Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Ist Google Analytics mit serverseitigem Tracking datenschutzkonform nutzbar?

0

Um Einwilligungsabfragen zu umgehen, sollen Analysedaten über den Umweg des eigenen Servers an den Google Analytics Datenpool geschickt werden. Kann diese Art der Nutzeranalyse ohne Cookie-Einsatz ohne Consent zulässig sein?

Einleitung

Bereits vor einiger Zeit habe ich mich dem serverseitigen Tracking gewidmet. Sogar in einer Folge des Podcast Datenschutz Deluxe haben Frank Kremin und ich darüber gesprochen.

Neben dem server-side tracking wird auch der Begriff des server-side tagging verwendet. Das serverseitige Tagging modifiziert Daten, nachdem sie auf der eigenen Webseite eingesammelt wurden und bevor sie an einen externen Datenpool wie Google Analytics geschickt werden. Eigentlich geht es nur um das Tagging, denn das Tracking mit Google Analytics kann nicht datenschutzkonform sein.

Tracking ist immer einwilligungspflichtig, erst recht, wenn Daten an Google geschickt werden.

Verkürzte Aussage, gestützt auf das allgemeine Verständnis des Begriffs Tracking.

Google Analytics verarbeitet sämtliche Analysedaten immer in den USA. Dieses Statement kommt von der Firma Google selbst und ist daher unstrittig. Sie finden die offizielle Quelle hierfür in meinem Blog. Aufgrund von Art. 49 DSGVO und dem EuGH-Urteil Schrems II sind damit alle Verarbeitungen personenbezogenen Daten mit Google Analytics einwilligungspflichtig.

Einwilligungsabfragen

Daher bleibt nur die Frage, ob serverseitiges Tagging geeignet ist, um Google Analytics ohne Einwilligung zu verwenden. Ich schreibe hier immer “ohne Einwilligung” oder “Einwilligungsabfrage” und nicht “ohne Cookie Popup”. Der Begriff der Cookie-Abfrage ist wirklich grober Unfug. Es gibt so gut wie keine Webseite von Relevanz, die eine Einwilligungsabfrage nur für Cookies benötigen würde.

Hier in Kürze die einwilligungspflichtigen Datenverarbeitungen, die die DSGVO kennt (auch das TTDSG ist der DSGVO zuzurechnen, weil es die ePrivacy-Richtlinie als Sondergesetz zur DSGVO implementiert):

  • Datentransfer in Geheimdienststaaten wie die USA: Siehe den oben schon genannten Art. 49 DSGVO
  • Unnötige Datenweitergabe an Dritte: mithilfe eines rechtsgültigen AVV wird ein Dritter rechtlich zu einem Ersten, jedenfalls im Außenverhältnis. Ich behaupte: Mit Firmen wie Google kann kein rechtskonformer AVV geschlossen werden, weil Google so gerne Daten für eigene Zwecke verwendet. Vgl. etwa Art. 5 DSGVO oder Art. 25 DSGVO
  • Ausufernde Datenverarbeitungen. Es reicht schon, wenn es ein milderes Mittel gibt. Vgl. etwa Art. 5 DSGVO oder meinen Artikel zu Server Logs
  • Zugriffe auf das Endgerät des Nutzers: Hierzu gehören Cookies und ähnliche Technologien (LocalStorage, Web Storage etc. sind Cookies, keine ähnlichen Technologien), sowie das Auslesen von Systemparametern wie des Viewports, aber auch Updates auf Smart Home Geräte, weil das TTDSG die Endeinrichtung einführte. Siehe § 25 TTDSG

Wie zu sehen ist, geht es meist nicht um Cookies. Dass Cookies so populär und unliebsam wurden, liegt vor allem daran:

  1. Manche Anbieter sogenannter Cookie-Tools möchten gerne mit Anti-Lösungen Geld verdienen. Belege:
  2. Firmen wie Google oder Facebook verraten oft nicht, was denn die Zwecke ihrer Cookies sind. Somit können die Dienste, die solche Cookies nutzen, gar nicht rechtskonform eingesetzt werden (vgl. Art. 12 DSGVO sowie EuGH-Urteil “Planet49” sowie die Tatsache, dass Cookies immer personenbezogene Daten darstellen)

Kann Google Analytics ohne Einwilligung genutzt werden?

Zurück zur Frage, ob Google Analytics mit Hilfe des Ansatzes namens serverseitiges Tracking rechtskonform und einwilligungsfrei verwendet werden kann.Die Antwort lautet nein, da das Tracking Daten direkt an Google weiterschickt. Die Frage lautet also:

Ist der Einsatz von Google Analytics mit dem serverseitigen Tagging ohne Einwilligung möglich?

Zur Beantwortung der Frage schaue ich mir eine zufällig über ein Kundenprojekt gefundene Webseite an. Diese Webseite verwendet ein serverseitiges Tracking, um Daten über Nutzer zu sammeln. Ich will nicht behaupten, dass jede Webseite das so machen muss wie im Folgenden beschrieben. Aber es ist sicher ein repräsentativer Fall, wie ich gleich zeigen werde.

Ein Tracking Event sieht wie folgt aus:

https://anonymisiert.server-side-anon.eu/j/collect?v=1&_v=j96&aip=1&a=1471222856&t=pageview&_s=1&dl=https://www.anonymisiert.com/en/&ul=de&de=UTF-8&dt=Homepage | Webseitentitel hier&sd=24-bit&sr=1600x1200&vp=1503x1180&je=0&_u=QACADBABBAACAC~&jid=1472212660&gjid=435157900&cid=1277665588.6136319429&tid=UA-111222333-44&_gid=555666778.2336677982&_fplc=0&_r=1&gtm=2xxtzabQUfDED&z=158286254

Die Daten in diesem Tracking Ereignis habe ich aus Datenschutzgründen erheblich verfremdet. Es fällt direkt auf, dass die Datenerhebung analog zu Google Analytics stattfindet. Sogar die Kontonummer bei Google Analytics wird unnötigerweise mitgeführt (siehe Parameter tid=UA-111222333-44). Offenbar handelt es sich also um eine Datensammelei mit dem Ziel, die Daten später an Google Analytics zu senden. Auch ein Parameter für den Google Tag Manager ist erkennbar (siehe gtm=…). Die weiteren Parameter haben gleiche Namen wie beim Original Google Analytics Log. Sogar der Parameter aip, der eine Anonymisierung der IP-Adresse im Google Datenpool bewirken soll, ist zu finden. Wohlgemerkt gibt es aus technischen Gründen keine IP-Adressen-Anonymisierung hin zu Google, wenn der Tracking Request direkt zu Google geschickt wird. Google verspricht lediglich, dass die IP-Adresse nicht getrackt wird, wenn der Parameter aip den Wert 1 hat. Ob das dann tatsächlich so passiert, darf bezweifelt werden. Ich bezweifle es sehr stark.

Bei diesem eben gezeigten Tracking auf der von mir untersuchten Webseite wird kein Cookie eingesetzt, das ansonsten bei Google Analytics meist zum Einsatz kommt.

Angenommen, die Daten würden unverändert an Google Analytics weitergeschickt. Dann müsste man prüfen, ob die Daten einen Personenbezug zulassen. Denn die DSGVO gilt für personenbezogene und personenbeziehbare Daten (siehe Art. 4 Nr. 1 DSGVO bzw. Art. 2 Abs. 1 DSGVO). Sobald solche Daten vorliegen, dürfen diese nicht ohne Einwilligung an Google Analytics geschickt werden, weil USA-Transfer.

Diese Prüfung nehme ich hier nicht im Detail vor. Ich weise aber darauf hin, dass zahlreiche Daten mit Bezug zum Nutzersystem erfasst werden. Wer sich das oben genannte Tracking Event einmal durchliest, wird lange lesen und grübeln müssen, bevor er die Bedeutung sämtlicher Datenpunkte verstanden hat. Das deutet stark darauf hin, dass die Grenze von einwilligungsfrei hin zu einwilligungspflichtig wegen Nutzerprofilbildung überschritten wurde. Im genannten Fall muss auf diesen Aspekt aber nicht näher eingegangen werden, wie ich gleich zeige.

Nicht notwendige Zugriffe auf das Endgerät des Nutzers bedingen eine Einwilligungspflicht. Beispiel: Auslesen des Viewports.

Dies ist kein Cookie und keine Cookie-ähnliche Technologie!

Schauen wir uns die weiteren Daten an. Zu diesen gehört auch der Viewport, der über den Parameter vp erfasst wird. Der Viewport ist die Größe des Browser-Fensters. Offensichtlich wird diese Größenangabe im Endgerät des Nutzers gespeichert. Über das Tracking Ereignis wird auf diesen Wert im Endgerät des Nutzers zugegriffen. Dies ist offensichtlich nicht erforderlich, sondern findet nur statt, weil der Webseitenbetreiber seine Nutzer unbedingt näher kennenlernen möchte. Damit ist eine Einwilligungspflicht aus § 25 TTDSG gegeben.

Die Bildschirmauflösung des Nutzersystems wird übrigens auch verarbeitet (siehe Parameter sr: sr = screen resolution). Bei der Bildschirmauflösung kann man darüber streiten, ob ein Zugriff auf das Endgerät vorliegt. Ich sage, dass aus technischer Sicht wahrscheinlich kein solcher Zugriff vorliegt und möchte an dieser Stelle hierauf nicht näher eingehen. Wer es nicht glaubt, soll sich zuerst darüber Gedanken machen und meinen eben verlinkten Artikel lesen, bevor er mir widersprechen möchte.

Fazit

Der genannte Fall für serverseitiges Tracking mit Google Analytics ist repräsentativ. Für diesen Fall besteht weiterhin eine Einwilligungspflicht, auch wenn kein Cookie eingesetzt wird und selbst, falls die IP-Adresse des Nutzers oder sonstige personenbezogene oder personenbeziehbare Daten nicht an Google weitergegeben werden.

Serverseitiges Tagging kann Daten hin zu Google Analytics anonymisieren. Dann bleibt aber einwilligungsfrei nicht mehr viel zum Analysieren übrig.

Fazit: Google Analytics ohne Einwilligung ist keine gute Idee.

Für das Vorliegen einer Einwilligungspflicht reicht bereits der Zugriff auf das Endgerät des Nutzers aus. Wir finden hier konkret den Viewport, also die Größe des Browserfensters des Nutzers. Offensichtlich ist das Auslesen des Viewports kein Cookie und auch keine ähnliche Technologie.

Das serverseitige Tracking ist generell ungeeignet, um eine Einwilligungspflicht zu umgehen. Denn es schickt direkt Daten weiter an Datenpools wie die von Google Analytics.

Serverseitiges Tagging hingegen ist potentiell geeignet, Nutzer einwilligungsfrei zu analysieren. Allerdings müssen hierbei zahlreiche Fallstricke überwunden werden. Welche das sind, habe ich gesondert untersucht. Meine Erkenntnis: Google Analytics kann lediglich unter größten Mühen ohne Einwilligung verwendet werden. Wer diesen Weg beschreiten will, erscheint mir relativ hilflos. Denn dieses Vorhaben halte ich für relativ sinnbefreit. Es gibt wesentlich bessere Möglichkeiten, mit weniger Aufwand und höherer Datenqualität eine Einwilligungspflicht zu vermeiden.

Weiterführende Informationen

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutzverstöße aus Sicht von Rechtsanwalt und von Datenschützer: Diskussion im Datenschutz Deluxe Podcast