Google Analytics: zgodne z prawem tylko za zgodą (jeśli w ogóle)

W ostatnich miesiącach Google Analytics znacznie się rozwinęło i obecnie przeszło na Google Analytics 4. Pytanie brzmi, czy zgoda jest wymagana dla wersji 2023 i dlaczego. Odpowiedź zależy od konfiguracji narzędzia, czy transfer danych do USA i warunki użytkowania Google nie są postrzegane jako problem.

Ten artykuł głównie dotyczy Google Universal Analytics. Ta wersja Google Analytics była do niedawna najczęściej używaną. Różnice między Google Analytics 4 są z punktu widzenia ochrony danych w znacznej mierze nieistotne. Ponadto istnieją tak zwane Google Analytics 4 Properties. Są to cechy z cechami, które mogły być używane dla dotychczasowego konta Google Universal Analytics . Była możliwa równoległa obsługa GA4 Properties i GA Properties.

Kilka słów o warunkach korzystania z GA4

Warunki korzystania z Google mówią w części 7 "Ochrona danych osobowych":

Użytkownik nie będzie przekazywał Google żadnych informacji, które Google mógłby wykorzystać lub rozpoznać jako dane osobowe, ani nie będzie zezwalał na to osobom trzecim ani pomagał im w tym"

Oznacza to, że korzystanie z Google Analytics w jego standardowej formie nie jest możliwe, ponieważ adres IP jest już danymi osobowymi, które są zawsze przekazywane do Google, jeśli GA jest standardowo zintegrowany. Albo Google nie ma pojęcia o ochronie danych, albo celowo przenosi całą odpowiedzialność za dostarczanie danych na administratora, który korzysta z GA.

Google Analytics z plikami cookie (konfiguracja standardowa)

W standardowej konfiguracji ma ona następującą postać: Google Analytics:

• Użycie Pierwszych Ciastek Strony
• Przesyłanie wartości z plików cookie na serwery Google
• Funkcjonowanie Client Id na poziomie użytkownika, który jest unikalny dla każdego przeglądarki i urządzenia
• Zalety śladów przeglądarki, w tym poprzez odczyt widoku Viewports. Samo z tego powodu Google Analytics jest w każdej konfiguracji wymagający zgody
• Analiza ścieżek kliknięć
• Ocena czasu przebywania użytkownika na poszczególnych stronach

W związku z użyciem plików cookies oraz udokumentowanym przesyłaniem danych przez Google Analytics z cookies na serwery Google jest zobowiązująca się zgoda. Można to logicznie wywieźć z art. 5 (3) dyrektywy ePrivacy, która według orzeczenia BGH z dnia 28.05.2020 (I ZR 7/16) ma zastosowanie w Niemczech oraz § 15 ust. 3 TMG powinna być interpretowana zgodnie z dyrektywą. ([1])

Identyfikator klienta nazywa się tak, żeby było Identyfikator klienta, ale tym jest identyfikacja dla użytkownika (= klient).

Nie jest ono zamiarem, aby identyfikacja w każdym przypadku była przechowywana na Client (czyli urządzeniu użytkownika, jeśli można to nazwać klientem), przy operacji cookiebezpiecznej Google Analytics przechowuje Client Id na urządzeniu użytkownika. Przy operacji bez cookies nie jest przechowywana Client Id na urządzeniu użytkownika – przechowanie informacji w urządzeniu użytkownika nie działa bez plików cookie (stan na 05.03.2021)!

Dowód dostępu do plików cookie przez Google Analytics

Że dostęp do plików cookies przez Google Analytics następuje, można wykazać w sposób następujący:

Cookies wytworzone przez Google Analytics przy wezwaniu losowo wybranej strony są następujące:

Ze względu na to, że te pliki cookies zostały wygenerowane przez Google Analytics, można również to udowodnić. Zostawiam to sobie. Każdy technicznie niezbyt naiwny będzie mógł sam to zrobić.

Dzięki tym plikom cookies Google Analytics może uzyskać dostęp do nich, co można sprawdzić poprzez wyświetlenie zdarzenia trackowania, które jest wysyłane przez skrypt Google Analytics:

https://www.google-analytics.com/j/collect?v=1&_v=j87&aip=1&cid=1111111162.1612337222&_gid=4444463630.1612555025

Prawdziwy wywołanie jest jeszcze dłuższe. Zostało skrócone z powodu ochrony danych osobowych i dla lepszej widoczności. Jak można zobaczyć, w parametrach cid i _gid są przekazywane wartości przechowywane w plikach cookies. Oznacza to, że nastąpił bezpośredni dostęp do plików cookies, czyli do informacji przechowywanych na urządzeniu użytkownika. Ten dowód jest niepodważalny, ponieważ może być w każdej chwili powtórzony (stan: 10.02.2021).

Pliki cookie nie stanowią uzasadnionego interesu

Dlaczego pliki cookies tut się tu nie chronią prawidłowego interesu, można wywnioskować z tego, że Google Analytics może działać nawet bez plików cookies. Ta sytuacja zostanie następnie rozważona. Poza tym byłoby to również bez znaczenia, jeśli pliki cookies byłyby przypisane do prawidłowego interesu. Ponieważ § 25 TTDSG, który reguluje obowiązek zgody na pliki cookies, nie zna pojęcia prawidłowego interesu! TTDSG jest w tym zakresie specjalnym ustawą dotyczącą RODO i ma pierwszeństwo przed RODO. Zgodnie z TTDSG nie odgrywa żadnej roli, czy w plikach cookies są dane osobowe, czy też nie. TTDSG realizuje prawo prywatności Unii Europejskiej na niemal słowa w taki sam sposób dla Niemiec.

Jeśli Google Analytics zamiast tradycyjnych plików cookie używa tak zwanej HTML5 Local Storage, podstawowa zasada prawna jest taka sama. Oznacza to, że również przy użyciu tej tak zwanej Web Storage należy poprosić użytkownika o zgodę.

Google Analytics ohne Cookies

Jeden z moich innych artykułów opisuje konfigurację Google Analytics bez plików cookie . ([1])

Jeśli Google Analytics jest tak skonfigurowany, aby nie używać plików cookie, to jego cecha brzmi następująco:

• Funkcjonowanie Client Id na poziomie użytkownika, który jest unikalny dla każdego przeglądarki i urządzenia
• Korzystanie z odcisku palca przeglądarki
• Analiza ścieżek kliknięć
• Ocena czasu przebywania użytkownika na stronie

Identyfikator Klienta jest wysyłany do serwerów Google przy każdym zdarzeniu śledzenia przez narzędzie analityczne. Jednakże identyfikator Klienta, jeśli nie są używane pliki cookies, jest ustawiany na nowy wartość przy każdym wezwaniu innej strony w tej samej domenie (tzn. odwiedzonej witryny). Google Analytics rozpoznaje więc użytkownika samemu wewnątrz tej samej sesji nie jako powracającego, jeśli użytkownik dwie strony tej samej witryny wywołuje. Nie dziwi to, bo przekazywanie identyfikatora Klienta z strony 1 na stronę 2 nie może odbywać się bezpośrednio i może nastąpić tylko (w tajemnicę) poprzez niewykrywalne Fingerprinting.

Z pomocą Id Klienta można śledzić użytkownika. Id Klienta może być odczytany z strony internetowej, która używa Google Analytics. Kod do odczytu Id Klienta brzmi:

// Read the Client ID
// Execute the Code after the send command!
ga(function(tracker) {
console.log(tracker.get('clientId'));
});

Teraz może każda strona internetowa dla każdego użytkownika przechowywać jego adres IP. W tym samym czasie można do adresu IP każdego użytkownika zapisać również jego Id Klienta . To, że to możliwe jest, wynika po prostu z tego, że Google Analytics ujawnia Id Klienta strony internetowej.

Wersja przyjazna dla ochrony danych osobowych od Google Analytics, która nie istnieje ze względu na istnienie Id klienta, byłaby przechowywała Id klienta przynajmniej z kodem na urządzeniu końcowym użytkownika i tylko na serwerze Google, a tym samym w Panelu sterowania Google Analytics dekoduje. To uniemożliwiłoby ustalenie, który użytkownik jest powiązany z jakim wynikiem w panelu sterowania Google Analytics.

Jeśli Google Universal Analytics ujawnia Client Id, można później wyeksportować lub przesłać dane z Google Analytics oraz połączyć je z własnymi rekordami dotyczącymi użytkowników. Zapisanie adresu IP użytkownika jest możliwe, ale nie da się go udowodnić. Natomiast transfer danych Client Id do własnego serwera byłby udokumentowany i można by go wykryć. Aby to osiągnąć, potrzebny byłoby wywołanie JavaScriptu za pomocą AJAX-a. Alternatywnie można było przekazać Client Id jako parametr podczas wejścia na następną stronę, co również byłoby udokumentowane. Dodatkowym mankamentem tej metody jest to, że nie dałoby się śledzić użytkownika po opuszczeniu strony.

Jeśli Client Id zostanie przekazane na własny serwer, czyli serwer, który jest aktualnie odwiedzany stronie internetowej, istnieje obowiązek uzyskania zgody.

Jeśli Id klienta jest wysyłany tylko do konta Google Analytics i nie gdzie indziej, nie ma bezpośrednio obowiązku zgody zgodnie z art. 6 RODO. Jednakże musi nastąpić transparentna informacja o działaniach dotyczących danych zgodnie z art. 12 RODO. Dane o ochronie prywatności korporacji Google są przeciwnością tego, co jest przejrzyste.

Jeśli jednak ktoś sięga po pomoc Google, tam można przeczytać, że śledzenie poszczególnych użytkowników za pomocą Id klienta może odbywać się przez dłuższy okres i poprzez kilka punktów kontaktu (Touch Points). Samo to wydaje się wymagać zgody. To samo dotyczy, jeśli tylko z Google Analytics 360 (GA 360, dawniej GA Premium) możliwa jest głęboka analiza użytkowników, a GA 360 nie jest w ogóle używany. GA 360 pozwala bezpośrednio na dostęp do danych pierwotnych (za GA360 trzeba zapłacić za możliwość eksportu i przetworzenia tych danych). ([1])

Obowiązuje Obowiązek wyrażenia zgody, jeśli trzeba głęboko w Trickkiste sięgnąć, aby przeprowadzić tzw. Clickstream Analyse z użyciem Google Analytics (przy pomocy Google Tag Manager) . O linku do artykułu, który pokazuje jak to robić, nie będę mówił, aby nikogo nie niesłusznie motywować. Krótko mówiąc, rejestruje się na co Google Analytics zapisuje dane. Później porównuje się metadane z danymi trackingowymi, aby stworzyć bardziej szczegółowe hity, które można przypisać poszczególnym użytkownikom.

Aktualizacja z dnia 30.04.2021: Z Google samych istnieje oficjalne pismo, w którym stwierdza się, że wszystkie (!) Dane Google Analytics są przechowywane i analizowane w USA. W związku z tym zawsze występuje transfer danych do USA, co powoduje pytanie zgodnie z art. 44 RODO.

Zanim dane Google Analytics trafią do USA, są one zazwyczaj gromadzone przez tzw. kolektory w geograficznym sąsiedztwie osoby odwiedzającej stronę internetową i ewentualnie przesyłane do miejsca docelowego za pośrednictwem stacji pośrednich. Oznacza to, że dane są potencjalnie przetwarzane na całym świecie.

Przechowywanie identyfikatora klienta

Jeśli Google Analytics działa bez plików cookies, Id klienta nie jest przechowywany na urządzeniu użytkownika, ale istnieje tam tylko w pamięci operacyjnej jako informacja tymczasowa.

Identyfikator klienta jest przechowywany na serwerach Google, co wciąż jest zbyt złe (patrz powyżej). Poniżej znajduje się obrazek tego, co widzi osoba, która włącza Google Analytics na swojej stronie i później ocenia zebrane dane w Panelu sterowania Google Analytics:

Bez większego trudu Google mogłoby nie ujawnić tej Client Id i tym samym być bardziej przyjazna dla ochrony danych osobowych. To, co chciało Google, to nie być przyjazne dla ochrony danych osobowych.

Poniższy zrzut ekranu pokazuje, co można zrobić z danymi Google Analytics:

Dane nie są dostępne za pomocą standardowych narzędzi Google, ale można je uzyskać bez dodatkowych produktów Google. Jak pokazuje wykres, nawet Słowa kluczowe mogą być odczytane, które zostały użyte podczas wyszukiwania strony internetowej, która właśnie została otwarta. Każdemu użytkownikowi jest przypisywany własny identyfikator. W ten sposób użytkownicy mogą być śledzeni przez wiele kanałów. Może to nawet nastąpić w prosty sposób za pomocą własnej kopii skryptu Google Analytics, co jednak szybko się okaże, jeśli ktoś zrozumie technicznie i ma doświadczenie w dziedzinie ochrony danych. Dokumentacja Google pokazuje ile danych jest rejestrowanych przez interakcję użytkownika z Google Analytics. Są one tak liczne, że można je tylko automatycznie policzyć. Są to 257 atrybutów na jeden hit (stan na 26.07.2021). Rejestracja odbywa się stale, ale jest dostępna jedynie w Google Analytics 360.

Oto przykład bardziej pozytywny z Piwik, w którym można zobaczyć, że prowadzenie tej samej Client Id w przeglądarce strony i na serwerze, gdzie wyniki analizy są przechowywane, jest oczywiście niezbędne:

Matomo przechowuje dane odwiedzającego za pomocą następującego transferu danych, który odbywa się w przeglądarce:

action_name=&idsite=1&rec=1&r=477433&h=13&m=29&s=28&url=https://xyz.de/&_id=&_idts=16149xx369&_idvc=1&_idn=1&_refts=0&_viewts=16149xx369&send_image=0&res=1920x1080&gt_ms=236&pv_id=bxxyyP

Jak można zobaczyć porównując te parametry z poprzednim screenshotem, w tym miejscu nie ma widocznej ID 67f37f3a2aa98b84. Nie jest ona nawet przechowywana w ciasteczku sesji Matomo, ale wartość to 8xx1f5bec073xxffe61862b70312xxe0.

Przypisanie użytkownika w przeglądarce do odwiedzającego w wynikach Matomo nie jest możliwe, a tym samym znacznie bardziej chronione jest prywatność niż Google Analytics.

Es gibt darüber hinaus Tools, die ganz ohne Client Id auskommen. Da ich hier keine Werbung für kommerzielle Anbieter machen möchte, nenne ich den mir bekannten Anbieter gerne auf Anfrage.

DPA z Google?

Kiedy w konfiguracji bez plików cookies i bez przekazywania danych analitycznych do stron trzecich musiałoby być zamknięty umowa o wykonywanie usług przez podmiot zewnętrzny (DPA) z Google, odpowiedzialność spoczywałaby głównie na osobie zarządzającej stroną internetową. Umowa DPA jest umową o wykonywanie usług. Jednakże taki umowa może być zawarta tylko z Google, jeśli Google nie będzie używać danych pozyskiwanych za pomocą Google Analytics do własnych celów.

Przekazywanie danych stronom trzecim

W warunkach korzystania z Google Analytics w punkcie 6 jest napisane, że Google może przekazywać dane do innych osób, aby zapewnić dostępność usługi. Jest to dopuszczalne, pod warunkiem, że te osoby zapewniają odpowiednie poziomy ochrony danych zgodnie z RODO . Tylko pytanie brzmi: kto to są te osoby? Zostawmy ten punkt na boku. ([1])

Dostęp do danych z niebezpiecznych krajów trzecich

W pierwszym punkcie tych warunków użytkowania jest wymieniona firma Google LLC: „Te warunki użytkowania dla Google Analytics … mają zastosowanie do Google LLC i Ciebie…"). Firma Google LLC ma siedzibę w USA.

Kolejna wskazówka, że klient Google Analytics faktycznie zawiera umowę z Google LLC, USA, a nie z Google Ireland Limited, Irlandia. Google od czasu do czasu wysyła e-maile do klientów Analytics. Otrzymałem jedną taką wiadomość:

Stopka wiadomości e-mail brzmi następująco:

Należy zauważyć, że jestem zarejestrowany w Analytics w firmie z siedzibą w Niemczech. Google wyraźnie prosi o te informacje, aby wyświetlić warunki obowiązujące w Europie.

Uznaję wyżej wymienioną wiadomość e-mail oraz informacje zawarte w umowie z Google przy zawieraniu konta Analytics za dowód, że stroną umowy jest Google LLC, USA. Kliknięcie łącza rezygnacji z subskrypcji w wyżej wymienionej wiadomości e-mail spowoduje wyświetlenie strony internetowej, na której Google LLC, USA jest ponownie wymieniona jako operator strony internetowej.

Stany Zjednoczone są niepewnym trzecim krajem, dla którego nie można zagwarantować, że RODO będzie przestrzegana. Przeciwko RODO stoi FISA Act (Ustawa o wywiadzie zagranicznym) oraz Cloud Act. Standardowe klauzule umowne są dla Stanów Zjednoczonych więc Bullshit.

Użyj własnego identyfikatora klienta

Jest możliwość, aby zamiast przypisanej przez Google Id klienta, użyć własnego. To szczególnie przy użyciu kilku kont Google Analytics ma sens.

ga('create', 'UA-XXXXX-Y', {
'storage': 'none',
'clientId': '12a24efd-ec42-492a-92df-c62cfd4540a3'
});

Kod źródłowy przedstawiony wyśle do Google Analytics własny Id klienta, który został wcześniej utworzony przez stronę lub przyznany ponownie użytkownikowi, który odwiedza ją wielokrotnie. Ponadto są dezaktywowane pliki cookie. Jeśli byłyby one aktywne, sytuacja byłaby identyczna z opisana wyżej.

Użycie własnego Id klienta prowadzi bezpośrednio do wymogu zgody zgodnie z art. 5 ust. 1 lit. c RODO lub art. 25 RODO, nakazu minimalizacji danych oraz ochrony danych poprzez projektowanie techniczne.

Własny identyfikator użytkownika dla Google Analytics

Zamiast Id klienta, strona może używać własnego ID użytkownika. Różnice między Id klienta a ID użytkownika są:

• Identyfikator klienta jest pseudonimizowany i ograniczony do jednego przeglądarki na urządzeniu końcowym. Identyfikator użytkownika może działać między urządzeniami i identyfikować użytkowników w sposób osobisty.
• Identyfikator klienta jest standardem dla oceny Google Analytics. Identyfikacja użytkownika musi być włączona do oceny.
• Klient Id jest automatycznie przyznawany. Numer użytkownika musi zostać przyznany i zarządzony przez klienta Google Analytics.

Poniższy kod pokazuje przekazywanie własnej User ID do Google Analytics.

ga('create', 'UA-XXXXX-Y', 'auto', {
userId: USER_ID
});
ga('send', 'pageview');

Przed przekazaniem User ID do Google Analytics, musi ona być oczywiście sama wygenerowana.

Identyfikator użytkownika może być ukrycie związany z adresem IP. Ponadto można założyć, że identyfikator użytkownika jest porównywany z danymi użytkownika, które zostały zebrane w inny sposób lub będą zebrane.

Zgodnie z tym, zgoda jest wymagana przy prowadzeniu własnej ID użytkownika dla Google Analytics.

Podsumowanie

Poniższa tabela przedstawia ocenę obowiązku zgody w różnych konfiguracjach Google Analytics:

Dla wszystkich tych scenariuszy obowiązuje zgodnie z art. 44ff RODO obowiązek zgody, ponieważ dostawca usług Google LLC ma siedzibę w Stany Zjednoczone i działa na całym świecie oraz przekazuje dane do innych podmiotów.

Tak samo dotyczą się wszystkich tych scenariuszy, że prawdopodobnie istnieje obowiązek zgody z powodu Art. 12 RODO. Ten artykuł mówi o tym, że użytkownik musi być poinformowany w sposób przejrzysty. Art. 5 § 1 b RODO wymaga wyraźnych i określonych celów. Czy mogę wyjaśnić Ci warunki dotyczące ochrony danych osobowych oraz użycia Google? Czy mogę powiedzieć, kim jest „Google”? Ostatnie pytanie mi się już wyjaśniło się, że „Google” w sensie deklaracji o ochronie danych Google dla EOG (Europejskiego Obszaru Gospodarczego) to tak naprawdę cały koncern Google, czyli Google Irlandia, Google USA oraz ponad 100 podwykonawców.

Wszystko jest takie, aby nie używać plików cookie typu Opt-Out. Zamiast tego nie wolno już załadować skryptu Google Analytics, jeśli użytkownik odwołał swoją zgodę.

Kto ma na serio duże znaczenie dla bezpieczeństwa prawnego, powinien użyć innego narzędzia do analizy. Na przykład Piwik (Matomo) może być skonfigurowany w lokalnej instalacji tak, aby nie była wymagana zgoda. Tak samo WP Statistics dla stron WordPress robi dobrze.