Under de senaste månaderna har Google Analytics utvecklats avsevärt och har nu gått vidare till Google Analytics 4. Frågan är om samtycke krävs för 2023 års version och varför. Svaret beror på hur verktyget är konfigurerat, om dataöverföringen till USA och Googles användarvillkor inte ses som ett problem.
Denna artikel undersöker främst Google Universal Analytics. Denna utveckling av Google Analytics var den mest använda varianten fram till nyligen. Skillnaderna till Google Analytics 4 är i stora delar att försäga sig om från ett dataskyddsperspektiv. Dessutom finns det så kallade Google Analytics 4 Properties. Där handlar det om egenskaper med attribut, som tidigare kunde användas för det tidigare Google Universal Analytics kontot. Parallell användning av GA4 Properties och GA Properties var möjlig.
Ett ord i förväg om användarvillkoren för GA4
Google användarvillkorsäger i avsnittet "7. Personuppgiftsbehandling":
Du kommer inte att överföra någon information till Google som Google kan använda eller känna igen som personligt identifierbar information, och du kommer inte heller att tillåta eller hjälpa tredje part att göra det
Detta innebär att det inte är möjligt att använda Google Analytics i dess standardform, eftersom IP-adressen redan är personuppgifter som alltid överförs till Google om GA integreras som standard. Antingen har Google ingen aning om dataskydd eller så flyttar de medvetet hela ansvaret för dataleveransen till den personuppgiftsansvarige som använder GA.
Google Analytics med cookies (standardkonfiguration)
I Google Analytics standardkonfiguration har det följande utseende:
- Användning av Första-partscookies
- Överföring av värden från cookies till Googles servrar
- Hantera ett Client Id per användare, som är unikt för varje webbläsare och enhet
- Fördelarna med webbläsarfingeravtryck, bland annat genom att läsa in Viewports. Enbart därför är Google Analytics i varje konfiguration samtyckeskyldig
- Analys av klickvägar
- Utvärdering av användarnas vistelsetid på enskilda sidor
På grund av de cookies som används samt det bekräftade datatrafik genom Google Analytics från cookies till Google-servrar är en samtyckespliktighet obligatorisk. Detta kan tydligt härledas från Art. 5 (3) ePrivacy-direktiv, vilket enligt BGH-domstolsdom den 28.05.2020 (I ZR 7/16) ska tillämpas på cookies i Tyskland eller § 15 Abs. 3 TMG tolkas enligt direktivet.
Kund ID heter ju kund ID, men med det menas en identifiering för en användare (= kund).
Det är inte meningen att identifieringen alltid lagras på Client (dvs. användarens enhet, om man vill kalla enheten för klient). Vid cookiebehaftad drift av Google Analytics lagras Client Id på användarens enhet. Vid cookielös drift lagras inte Client Id på användarens enhet – lagring av informationer i användarens enhet fungerar utan cookies inte (senast uppdaterad: 05.03.2021)!
Bevis på tillgång till cookies från Google Analytics
Att tillgången till cookies sker genom Google Analytics kan bevisas på följande sätt:
Cookies som Google Analytics skapat vid en slumpmässig webbplatsbesök är följande:
Att dessa Cookies har skapats av Google Analytics kan också bevisas. Det sparar jag här ifrån. Varje tekniskt halvvägs begåvad kommer att hinbringa det själv.
Att Google Analytics tar till sig dessa cookies kan bevisas genom att titta på tracking eventet som sätts av Google Analytics skriptet:
https://www.google-analytics.com/j/collect?v=1&_v=j87&aip=1&cid=1111111162.1612337222&_gid=4444463630.1612555025
Den riktiga anropet är ännu längre. Den har blivit avkortad på grund av dataskydd och för att få en bättre överskådlighet. Som man kan se överförs de värden som lagrats i cookies till parametern cid och _gid. Därefter fanns tydligt ett åtkomst till cookies, alltså ett åtkomst till de uppgifter som sparats på användarens enhet. Beviset är oantastlig eftersom det kan reproducera sig när som helst (Stå: 10.02.2021).
Cookies är inte ett berättigat intresse
Att Cookies här inte täcks av ett berättigat intresse kan man utlära från att Google Analytics även utan Cookies kan drivas. Detta fall kommer att behandlas nästa. Dessutom skulle det också vara ointressant om Cookies kunde tilldelas ett berättigat intresse. Eftersom § 25 TTDSG, som reglerar samtyckesskyldigheten för Cookies, inte känner till något berättigat intresse! TTDSG är i detta avseende ett särskilt lagstiftningsverk till GDPR och har företräde inför GDPR när det gäller Cookies. Enligt TTDSG spelar det också ingen roll om värden i kakorna är personuppgiftsrelaterade eller inte. TTDSG genomför EU:s ePrivacy-förordning nästan ordagrant för Tyskland.
Om Google Analytics i stället för traditionella Cookies använder den så kallade HTML5 Local Storage, är rättslig grund identisk. Det innebär att även med denna så kallade Web Storage måste en samtyckande från användaren inhämtas.
Google Analytics med cookies eller webblagring kräver samtycke baserat på ePrivacy-direktivet
Standardkonfiguration av Google Analytics.
Google Analytics ohne Cookies
En av mina andra artiklar beskriver konfigurationen av Google Analytics utan Cookies. ([1])
Om Google Analytics är konfigurerat så att inga Cookies används kommer karaktäristiken att vara som följer:
- Hantera ett Client Id per användare, som är unikt för varje webbläsare och enhet
- Använda webbläsarens fingeravtryck
- Analys av klickvägar
- Utvärdering av användarnas vistelsetider på sidor
Klient Id_ skickas till Googles servrar vid varje spårningshändelse av analyseringsverktyget, naturligtvis. Dock får Klient Id en annan värde vid varje anrop av en annan sida inom samma domän (alltså den besökta webbplatsen) om inga Cookies används. Google Analytics upptäcker alltså inte en användare som återkommer under samma session, även om användaren anropar två sidor på samma webbplats. Detta förvånar inte, eftersom överföringen av Klient Id från sida 1 till sida 2 inte kan ske direkt utan Cookies och högst (hemligt) genom icke direkt spårbar Fingerprinting.
Med hjälp av Client Id kan en användare spåras. Den Client Id kan i sin tur läsas ut från webbplatsen som använder Google Analytics. Kod för att läsa ut Client Id är:
// Read the Client ID
// Execute the Code after the send command!
ga(function(tracker) {
console.log(tracker.get('clientId'));
});
Nu kan en webbplats för varje användare spara hans IP-adress och tillhörande Client Id. Att detta över huvud taget är möjligt beror på att Google Analytics gör Client Id tillgänglig för webbplatsen.
En dataskyddsvänlig variant av Google Analytics, som inte finns på grund av existensen av Client Id, skulle hålla Client Id kodat på användarens enhet och endast dekodera det på Googles server och därmed i Google Analytics-dashbordet. Detta skulle förhindra att man kan följa vilken användare som är kopplad till vilka träffar i Google Analytics-dashbordet.
Om Google Universal Analytics har Client Id i klartext kan man senare exportera eller fråga efter Google Analytics-data via en gräns och sedan blanda med egna uppgifter om användare. Det är dock möjligt att spara IP-adressen för användaren utan att det går att bevisa. Vad som skulle kunna bevisas är överföringen av Client Id till en egen server. För detta vore ett JavaScript-anrop via AJAX nödvändigt. Alternativt kunde man vid anropet av en efterföljande sida överlämna Client Id som parameter, vilket också skulle kunna bevisas. Dessutom skulle nackdelen med detta tillvägagångssätt vara att spårning inte skulle kunna ske om hela webbplatsen lämnades.
Om klient-ID överförs till den egna servern, det vill säga servern för den webbplats som just besökts, är ett samtyckeskrav givet.
Om klient ID bara skickas till ett Google Analytics-konto och inte någon annanstans, ges ingen direkt medgivning enligt artikeln 6 i GDPR. Men enligt artikel 12 i GDPR måste det finnas en transparent information om datahanteringsprocesser. Google-koncernens dataskyddsmeddelanden är precis tvärtom.
Om man dock ser till att få hjälp av Google kan man där läsa att en efterföljande övervakning av enskilda användare genom Client Id under en längre tid och över flera kontaktpunkter (Touch Points) kan ske. Bara detta verkar kräva samtycke. Detta gäller också, om man bara använder Google Analytics 360 (GA 360, tidigare GA Premium) för en djupgående analys av användaren, men där GA 360 inte är aktivt använd. GA 360 tillåter direkt åtkomst till primärdata (vid GA360 betalar man i huvudsak för möjligheten att exportera och utvärdera dessa data). ([1])
Det gäller också samtyckesplikten, om man måste gräva djupt i Trickkisten för att genomföra en så kallad Clickstream Analyse med Google Analytics (t.ex. via Google Tag Manager). Jag sparar länken till artikeln, som visar hur man gör det, för att inte vilseleda någon. I korthet: man skriver ut hur Google Analytics registrerar data. Sen jämför man metadata med spårningsdata för att få detaljerade hits som kan kopplas till enskilda användare.
Uppdatering från den 30 april 2021: En officiell skriftlig uttalande från Google själva anger att alla (!) Google Analytics-data lagras och analyseras i USA. Detta innebär alltså en dataprovokation till USA, vilket gör frågan relevant enligt artikeln 44 i GDPR. ([1])
Google Analytics lagrar alltid all data (åtminstone) i USA
Med mina ord återgivet uttalande från Google självt, per den 30/04/2021.
Innan Google Analytics-data hamnar i USA samlas de vanligtvis in av så kallade insamlare i den geografiska närheten av besökaren på en webbplats och skickas eventuellt till destinationen via mellanliggande stationer. Detta innebär att data potentiellt kan behandlas över hela världen.
Lagring av klient-ID
Om Google Analytics körs utan cookies, lagras Client Id inte på användarens enhet, utan finns bara i huvudminnet som en tillfällig information.
Klient ID lagras på Googles servrar när man inte använder Cookies, vilket ändå är ganska illa (se ovan). Här nedanför visas ett exempelbild av vad den personen ser om han eller hon integrerar Google Analytics i sin webbplats och senare utvärderar de insamlade data i Googles analyseringsdashbord:
Det hade varit fullt möjligt för Google att inte göra Client Id tillgänglig och därmed vara mer dataskyddsvänliga. Det ville Google inte, ville därför inte vara dataskyddsvänliga.
Följande skärmdump visar vad du kan göra med Google Analytics-data:
Daten är inte tillgängliga via Googles standardverktyg, men kan fås utan ytterligare Google-produkter. Som bilden visar kan nyckelord läsas ut, som användes vid sökningen efter den webbplats som precis har blivit påkallad. Varje individuell användare tilldelas också en egen identifierare. Så kan användarna spåras över flera kanaler. Det går faktiskt ganska lätt med en egen kopia av Googles Google Analytics-skript, vilket dock snabbt upptäcks om någon med tekniska och dataskyddskunskap tittar noggrant på det. En Google-dokumentation visar hur många data som registreras per användare-interaktion med Google Analytics. Det är så många att man bara kan automatisera räkningen av dem. Det finns 257 attribut per hit (senast uppdaterad 26.07.2021). Denna registrering sker alltid, men står bara tillgängligt i Google Analytics 360.
Här ett positivare exempel med Piwik, där man ser att det inte är nödvändigt att ha samma Client Id i webbläsaren på den besökta sidan och på servern där analyseresultaten lagras:
Matomo lagrar denna besökare med följande dataöverföring, som sker i webbläsaren:
action_name=&idsite=1&rec=1&r=477433&h=13&m=29&s=28&url=https://xyz.de/&_id=&_idts=16149xx369&_idvc=1&_idn=1&_refts=0&_viewts=16149xx369&send_image=0&res=1920x1080>_ms=236&pv_id=bxxyyP
Hur man genom jämförelse av dessa parametrar med det tidigare skärmdumpet kan se, är där ingen besökare ID 67f37f3a2aa98b84 synlig. Även i ett sessions-Cookie från Matomo sparas inte denna ID, utan värdet är istället 8xx1f5bec073xxffe61862b70312xxe0.
En tilldelning av en användare i webbläsaren med ett besökare i Matomos resultat är således inte möjlig och därmed mycket mer dataskyddsvänligt än Google Analytics.
Det finns dessutom verktyg som fungerar helt utan Client Id. Eftersom jag inte vill försöka sälja någon kommersiell produkt, nämner jag gärna den leverantör jag känner till på begäran.
DPA med Google?
När en webbplats är konfigurerad utan cookies och inte delar analyserade data med tredje part, måste ett DPA (avtal om åtgärdshantering) slutas med Google. Det är den ansvarige för webbplatsen som främst ska stå till svars. Ett DPA är en avtalsverksamhet. En sådan kan dock bara slutas med Google, om Google inte använder de data som samlas in med Google Analytics för sina egna ändamål.
Överföring av uppgifter till tredje part
I användarvillkoren för Google Analytics är det under punkt 6 angett att Google kan lämna ut data till tredje part för att kunna leverera tjänsten. Detta är i sig lagligt, så länge de tredje parterna kan garantera ett skyddsnivå som överensstämmer med GDPR. Här uppstår frågan om vem dessa tredje parter är. Låt oss för den skull lämna denna punkt åsido. ([1])
Dataåtkomst från osäkra tredje länder
I första meningen av de ovan nämnda användarvillkoren nämns Google LLC: "Dessa villkor för Google Analytics … gäller mellan Google LLC och dig…"). Google LLC har sitt säte i USA.
En ytterligare indikation på att en Google Analytics-kund faktiskt ingår sitt avtal med Google LLC, USA, och inte med Google Ireland Limited, Irland. Google skickar ibland e-postmeddelanden till Analytics-kunder. Jag fick ett sådant e-postmeddelande:
I e-postmeddelandets sidfot står följande:
Det bör noteras att jag är registrerad med Analytics hos ett företag baserat i Tyskland. Google ber uttryckligen om denna information för att kunna visa villkor som gäller för Europa.
Jag betraktar det ovannämnda e-postmeddelandet och informationen i avtalet med Google vid ingående av ett Analytics-konto som bevis för att avtalspartnern är Google LLC, USA. Om du klickar på länken för att avsluta prenumerationen i det ovannämnda e-postmeddelandet visas en webbplats där Google LLC, USA, återigen anges som webbplatsens operatör.
Den centrala avtalspartnern för tyska Google Analytics-kunder är Google LLC, USA
Bevisbart faktum.
USA är ett osäkert tredje land, för vilket det inte kan garanteras att GDPR följs. GDPR motsätter sig FISA-lagen (lag om utlandsspaning) samt Cloud Act. Standardavtalsbestämmelser är för USA alltså bluff.
Google Analytics utan cookies kräver samtycke på grund av dataöverföring till osäkra tredje länder
Dessutom finns det förmodligen en skyldighet att inhämta samtycke på grund av den icke-transparenta information som tillhandahålls av Google.
Använd ditt eget kund-ID
Det är möjligt att använda en egen Client Id istället för den som Google tilldelar. Detta kan vara särskilt värdefullt när flera Google Analytics -konton används.
ga('create', 'UA-XXXXX-Y', {
'"lagring": "ingen",
'clientId': '12a24efd-ec42-492a-92df-c62cfd4540a3'
});
Den visade källkoden överför en egen Google Analytics klient ID till, som tidigare har skapats av webbplatsen eller återigen har getts till en återkommande användare. Dessutom är cookies inaktiverad. Med cookies skulle fallet vara identiskt med det ovan beskrivna.
Användandet av en egen Client Id leder direkt till ett samtyckeskrav enligt Artikel 5 § 1 c GDPR eller Artikel 25 GDPR, de krav på Minimering av data och privacy durch Technikgestaltung.
Google Analytics med eget klient-ID omfattas av samtyckeskravet enligt art. 5.1 c i GDPR, art. 25 i GDPR.
Därutöver kan ytterligare rättsliga anspråk uppkomma.
Eget användar-ID för Google Analytics
Istället för en Client Id kan en webbplats använda sin egen User ID. Skillnaderna mellan Client Id och User ID är:
- Client Id är pseudonymiserad och begränsad till en webbläsare på ett enhet. Den User ID kan fungera över enheter och identifierar användaren personbaserat.
- Kund-ID är standard för Google Analytics-analyser. Användar-ID måste aktiveras för analyser.
- Kund-ID ges tilldelas automatiskt. Användar-ID måste ges och hanteras av Google Analytics-kunden.
Följande kod visar hur man överför sin egen User ID till Google Analytics.
ga('create', 'UA-XXXXX-Y', 'auto', {
userId: USER_ID
});
ga('send', 'pageview');
Innan User ID överförs till Google Analytics, måste den naturligtvis själv genereras.
Den User ID kan dolda kopplas till en IP-adress. Dessutom kan antas att den User ID jämförs med data från användaren, som samlats in på annat sätt eller kommer att samlas in.
En samtycke är då nödvändigt vid användning av en egen User ID för Google Analytics.
Google Analytics med sitt eget användar-ID är föremål för samtycke på grundval av artikel 5.1 c i GDPR eller artikel 5.3 i ePrivacy-direktivet, beroende på utformningen
Användar-ID:t kan hanteras på olika sätt. Bedömningen måste göras beroende på detta.
Sammanfattning
Följande tabell visar bedömningen av samtyckesplikt vid olika Google Analytics konfigurationer:
| Google Analytics-konfiguration | Bedömning |
|---|---|
| Med cookies | Samtyckespliktiga enligt Art. 5 (3) ePrivacy directive |
| Utan cookies, med klient-ID, ingen personlig användning av klient-ID | Samtyckespliktiga enligt Art. 44ff GDPR or Art. 5 Abs. 1b or c GDPR or Art. 25 GDPR |
| Utan cookies, med klient-ID, egen användning av klient-ID | Samtyckespliktiga enligt Art. 5 § 1 b eller c GDPR eller Art. 25 GDPR |
| Utan cookies, med eget kund-ID | Einwilligungspflichtig gemäß Art. 6 GDPR or Art. 5 Abs. 1 c GDPR or Art. 25 GDPR |
| Utan cookies, med användar-ID | Samtyckespliktig enligt Artikel 5 (3) ePrivacy Directive eller Artikel 5 punkt 1 c GDPR eller Artikel 25 GDPR (beroende på implementering av användar-ID) |
För alla dessa scenarier gäller enligt Art. 44ff GDPR en samtyckesplikt, eftersom tjänstleverantören Google LLC har sitt säte i USA och är verksam världen över samt delar ut data till tredje part.
Likewise applies to all these scenarios that there is probably a consent obligation due to Artikel 12 i GDPR. This article states that the user must be provided with transparent information. Art. 5 Abs. 1 b GDPR also requires clear and specific purposes. Can you explain Google's privacy policy and terms of use to me? Can you tell me who or what is meant by "Google"? As for the latter, I have now found out that "Google" in the sense of the Google data protection declaration for the EEA corresponds to the Google group, ie Google Ireland, Google USA as well as over a hundred subcontractors.
Vid allt detta ska man se till att inte använda Opt-Out Cookies. Istället får man inte längre ladda ner Google Analytics Script när användaren har ångett sitt samtycke.
Om man värderar hög rättssäkerhet, borde man använda ett annat analyseringsverktyg. Till exempel kan Piwik i lokal installation konfigureras så att en samtyckande inte är nödvändig. Även WP Statistics för WordPress-webbplatser gör ett bra jobb.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.