Vil du bruge Google Analytics i overensstemmelse med databeskyttelsesforskrifterne? En kort oversigt over retstilstanden
Brugen af Google Analytics er underlagt visse krav i henhold til GDPR (General Data Protection Regulation). Databeskyttelse og Google Analytics har længe været i konflikt. Senest siden EF-Domstolens dom om sporing er der givet et opt-in til Google Analytics. I denne sammenhæng er spørgsmålet om behandlingen af Google Analytics cookies af betydning. Du vil finde support fra samtykkestyringsudbydere (CMP’er) til den juridisk sikre integration af Google Analytics. Med cookie-samtykkeløsninger bidrager du til databeskyttelse i Google Analytics.
Google Analytics på et øjeblik: vigtigheden af databeskyttelse
Størstedelen af større websteder er afhængige af analyseværktøjer til at drage konklusioner om besøgendes adfærd. Det klart mest populære brugeranalyseværktøj er Google Analytics. Som det fremgår af forskellige statistikker, bruges dette værktøj på omkring halvdelen af alle hjemmesider, afhængig af undersøgelsen. På den ene side skyldes denne popularitet, at Google har adgang til en særlig stor mængde brugerdata . På den anden side skyldes populariteten, at et stort udvalg af Google Analytics-funktioner er gratis for alle brugere .
Google Analytics bruger cookies til at evaluere brugerdata. Disse små filer gemmes i den besøgendes browser. Brugere har adskillige muligheder for at indsamle forskellige data i henhold til tilpassede indstillinger. Google Analytics giver derefter webstedsoperatører mulighed for at behandle og evaluere dataene i henhold til forskellige parametre. På dette grundlag kan værdifulde nøgletal som sidevisninger, brugeradfærd eller opholdstid på siden spores. Google Analytics gør det også muligt at spore individuelle handlinger præcist , herunder at abonnere på et nyhedsbrev eller downloade bestemte filer. Konverteringssporingsmuligheder kan bruges til at bestemme de punkter, hvor besøgende bliver kunder. Dette afslører optimeringspotentiale og bidrager til en løbende forbedring af sideydelsen.
Fra et databeskyttelsesperspektiv skal de enorme mængder data, som Google Analytics indsamler og evaluerer, ses kritisk. Databeskyttelsesmyndigheder klager især over lagring og transmission af komplette IP-adresser på besøgende på Google (direkte til USA). Desuden kritiserer databeskyttelseseksperter, at Googles databeskyttelsesforskrifter ikke giver tilstrækkelig information om, hvilke data om den besøgende på siden, der faktisk indsamles, opbevares og transmitteres .
På grund af adgangen til en masse brugerdata har databeskyttelse i Google Analytics længe været kontroversiel. Med ikrafttrædelsen af GDPR (også GDPR: General Data Protection Regulation) og endnu mere siden EF-domstolens afgørelse om cookies i 2019, er den juridisk sikre brug af Google Analytics underlagt visse krav. Hvis Google Analytics ikke er koordineret med GDPR, kan webstedsoperatører risikere alvorlige advarsler eller bøder .
Google Analytics: Juridisk baggrund (GDPR og EU-domstolens afgørelse)
Koordinering af Google Analytics med GDPR er blevet uundværlig senest siden sidstnævnte trådte i kraft. Databeskyttelsesmyndighederne har tidligere truet webstedsoperatører med bøder for at bruge dette værktøj. Før GDPR kunne Google Analytics også bruges uden samtykke, forudsat at kun få krav var opfyldt (f.eks. IP-anonymisering og AV-kontrakt). GDPR var knyttet til håbet om, at spørgsmålet om samtykke kun ville blive reguleret med ePrivacy-forordningen . Indtil da ønskede webstedsoperatører at stole på den “legitime interesse” i overensstemmelse med artikel 6, stk. 1 lit. f GDPR udpeget.
En vigtig ændring kom med EF-domstolens afgørelse i 2019 i Planet49-sagen (Ref.: C-673/17). Dommen er ledsaget af klare oplysninger om samtykke til brug af Google Analytics cookies og andre cookies. Udformningen af samtykket bør være sådan, at besøgende først skal udtrykkeligt acceptere brugen af Google Analytics-cookies. Derfor er Google Analytics afhængig af opt-in : Brugere skal først frivilligt acceptere, før en operatør overhovedet får lov til at indsamle og behandle Google Analytics-cookies. Der findes en undtagelse med hensyn til cookies, som er absolut nødvendige for sidens tekniske funktion.
I sin dom påpegede EF-Domstolen, at e-databeskyttelsesforordningen (art. 5, stk. 3) allerede gav samtykke, selv for cookies, der ikke er absolut nødvendige. Lignende udtalelser fra EF-Domstolen kendes allerede fra tidligere retspraksis.
De juridiske krav til brugen af Google Analytics-cookies blev revurderet af koordinationsudvalget for de tyske databeskyttelsestilsynsmyndigheder (DSK) den 12. maj 2020. Med denne beslutning er der også en tilføjelse til orienteringsvejledningen for telemedieudbydere . Denne orienteringsvejledning forklarer forskellige indstillinger ved brug af Google Analytics med hensyn til lovlig brug.
Lovmæssigt kompatibel brug af Google Analytics: Foranstaltninger for webstedsoperatører
Enhver, der fortsætter med at stole på Google Analytics som webstedsoperatør, for eksempel i mediesektoren eller i e-handel , rådes til at implementere visse foranstaltninger, der sikrer retssikkerheden for sporingsværktøjet.
Sikring af gennemsigtighed i databeskyttelsesforskrifter
Webstedsoperatører bør give omfattende information om brug og behandling af personoplysninger i databeskyttelsesforskrifterne. Denne gennemsigtighed skal garanteres i henhold til artikel 13 GDPR, så Google Analytics kan koordineres med GDPR.
Med hensyn til de specifikke krav til informationsforpligtelsen henviser databeskyttelseseksperter til retningslinjerne for gennemsigtighed fra Det Europæiske Databeskyttelsesråd. Ved tilpasning af databeskyttelseserklæringen skal mindst følgende informationsindhold specificeres under hensyntagen til DSK-kravene i henhold til artikel 12 og 13 DSGVO: Omfanget af dataindsamlingen skal kommunikeres tydeligt. Endvidere skal databeskyttelseserklæringen give oplysninger om det retsgrundlag, som dataene er indsamlet på. Ligeledes skal privatlivspolitikken forklares i rækkefølge
hvor længe data gemmes. I denne sammenhæng er
Kriterier for fastsættelse af opbevaringsperioden er oplyst. Databeskyttelseserklæringen bør også indeholde en henvisning til fortrydelsesretten og dens gennemførelse.
Forkort IP-adressen
Som en yderligere foranstaltning til at koordinere Google Analytics med GDPR, bør operatører af et websted med dette sporingsværktøj sørge for, at IP-adressen forkortes . Dette kan implementeres ved at tilføje kommandoen “_anonymizeIp()” til sporingskoden. Dette refererer til ethvert websted, der har en Google Analytics-integration. Tekniske detaljer om denne type IP-adresseafkortning kan findes direkte i instruktionerne på Googles udviklerside.
Forkortelse af IP-adressen er en vigtig foranstaltning til beskyttelse af brugere i henhold til artikel 25, stk. 1 GDPR. Men blot at forkorte IP-adressen er ikke nok til at sikre anonym databehandling. Ud over den rene IP-adresse involverer brugen af Google Analytics indsamling af adskillige andre brugsdata. Dette inkluderer personlige data, såsom dem, der bruges til at identificere brugere (f.eks. i betydningen at linke til en eksisterende Google-konto).
Derfor skal yderligere krav til koordinering af Google Analytics med DSGVO overholdes, selv efter at IP-adressen er blevet forkortet. Ligeledes skal der i førnævnte databeskyttelseserklæring noteres om IP-adressen er forkortet.
Fastsættelse af opbevaringsperioden for dataene
For at koordinere Google Analytics med GDPR, er det også nødvendigt at specificere præcis hvilken opbevaringsperiode, der er angivet for dataene. Google Analytics inkluderer visse kontrolelementer til dataopbevaring . Standardindstillingen er designet til automatisk at gemme brugerdata og hændelsesdata i 26 måneder. Ofte er knappen “Nulstil ved ny aktivitet” deaktiveret i standardindstillingerne. Denne knap bør deaktiveres for at koordinere Google Analytics med GDPR (se art. 25: Databeskyttelse ved design). Opbevaringsperioden for dataene bør begrænses til 14 måneder .
For at ændre opbevaringsperioden for dataene skal den egenskab, der skal redigeres, vælges under fanen “Administration”. I den tilsvarende kolonne “Ejendom” under “Sporingsinformation – datalagring” kan der foretages indstillinger for varigheden af lagringen. Når en anden indstilling er valgt her, skal du huske at tilpasse databeskyttelseserklæringen til disse ændringer.
Udtrykt samtykke til brugen af cookies
En af de vigtigste forudsætninger for et lovligt overensstemmende design af brugen af Google Analytics er garantien for et gennemtænkt cookie-samtykke . En besøgendes samtykke til brugen af Google Analytics og cookies skal indeholde visse oplysninger: Først og fremmest skal overskriften være klar og utvetydig. Det skal vise, at brugeren accepterer databehandlingen af Google efter at have givet sit samtykke. Endvidere skal brugerne informeres om, at der som led i databehandlingen overføres persondata og data om brugsadfærd på hjemmesiden til Google . Anmodningen om samtykke bør også indeholde præcise oplysninger om de involverede typer data.
Det er også relevant at vide, at de indsamlede data hovedsageligt behandles af Google . Det skal understreges, at operatøren af hjemmesiden ikke har indflydelse på databehandlingen i denne forbindelse. Google behandler dataene til sine egne formål (f.eks. profilering).
Det er også vigtigt at vide, om de indsamlede data også kan kobles til oplysninger fra andre kilder. Der skal også tilføjes oplysninger om, hvorvidt dataene opbevares i USA, og om statslige myndigheder kan have adgang til disse data.
Tekniske krav til samtykke og tilbagetrækning
Endvidere må samtykkemuligheden ikke repræsentere et altomfattende samtykke til brugen af cookies. En vigtig teknisk forudsætning for samtykke er aktiv involvering af brugeren. Brugeren skal have mulighed for aktivt at acceptere brugen af data. Dette udelukker forhåndsafkrydsede felter eller afkrydsningsfelter !
Dette er forbundet med kravet om, at sporingsværktøjet og tilhørende Google Analytics-cookies først kan blive aktive, efter at brugerne har givet deres aktive samtykke. Google Analytics cookies må ikke sættes på forhånd.
Dataene må først indsamles, efter at brugerne aktivt har sat kryds i boksen. Endvidere skal dette samtykke være frivilligt. Dette er også forbundet med muligheden for, at brugere til enhver tid kan nægte samtykke.
Endvidere skal det teknisk sikres, at brugerne ikke lider ulemper ved manglende samtykke. Brugerne skal have klare og brugervenlige tekniske løsninger for at sikre og implementere samtykke. Samtykkeværktøjer tilbyder én mulighed for dette. Disse bør give mulighed for at tilbagekalde dette samtykke til enhver tid, selv efter at samtykke allerede er givet. I alle apps eller cookie-samtykkeløsninger skal der også være en let tilgængelig mulighed for en effektiv tilbagekaldelse i indstillingerne.
I princippet tilbyder Google en browsertilføjelse, som deaktiverer Google Analytics. Det skal bemærkes, at det ikke er tilstrækkeligt at henvise brugere til denne tilføjelse. Dette giver ikke brugerne en tilstrækkelig mulighed for tilbagekaldelse. Ifølge artikel 7, stk. 3 s.4 GDPR, tilbagekaldelse af samtykke skal være lige så simpelt som samtykket. Google-tilføjelsen opfylder ikke disse krav, fordi den først kræver, at brugeren downloader et program i form af tilføjelsen.
Betydningen af opt-in-proceduren
Aktivt og udtrykkeligt samtykke til brugen af Google Analytics-cookies er også kendt som en opt-in-procedure. Udformningen af samtykket til brug skal være udformet som et ægte Google Analytics opt-in senest siden EF-Domstolens dom om cookies. Siden EU’s retningslinjer for databeskyttelse fra 2009 har det i princippet været forudsat, at hjemmesidebrugere bliver bedt om deres samtykke. Indtil videre har mange operatører dog fortolket dette samtykke som et fravalg. I praksis betyder det, at der indsamles cookies, uden at brugeren skal foretage sig noget. Besøgende har kun mulighed for at forhindre indsamling af cookies. Ifølge EF-Domstolens afgørelse om cookies må et websted ikke længere indstille cookies, før den besøgende har givet sit udtrykkelige og aktive samtykke . Det betyder, at Google Analytics-cookies overhovedet først kan sættes efter, at den besøgende har valgt dem (opt-in).
CMP: Samtykkestyringsløsninger til websteder og deres fordele
Det er vigtigt for webstedsoperatører og virksomheder at tage forholdsregler i god tid for effektivt samtykke til brugen af Google Analytics. På den ene side giver samtykkehåndteringsbannere brugerne omfattende information om brugen af dataene og beder dem samtidig give deres samtykke.
Den tekniske realisering af en juridisk kompatibel cookie-håndtering nyder godt af såkaldt samtykke
Løsninger. En god samtykkeansvarlig tager hensyn til kravene i GDPR og EF-domstolens dom samt en positiv brugeroplevelse. De vigtigste aspekter af en positiv brugeroplevelse inkluderer en lang opholdstid og en høj acceptrate . Derfor bør afvisningsprocenten holdes så lav som muligt. Gode samtykkestyringsløsninger er med til at øge acceptprocenten og samtidig minimere afvisningsprocenten. På den måde sikrer de, at hjemmesiden fungerer godt og yder deres bidrag til kundehvervelse og kundeloyalitet.
En gennemtænkt samtykkestyringsløsning giver et realtidsoverblik over accept og afvisningsprocenter. Dette gør det muligt at drage værdifulde konklusioner om den aktuelle hjemmesides ydeevne og det tilsvarende potentiale for forbedring.
Samtykkeløsninger er internationalt orienterede. Det viste banner vises automatisk på det respektive sprog i landet i det GDPR-område, hvorfra hjemmesiden tilgås. Samlet set viser samtykkestyringsudbyderen oplysningerne på 29 sprog. Ligeledes er et responsivt design og tilpasning en selvfølge i en moderne samtykkeløsning. Samtykkeløsningen tager højde for slutenhed, operativsystem og skærmstørrelse og viser samtykkebanneret på en optimeret måde.