Användningen av Google Analytics är föremål för vissa krav enligt GDPR (General Data Protection Regulation). Dataskydd och Google Analytics har länge varit i konflikt. Senast sedan EG-domstolens dom om spårning har en opt-in tillhandahållits för Google Analytics. I detta sammanhang är frågan om behandlingen av Google Analytics-kakor av betydelse. Du hittar stöd från samtyckeshanteringsleverantörer (CMPs) för den juridiskt säkra integrationen av Google Analytics. Med cookies samtycke-lösningar bidrar du till dataskydd i Google Analytics.
Google Analytics i korthet: vikten av dataskydd
Majoriteten av större webbplatser förlitar sig på analysverktyg för att dra slutsatser om besökarnas beteende. Det överlägset mest populära verktyget för användaranalys är Google Analytics. Som framgår av olika statistik används detta verktyg på ungefär hälften av alla webbplatser, beroende på undersökning. Å ena sidan beror denna popularitet på att Google har tillgång till en särskilt stor mängd användardata . Å andra sidan härrör populariteten från det faktum att ett stort utbud av Google Analytics-funktioner är gratis för alla användare .
Google Analytics använder cookies för att utvärdera användardata. Dessa små filer lagras i besökarens webbläsare. Användare har många alternativ för att samla in olika data enligt anpassade inställningar. Google Analytics gör det sedan möjligt för webbplatsoperatörer att bearbeta och utvärdera data enligt olika parametrar. Utifrån detta kan värdefulla nyckeltal som sidvisningar, användarbeteende eller vistelsetid på sajten spåras. Google Analytics gör det också möjligt att spåra enskilda åtgärder exakt , inklusive prenumeration på ett nyhetsbrev eller nedladdning av vissa filer. Alternativ för konverteringsspårning kan användas för att avgöra vid vilka punkter besökarna blir kunder. Detta avslöjar optimeringspotential och bidrar till en kontinuerlig förbättring av sidans prestanda.
Ur ett dataskyddsperspektiv måste de enorma mängderna data som Google Analytics samlar in och utvärderar ses kritiskt. Dataskyddstjänstemän klagar särskilt på lagring och överföring av fullständiga IP-adresser för besökare på Google (direkt till USA). Dessutom kritiserar dataskyddsmän att Googles dataskyddsbestämmelser inte ger tillräcklig information om vilka uppgifter om webbplatsbesökaren som faktiskt samlas in, lagras och överförs .
På grund av tillgången till mycket användardata har dataskyddet i Google Analytics länge varit kontroversiellt. Med ikraftträdandet av GDPR (även GDPR: General Data Protection Regulation) och i ännu högre grad sedan EG-domstolens dom om cookies 2019, är den rättssäkra användningen av Google Analytics föremål för vissa krav. Om Google Analytics inte är samordnat med GDPR kan webbplatsoperatörer drabbas av allvarliga varningar eller böter .
Google Analytics: Juridisk bakgrund (GDPR och EG-domstolens beslut)
Samordning av Google Analytics med GDPR har blivit oumbärlig senast sedan den senare trädde i kraft. Dataskyddsmyndigheter har tidigare hotat webbplatsoperatörer med böter för att ha använt det här verktyget. Innan GDPR kunde Google Analytics även användas utan samtycke, förutsatt att endast ett fåtal krav uppfylldes (t.ex. IP-anonymisering och AV-kontrakt). GDPR kopplades till förhoppningen att frågan om samtycke endast skulle regleras med ePrivacy-förordningen . Tills dess ville webbplatsoperatörer förlita sig på det ”berättigade intresset” i enlighet med artikel 6 para. 1 lit. f GDPR utsedd.
En viktig förändring kom med EG-domstolens dom från 2019 i Planet49-målet (Ref.: C-673/17). Domen åtföljs av tydlig information om samtycke till användning av Google Analytics cookies och andra cookies. Utformningen av samtycket bör vara sådan att besökare först måste uttryckligen samtycka till användningen av Google Analytics-cookies. Därför förlitar sig Google Analytics på opt-in : Användare måste först frivilligt godkänna innan en operatör ens tillåts samla in och behandla Google Analytics-cookies. Det finns ett undantag när det gäller cookies, som är absolut nödvändiga för att webbplatsen ska fungera tekniskt.
I sin dom påpekade EG-domstolen att e-integritetsförordningen (artikel 5, punkt 3) redan föreskrev samtycke även för cookies som inte är absolut nödvändiga. Liknande uttalanden från EG-domstolen är redan kända från tidigare rättspraxis.
De juridiska kraven för användningen av Google Analytics-cookies omvärderades av samordningskommittén för de tyska dataskyddsmyndigheterna (DSK) den 12 maj 2020. Med denna upplösning finns det också ett tillägg till orienteringsguiden för telemedialeverantörer . Denna orienteringsguide förklarar olika inställningar när du använder Google Analytics när det gäller laglig användning.
Laglig användning av Google Analytics: Åtgärder för webbplatsoperatörer
Alla som fortsätter att förlita sig på Google Analytics som webbplatsoperatör, till exempel inom mediasektorn eller inom e-handel , rekommenderas att vidta vissa åtgärder som säkerställer rättssäkerheten för spårningsverktyget.
Säkerställa transparens i dataskyddsbestämmelser
Webbplatsoperatörer bör tillhandahålla omfattande information om användningen och behandlingen av personuppgifter i dataskyddsbestämmelserna. Denna transparens måste garanteras i enlighet med artikel 13 GDPR så att Google Analytics kan samordnas med GDPR.
När det gäller de specifika kraven i informationsskyldigheten hänvisar dataskyddsexperter till Europeiska dataskyddsstyrelsens riktlinjer för öppenhet. Vid anpassning av dataskyddsdeklarationen ska åtminstone följande informationsinnehåll anges, med hänsyn tagen till DSK-kraven enligt artiklarna 12 och 13 DSGVO: Omfattningen av datainsamlingen ska kommuniceras tydligt. Vidare ska dataskyddsförklaringen ge information om den rättsliga grund på vilken uppgifterna samlas in. Likaså måste integritetspolicyn förklaras i ordning
hur länge uppgifterna lagras. I detta sammanhang är
Kriterier för att bestämma lagringsperioden anges. Dataskyddsförklaringen bör också innehålla en hänvisning till ångerrätten och dess genomförande.
Förkorta IP-adressen
Som ytterligare en åtgärd för att samordna Google Analytics med GDPR bör operatörer av en webbplats med detta spårningsverktyg ordna så att IP-adressen förkortas . Detta kan implementeras genom att lägga till kommandot ”_anonymizeIp()” i spårningskoden. Detta hänvisar till alla webbplatser som har en Google Analytics-integration. Teknisk information om den här typen av trunkering av IP-adresser finns direkt i instruktionerna på Googles utvecklarsida.
Att förkorta IP-adressen är en viktig åtgärd för att skydda användare i enlighet med artikel 25 para. 1 GDPR. Det räcker dock inte att bara förkorta IP-adressen för att säkerställa anonym databehandling. Utöver den rena IP-adressen innebär användningen av Google Analytics insamling av många andra användningsdata. Detta inkluderar personuppgifter, såsom de som används för att identifiera användare (t.ex. i betydelsen att länka till ett befintligt Google-konto).
Därför, även efter att IP-adressen har förkortats, måste ytterligare krav för samordning av Google Analytics med DSGVO följas. Likaså ska det i den tidigare nämnda dataskyddsförklaringen noteras om IP-adressen har förkortats.
Fastställande av lagringstiden för uppgifterna
För att samordna Google Analytics med GDPR är det också nödvändigt att specificera exakt vilken lagringsperiod som tillhandahålls för data. Google Analytics inkluderar vissa kontroller för datalagring . Standardinställningen är utformad för att automatiskt spara användardata och händelsedata i 26 månader. Ofta är knappen ”Återställ vid ny aktivitet” inaktiverad i standardinställningarna. Den här knappen bör avaktiveras för att samordna Google Analytics med GDPR (jämför artikel 25: Dataskydd genom design). Lagringstiden för uppgifterna bör begränsas till 14 månader .
För att ändra lagringsperioden för data, ska egenskapen som ska redigeras väljas under fliken ”Management”. I motsvarande kolumn ”Egenskap” under ”Spårningsinformation – datalagring” kan inställningar för lagringstiden göras. Efter att en annan inställning har valts här bör du komma ihåg att anpassa dataskyddsdeklarationen till dessa ändringar.
Uttryckligt samtycke till användningen av cookies
En av de viktigaste förutsättningarna för en laglig utformning av användningen av Google Analytics är garantin för ett väl genomtänkt cookie-samtycke . En besökares samtycke till användningen av Google Analytics och cookies måste innehålla viss information: först och främst måste rubriken vara tydlig och entydig. Den måste visa att användaren samtycker till databehandlingen av Google efter att ha gett sitt samtycke. Dessutom måste användarna informeras om att som en del av databehandlingen överförs personuppgifter och data om användningsbeteende på webbplatsen till Google . Begäran om samtycke bör också innehålla exakt information om vilka typer av uppgifter som är aktuella.
Det är också relevant att veta att de insamlade uppgifterna huvudsakligen behandlas av Google . Det bör betonas att operatören av webbplatsen inte har något inflytande på databehandlingen i detta avseende. Google behandlar uppgifterna för sina egna syften (t.ex. profilering).
Det är också viktigt att veta om de insamlade uppgifterna även kan kopplas till information från andra källor. Information ska också läggas till om uppgifterna lagras i USA och om statliga myndigheter kan ha tillgång till dessa uppgifter.
Tekniska krav för samtycke och återkallelse
Dessutom får samtyckesalternativet inte representera ett allomfattande samtycke till användningen av cookies. En viktig teknisk förutsättning för samtycke är användarens aktiva deltagande. Användaren ska ha möjlighet att aktivt samtycka till användningen av data. Detta utesluter förmarkerade rutor eller kryssrutor !
Detta är förknippat med kravet att spårningsverktyget och motsvarande Google Analytics-cookies endast kan bli aktiva efter att användare har gett sitt aktiva samtycke. Google Analytics-cookies får inte ställas in i förväg.
Uppgifterna får endast samlas in efter att användare aktivt har kryssat i rutan. Dessutom måste detta samtycke vara frivilligt. Detta är också kopplat till möjligheten för användare att när som helst vägra samtycke.
Vidare måste det tekniskt säkerställas att användarna inte drabbas av några nackdelar vid utebliven samtycke. Användarna ska förses med tydliga och användarvänliga tekniska lösningar för att säkerställa och implementera samtycke. Samtyckesverktyg erbjuder en möjlighet för detta. Dessa bör ge möjlighet att när som helst återkalla detta samtycke, även efter att samtycke redan har givits. I alla appar eller cookies samtyckeslösningar måste det också finnas ett lättillgängligt alternativ för en effektiv återkallelse i inställningarna.
I princip erbjuder Google ett webbläsartillägg som inaktiverar Google Analytics. Det bör noteras att det inte räcker att hänvisa användare till detta tillägg. Detta ger inte användarna en tillräcklig möjlighet till återkallelse. Enligt artikel 7 mom. 3 s.4 GDPR, återkallande av samtycke måste vara lika enkelt som att ge samtycke. Google-tillägget uppfyller inte dessa krav eftersom det först kräver att användaren laddar ner ett program i form av tillägget.
Betydelsen av opt-in-förfarandet
Aktivt och uttryckligt samtycke till användningen av Google Analytics-cookies är också känt som en opt-in-procedur. Utformningen av samtycke till användning måste vara utformad som ett verkligt Google Analytics opt-in senast efter EG-domstolens dom om cookies. Sedan EU:s dataskyddsriktlinjer från 2009 har det i princip föreskrivits att webbplatsanvändare ombeds om sitt samtycke. Hittills har dock många operatörer tolkat detta samtycke som ett undantag. I praktiken innebär det att cookies samlas in utan att användaren behöver göra något. Besökare har bara möjlighet att förhindra insamling av cookies. Enligt EG-domstolens avgörande om cookies får en webbplats inte längre sätta cookies innan besökaren har gett sitt uttryckliga och aktiva samtycke . Det betyder att Google Analytics-cookies bara kan ställas in överhuvudtaget efter att besökaren har valt dem (opt-in).
CMP: Consent Management Solutions för webbplatser och deras fördelar
Det är viktigt för webbplatsoperatörer och företag att vidta försiktighetsåtgärder i god tid för ett effektivt samtycke till användningen av Google Analytics. Å ena sidan ger samtyckeshanteringsbanner användarna omfattande information om användningen av uppgifterna och ber dem samtidigt ge sitt samtycke.
Det tekniska förverkligandet av en lagligt överensstämmande cookiehantering gynnas av så kallat samtycke
Lösningar. En bra samtyckeshanterare tar hänsyn till kraven i GDPR och EG-domstolens dom samt en positiv användarupplevelse. De viktigaste aspekterna av en positiv användarupplevelse inkluderar en lång uppehållstid och en hög acceptansgrad . Följaktligen bör avvisningsfrekvensen hållas så låg som möjligt. Bra samtyckeshanteringslösningar hjälper till att öka acceptansgraden och samtidigt minimera avvisningsfrekvensen. På så sätt säkerställer de att webbplatsen presterar bra och ger sitt bidrag till kundförvärv och kundlojalitet.
En genomtänkt lösning för samtyckeshantering ger en realtidsöversikt över acceptans och avvisningsfrekvens. Detta gör att värdefulla slutsatser kan dras om webbplatsens nuvarande prestanda och motsvarande förbättringspotential.
Samtyckeslösningar är internationellt orienterade. Den visade bannern visas automatiskt på respektive språk i landet i GDPR-området från vilket webbplatsen nås. Totalt sett visar samtyckeshanteringsleverantören informationen på 29 språk. Likaså är en lyhörd design och anpassning en självklarhet i en modern samtyckeslösning. Samtyckeslösningen tar hänsyn till slutenhet, operativsystem och skärmstorlek och visar samtyckesbannern på ett optimerat sätt.
