touch Points) kan plaatsvinden. Alleen al dit lijkt toestemmingsplichtig. Dit geldt naar mijn mening ook als alleen met Google Analytics 360 (GA 360, eerder GA Premium) een diepgaande analyse van de gebruiker mogelijk is, maar GA 360 niet wordt gebruikt. GA 360 maakt het rechtstreeks mogelijk om toegang te krijgen tot primaire gegevens (bij GA360 betaal je in feite voor de mogelijkheid om primaire gegevens uit te exporteren en deze gegevens te analyseren). ([1])
De inwilligingsplicht geldt ook als men die truckist moet openen om een zogenaamde Clickstream Analyse met Google Analytics (via de Google Tag Manager) uit te voeren. Ik sparen hier een link voor het artikel, dat uitlegt hoe dit werkt, om niemand mis te leiden. Kortom, men noteert op welke manier Google Analytics gegevens bijhoudt. Later vergelijkt men de metadata met de tracking-gegevens om zo zeer gedetailleerde hits te maken die aan individuele gebruikers kunnen worden toegewezen.
Update van 30.04.2021: Van Google zelf ligt een officiële schriftelijke verklaring voor, waarin wordt gesteld dat alle (!) Google Analytics gegevens in de VS worden opgeslagen en geanalyseerd. Volgens deze verklaring vindt steeds een gegevensoverdracht plaats naar de VS, waardoor de vraag ontstaat uit artikel 44 GDPR.
Google Analytics slaat alle gegevens (ten minste) altijd op in de VS
In mijn woorden gereproduceerde verklaring van Google zelf, per 30/04/2021.
Voordat de Google Analytics-gegevens in de VS terechtkomen, worden ze meestal verzameld door zogenaamde verzamelaars in de geografische omgeving van de bezoeker van een website en eventueel via tussenstations naar de bestemming gestuurd. Dit betekent dat gegevens mogelijk wereldwijd worden verwerkt.
Opslag van de klant-ID
Wanneer Google Analytics zonder cookies wordt uitgevoerd, wordt de Client Id niet op het apparaat van de gebruiker opgeslagen, maar bestaat deze alleen in het hoofdgeheugen als tijdelijke informatie.
De Client Id wordt bij gebruik zonder cookies „alleen maar“ op Google-servers opgeslagen, wat nog steeds erg slecht is (zie hierboven). Hieronder een voorbeeld van wat iemand ziet als hij Google Analytics op zijn website inzet en later de verzamelde gegevens uitwerkt in het Google Analytics Dashboard:
Het zou voor Google geen enkel probleem geweest zijn om deze Client Id niet beschikbaar te maken en daarmee privacyvriendelijker te zijn. Dit wilde Google niet, wilde dus niet privacyvriendelijk zijn.
De volgende schermafbeelding laat zien wat je kunt doen met Google Analytics-gegevens:
De gegevens zijn niet beschikbaar via standaardmogelijkheden van Google, maar kunnen wel zonder verdere Google-producten worden verkregen. Zoals de afbeelding aantoont, kunnen zelfs Trefwoorden worden gelezen die bij de zoekopdracht naar de net opgeroepen website zijn gebruikt. Ook wordt aan elk individueel gebruiker een eigen identificator toegekend. Zo kunnen gebruikers over meerdere kanalen heen worden gevolgd. Dat gaat zelfs heel eenvoudig met een eigen kopie van het Google Analytics Script, wat echter snel opvalt als iemand met technisch en Datenschutzverständnis nauwkeuriger kijkt. Een Google-documentatie toont hoeveel gegevens per gebruiker-interactie met Google Analytics worden bijgehouden. Het zijn zoveel dat hun aantal alleen maar automatisch kan worden geteld. Het zijn 257 attributen per hit (Staan: 26.07.2021). Deze registratie vindt altijd plaats, staat echter alleen in Google Analytics 360 beschikbaar.
Een positiever voorbeeld met Piwik, waarin je ziet dat het gebruik van dezelfde Client Id in de browser van de bekeken website en op de server, waar de analyse-uitslagen worden opgeslagen, duidelijk niet nodig is:
Matomo slaat deze bezoeker op met de volgende gegevensoverdracht, die plaatsvindt in de browser:
action_name=&idsite=1&rec=1&r=477433&h=13&m=29&s=28&url=https://xyz.de/&_id=&_idts=16149xx369&_idvc=1&_idn=1&_refts=0&_viewts=16149xx369&send_image=0&res=1920x1080>_ms=236&pv_id=bxxyyP
Als men deze parameters vergelijkt met het vorige screenshot kan men zien dat de bezoekers ID 67f37f3a2aa98b84 nergens zichtbaar is. zelfs in een sessie-cookie van Matomo wordt deze ID niet opgeslagen, maar de waarde 8xx1f5bec073xxffe61862b70312xxe0.
Een toewijzing van een gebruiker in de browser aan een bezoeker in het resultaat van Matomo is dus niet mogelijk en dus veel meer privacyvriendelijk dan Google Analytics.
Er zijn bovendien tools die helemaal zonder Client Id uitkomen. Aangezien ik hier geen reclame wil maken voor commerciële aanbieders, noem ik de mij bekende aanbieder graag op verzoek.
DPA met Google?
Wanneer in een configuratie zonder cookies en zonder deling van analytische gegevens met derden een DPA met Google gesloten moet worden, draagt de verantwoordelijke voor de website vooral bij. Een DPA is een opdrachtverwerkingsovereenkomst. Zodanig kan echter alleen met Google worden afgesloten als Google de met Google Analytics verzamelde gegevens niet gebruikt voor eigen doeleinden.
Gegevensoverdracht aan derden
In de gebruiksvoorwaarden voor Google Analytics is onder punt 6 opgenomen dat Google gegevens aan derden kan doorgeven om dienst te kunnen leveren. Dit is in zichzelf toelaatbaar, mits de derden een niveau van bescherming kunnen garanderen dat overeenkomt met de AVG. Hier stelt zich de vraag, wie deze derden zijn. Laten we dit punt voor nu buiten beschouwing laten.
Gegevenstoegang vanuit onveilige derde landen
In de eerste zin van bovenvermelde gebruiksvoorwaarden wordt Google LLC genoemd: „Deze gebruiksvoorwaarden voor Google Analytics … zijn van kracht tussen Google LLC en u …"). Google LLC heeft haar hoofdzetel in de VS.
Een verdere indicatie dat een Google Analytics-klant zijn contract daadwerkelijk afsluit met Google LLC, VS, en niet met Google Ireland Limited, Ierland. Google stuurt af en toe e-mails naar Analytics-klanten. Ik heb zo'n e-mail ontvangen:
De voettekst van de e-mail luidt als volgt:
Opgemerkt moet worden dat ik bij Analytics geregistreerd ben bij een bedrijf in Duitsland. Google vraagt expliciet om deze informatie om voorwaarden weer te geven die gelden voor Europa.
Ik beschouw de bovengenoemde e-mail en de informatie in de overeenkomst met Google bij het afsluiten van een Analytics-account als bewijs dat de contractpartner Google LLC, USA is. Als u op de afmeldlink in de bovengenoemde e-mail klikt, verschijnt er een website waarin Google LLC, USA weer wordt genoemd als de beheerder van de website.
De centrale contractpartner voor Duitse Google Analytics-klanten is Google LLC, VS
Bewijsbaar feit.
De VS zijn een onzekere derde land, waarvoor geen garanties kunnen worden gegeven dat de GDPR wordt nageleefd. De GDPR in tegenspraak met het FISA-wet (wet op buitenlandse inlichtingen) en de Cloud Act. Standaardovereenkomstbepalingen zijn voor de VS dus onsin.
Google Analytics zonder cookies vereist toestemming vanwege gegevensoverdracht naar onveilige derde landen
Daarnaast is er waarschijnlijk een verplichting om toestemming te verkrijgen vanwege de ondoorzichtige informatie die Google verstrekt.
Gebruik je eigen klant-ID
Het is mogelijk, in plaats van de door Google verstrekte Client Id een eigen te gebruiken. Dat maakt vooral bij het gebruik van meerdere Google Analytics accounts zin.
ga('create', 'UA-XXXXX-Y', {
'"opslag": "geen",
'clientId': '12a24efd-ec42-492a-92df-c62cfd4540a3'
});
De getoonde broncode geeft aan Google Analytics een eigen Client Id, die eerder door de website is gegenereerd of opnieuw is toegekend voor een terugkerende gebruiker. Bovendien worden cookies uitgeschakeld. Met cookies zou het geval identiek zijn als hierboven beschreven.
De gebruikmaking van een eigen Client Id leidt direct tot een toestemmingsverplichting volgens Artikel 5, lid 1c GDPR of Artikel 25 GDPR, de geboden van gegevensminimisatie en het gegevensbescherming door technische inrichting.
Google Analytics met zijn eigen klant-ID is onderworpen aan de toestemmingsvereiste volgens Art. 5 (1) c GDPR, Art. 25 GDPR.
Daarnaast kunnen er nog andere juridische claims zijn.
Eigen gebruikers-ID voor Google Analytics
In plaats van een Client Id kan een website haar eigen User ID gebruiken. De verschillen tussen Client Id en User ID zijn:
- De Client Id is pseudonimiseerd en beperkt tot een browser op een apparaat. De User ID kan over apparaten heen werken en gebruikers persoonlijk identificeren.
- De Client Id is de standaard voor Google Analytics analyses. De User ID moet worden vrijgegeven voor analyses.
- De Client Id wordt automatisch toegekend. De User ID moet door de Google Analytics-klant worden toegekend en beheerd.
De volgende code laat zien hoe je je eigen User ID doorgeeft aan Google Analytics.
ga('create', 'UA-XXXXX-Y', 'auto', {
userId: USER_ID
});
ga('send', 'pageview');
Voordat de User ID aan Google Analytics wordt doorgegeven, moet ze natuurlijk zelf gegenereerd worden.
De User ID kan ongemerkt gekoppeld worden zijn aan een IP-adres. Bovendien kan ervan uitgegaan worden dat de User ID wordt vergeleken met gegevens van de gebruiker die op andere wijze zijn verzameld of worden verzameld.
Een instemming is nodig bij het gebruik van een eigen User ID voor Google Analytics.
Voor Google Analytics met een eigen gebruikers-ID is toestemming nodig op basis van art. 5 (1) c GDPR of art. 5 (3) ePrivacy-richtlijn, afhankelijk van het ontwerp
De gebruikers-ID kan op verschillende manieren worden beheerd. Afhankelijk hiervan moet de beoordeling worden gemaakt.
Samenvatting
De volgende tabel laat de beoordeling zien van de verplichting tot instemmen bij verschillende Google Analytics configuraties:
| Google Analytics-configuratie | Beoordeling |
|---|---|
| Met cookies | Informatieplichtig volgens Art. 5 (3) ePrivacy directive |
| Zonder cookies, met klant-ID, geen persoonlijk gebruik van de klant-ID | Informatieplichtig volgens Art. 44ff GDPR of Art. 5 Abs. 1b or c GDPR of Art. 25 GDPR |
| Zonder cookies, met klant-ID, eigen gebruik van de klant-ID | Informatieplichtig volgens Art. 5 lid 1 b of c GDPR of Art. 25 GDPR |
| Zonder cookies, met eigen klant-ID | Informatieplichtig volgens Art. 6 GDPR of Art. 5 Abs. 1 c GDPR of Art. 25 GDPR |
| Zonder cookies, met gebruikers-ID | Informatieplichtig volgens Artikel 5 (3) ePrivacy Richtlijn of Artikel 5 lid 1 c GDPR of Artikel 25 GDPR (afhankelijk van de implementatie van de User ID) |
Voor alle deze scenario's geldt volgens Artikel 44ff GDPR een informatieplicht, omdat de dienstanbieter Google LLC in de VS is gevestigd en wereldwijd actief is, evenals dat hij gegevens doorgeeft aan derden.
Even voor al deze scenario's geldt dat waarschijnlijk een toestemmingsplicht op grond van Art. 12 GDPR aanwezig is. Deze artikel bepaalt dat er een transparante informatievoorziening aan de gebruiker moet plaatsvinden. Art. 5 lid 1 b GDPR eist eveneens duidelijke, vastgelegde doelen. Kunt u mij uitleggen over de gegevensbeschermings- en gebruiksvoorwaarden van Google? Kunt u mij vertellen wie of wat met „Google“ bedoeld wordt? Tot nu toe is mij al bekend dat „Google“ in de zin van de Google-gegevensbescherming voor het EWR praktisch overeenstemt met het Google-concern, dus Google Ierland, Google USA en de meer dan honderd onderaannemers.
Bij alles moet er op gelet worden geen Opt-Out Cookies te gebruiken. In plaats daarvan mag het Google Analytics Script niet meer geladen worden, als de gebruiker zijn toestemming heeft ingetrokken.
Wie je meer waarde hecht aan hoge rechtszekerheid, zou een ander analyse-hulpmiddel moeten gebruiken. Bijvoorbeeld kan Piwik (Matomo) in lokale installatie zo geconfigureerd worden dat geen toestemming vereist is. Ook WP Statistics voor WordPress-websites doet een goed werk.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.