Die Zukunft der Analytik ist ein Diskussionsthema, das in den letzten Monaten mehr Aufmerksamkeit erhalten hat. Dies ist darauf zurückzuführen, dass europaweit die Auffassung vertreten wird, dass Google Analytics gegen die Datenschutzgrundverordnung verstößt. Länder wie Frankreich, Italien, Österreich und neuerdings auch Finnland und Norwegen haben öffentlich erklärt, dass Google Analytics rechtswidrig ist.
In ihrer Erklärung hat die französische Datenschutzbehörde (CNIL) eine Liste von datenschutzkonformen Optionen genannt, die Unternehmen bewerten können. Eine davon ist die serverseitige Implementierung von Google Analytics. Die CNIL ist eine der angesehensten Datenschutzbehörden in Europa, so dass ihr Vorschlag in den Datenschutz- und Marketingkreisen einige Aufmerksamkeit erregte und einige zu der Annahme verleitete, dass die serverseitige Implementierung von Google Analytics eine kugelsichere Lösung für die rechtlichen Probleme von Analytics bei der Datenübertragung sei.
Die serverseitige Implementierung ist jedoch nicht frei von Nachteilen. In diesem Blog werden wir einen genaueren Blick darauf werfen und versuchen, zwei Fragen zu beantworten:
Ist die serverseitige Implementierung von Google Analytics mit der DSGVO vereinbar? Und lohnt es sich, sie zu implementieren?
- Was sind clientseitiges und serverseitiges Tracking?
- Was sind die Vor- und Nachteile des serverseitigen Trackings?
- Ist die Serverseite die Lösung für die rechtlichen Probleme von Google Analytics?
- Welche Daten müssen anonymisiert werden?
- Wie funktioniert Google Analytics serverseitig?
- Gewährleistet die serverseitige Implementierung von Google Analytics wirklich die Einhaltung der Vorschriften?
- Welche Auswirkungen hat die serverseitige Analyse auf den Datenschutz?
- Ist eine serverseitige Implementierung mit datenschutzfreundlichen Alternativen erforderlich?
- Schlussfolgerungen
Tauchen wir ein!
Was sind clientseitiges und serverseitiges Tracking?
Client-seitiges Tracking und Server-seitiges Tracking sind unterschiedliche Methoden zur Erfassung und Verarbeitung von Daten über das Nutzerverhalten.
Client-seitiges Tracking (oder Client-seitiges Tagging) sammelt Informationen mithilfe von Skripten, die im Browser des Benutzers ausgeführt werden, wie z. B. Cookies oder Pixel. Beim Server-seitigen Tracking (oder Server-seitigen Tagging) hingegen werden die Daten vom Server erfasst, indem Anfragen protokolliert und analysiert werden. Auf diese Weise können die Daten gesammelt werden, ohne mit dem Gerät des Nutzers zu interagieren.
Im Fall von Google Analytics ist das serverseitige Tracking ein wenig anders. Google Analytics interagiert immer noch mit dem Browser des Nutzers, indem es Cookies schreibt und liest. Die gesammelten Daten werden jedoch an den Server und nicht an Google gesendet. Der Serveradministrator kann dann entscheiden, welche Daten an Google weitergeleitet werden und wie. Der Server fungiert also im Wesentlichen als Stellvertreter für die Daten.
Was sind die Vor- und Nachteile des serverseitigen Trackings?
Beim serverseitigen Tracking haben Sie mehr Kontrolle über die Informationen, die an Ihren Analyseanbieter - sei es Google oder ein anderes Unternehmen - gesendet werden. Sie können entscheiden, ob personenbezogene Daten überhaupt gesendet werden sollen, und ob sie anonymisiert, pseudonymisiert oder unverschlüsselt gesendet werden sollen.
Die serverseitige Implementierung hat noch weitere Vorteile. Ihre Website wird etwas schneller geladen, da das Analyseskript nicht vom Browser geladen werden muss. Dies verbessert die Benutzerfreundlichkeit und kann sich positiv auf die Platzierung in den Suchmaschinen auswirken. Außerdem werden Ihre Analysen nicht durch Adblocking-Software beeinträchtigt, da sie nicht mehr von der Interaktion mit den Browsereinstellungen des Nutzers abhängen (obwohl Cookies von Google Analytics und anderen Cookie-basierten Analysediensten weiterhin blockiert werden können).
Der größte Nachteil der serverseitigen Einrichtung ist die aufwändige Implementierung. Sie müssen einen Server finden, falls Sie noch keinen haben, und ihn vor Cyber-Bedrohungen schützen. Sie müssen eine Benutzeroberfläche einrichten, um die Daten aus dem Serverprotokoll lesbar zu machen, und einen Weg finden, um Rauschen zuverlässig herauszufiltern, was nicht trivial ist. Außerdem müssen Sie den Code jedes Mal manuell aktualisieren, wenn Ihre Analysesoftware ein Update erhält.
Außerdem benötigen Sie vollen Zugriff auf das Serverprotokoll, was viele Serveranbieter nicht bieten. Dies schränkt Ihre Möglichkeiten ein, wenn Sie sich auf einen Anbieter verlassen wollen (was für viele Unternehmen die günstigste Option ist).
Alles in allem wird Sie die Einrichtung von Google Analytics auf dem Server viel mehr kosten als die Inanspruchnahme eines kostenpflichtigen Webanalysedienstes, der mit der DSGVO konform ist. Die CNIL selbst weist darauf hin, dass die Abschaffung von Google Analytics aufgrund der Kosten für eine serverseitige Einrichtung die praktischere Option sein könnte.
Schließlich ist zu beachten, dass Cookies immer noch die Zustimmung des Nutzers erfordern, auch für serverseitiges Tagging. Dies gilt für Google Analytics und alle anderen Cookie-basierten Analysedienste.
Lassen Sie uns ein wenig tiefer graben, oder?
Ist die Serverseite die Lösung für die rechtlichen Probleme von Google Analytics?
Jede clientseitige Implementierung von Google Analytics sendet personenbezogene Daten in die USA. Dies ist der Kern der rechtlichen Probleme von Google Analytics im Zusammenhang mit Datenübertragungen (die wir in einem anderen Blog eingehend erörtert haben).
Bei der serverseitigen Implementierung hat der Serveradministrator die vollständige Kontrolle über die Datenverarbeitung und kann entscheiden, welche personenbezogenen Daten an Google weitergeleitet werden und welche nicht. Theoretisch könnten Sie Google Analytics serverseitig einrichten und verhindern, dass Google auf die personenbezogenen Daten der Besucher zugreift, wodurch Google Analytics konform wäre.
Aber wie funktioniert das in der Praxis? Welche Daten sollten Sie nicht an Google weitergeben, um Google Analytics GDPR-konform zu machen? Und wie hoch sind die Kosten in Bezug auf die Leistung?
Die Gründer, Sergey Brin und Larry Page, verstecken sich hinter dem Internet
Welche Daten müssen anonymisiert werden?
Google Analytics leitet zwei Kategorien personenbezogener Daten an die USA weiter: IP-Adressen und Cookies. IP-Adressen sind keine große Sache, da Google Analytics sie nicht wirklich benötigt - tatsächlich sammelt Google Analytics 4 sie nicht und verwendet sie nur für die Kommunikation. Sie können Google Analytics serverseitig implementieren, ohne die IP-Adresse der Nutzer an Google weiterzuleiten, was sich kaum oder gar nicht auf die Genauigkeit der Google Analytics-Daten auswirkt.
Anders sieht es bei Cookies aus. Die Cookies von Google Analytics enthalten eine eindeutige Kennung namens Client-ID. Wie IPs sind auch Client-IDs personenbezogene Daten im Sinne der Datenschutzgrundverordnung. Die IDs müssen jedoch irgendwie übermittelt werden, da Google Analytics um sie herum aufgebaut ist.
Eindeutige Bezeichner können auchnicht anonymisiert werden, zumindest nicht im strengen Sinne des Wortes. Die Cookies von Google Analytics funktionieren, weil sie eindeutig sind, und wenn man ihren eindeutigen Teil (die Client-ID) entfernt, sind sie völlig nutzlos. Das Beste, was Sie tun können, ist, sie zu hashen, aber jeder Hash muss eindeutig sein, um von Nutzen zu sein - Sie ersetzen also lediglich eine eindeutige Kennung durch eine andere.
Als zusätzliche Sicherheitsmaßnahme schlägt die CNIL vor, Hashes regelmäßig zu ändern. Die Behörde betrachtet das Rotieren von Hashes als eine Form der Pseudonymisierung - etwas, das zwar nicht an eine echte Anonymisierung heranreicht, aber dennoch einen gewissen Schutz für die Daten bietet. Tatsächlich wird eine starke Pseudonymisierung vom Europäischen Datenschutzausschuss (der Institution, in der alle europäischen Datenschutzbehörden vertreten sind) als möglicher Schutz für Datenübertragungen erwähnt. Aber das hat seinen Preis.
Wie funktioniert Google Analytics serverseitig?
Das kommt darauf an. Google Analytics stützt sich auf detaillierte Daten über die Online-Aktivitäten der Website-Besucher. Je mehr Daten Sie ihm zur Verfügung stellen, desto besser ist die Leistung. Wenn Sie Google Analytics mit allen Daten füttern, die es auch auf dem Client sammeln würde, ist die Leistung genauso gut wie bei einer clientseitigen Einrichtung (und möglicherweise sogar etwas besser, da Werbeblocker dann kein Problem mehr darstellen). Andererseits wird dadurch die serverseitige Implementierung genauso invasiv wie die clientseitige Einrichtung, was den Zweck der serverseitigen Implementierung von Google Analytics zunichte macht. Andererseits wird das Zurückhalten einiger Daten aus Datenschutzgründen die Leistung des Tools negativ beeinflussen.
Die bereits erwähnten Client-IDs ermöglichen es Google, Besucher zu verfolgen, indem mehrere Ereignisse, Sitzungen und Seitenaufrufe mit derselben Person verknüpft werden. Wenn Sie zum Beispiel zweimal auf dieselbe Website zugreifen, liest Google Analytics Ihre Kunden-ID und zählt Sie nur einmal als eindeutigen Besucher.
Leider kann Google Analytics die Metriken nicht mit einem einzelnen Besucher verknüpfen, nachdem dessen ID erneut ausgelesen wurde. Dies hat erhebliche Auswirkungen auf die Genauigkeit und den Detaillierungsgrad der Erkenntnisse von Google Analytics. Nachdem Sie beispielsweise die Hashes rotiert haben, erhalten wiederkehrende Nutzer einen neuen Hash und werden von Google Analytics wieder als einzelne Besucher gezählt, so dass Ihre Metrik für einzelne Besucher im Grunde genommen nicht mehr gilt.
Gewährleistet die serverseitige Implementierung von Google Analytics wirklich die Einhaltung der Vorschriften?
Nehmen wir an, Sie beißen in den sauren Apfel. Sie machen sich die Mühe, Google Analytics serverseitig zu implementieren. Sie halten sich buchstabengetreu an die Vorschläge der CNIL: Die einzigen personenbezogenen Daten, die Ihr Server weiterleitet, sind gehashte Client-IDs, und diese Hashes werden häufig ausgetauscht. Sind Sie mit den Datenübertragungsregeln der GDPR konform?
Möglicherweise.
Wie wir bereits erklärt haben, handelt es sich bei den rotierenden Hashes um pseudonymisierte Daten. Pseudonymisierung ist gut, weil sie die Identifizierung personenbezogener Daten unwahrscheinlich macht (d. h. sie macht es schwer herauszufinden, zu wem die Daten gehören). Diese Technik wird manchmal von Google Analytics-Konkurrenten verwendet, um die Privatsphäre zu schützen - Fathom und Plausible beispielsweise tun dies (wir bei Simple Analytics brauchen keinen Hash, da wir überhaupt keine IPs speichern).
Wenn ein Unternehmen jedoch eine große Menge an Daten kontrolliert, kann es diese zusammenfassen, um pseudonymisierte Daten zu identifizieren. Diese Technik wird Fingerprinting genannt.
Wenn Sie zum Beispiel auf Reddit aktiv sind, ist Ihr Reddit-Benutzername wahrscheinlich ein witziges Pseudonym. Wenn Sie jedoch genügend Informationen über Ihr Alter, Ihren Beruf, Ihren Geburtsort usw. posten, können andere Reddit-Nutzer irgendwann herausfinden, wer Sie sind. (Ja, dieses Beispiel ist zu einfach, aber Sie verstehen, was ich meine).
DieVernetzung von Datenbanken ist dasselbe, nur in einem größeren Maßstab: Jemand führt riesige Datenbanken zusammen, und mit ein wenig schwarzer Magie der KI können pseudonyme Daten manchmal wieder identifiziert werden.
Wie sicher sind also die persönlichen Daten Ihrer Besucher, nachdem Sie sie gehasht und an Google weitergeleitet haben?
Nun, Google kontrolliert einige der größten bestehenden Datenbanken mit personenbezogenen Daten. Es kann sich auf außergewöhnliches Know-how und modernste Technologie verlassen. Es hat auch einen starken Anreiz, Datenbanken miteinander zu vernetzen, denn Werbung ist seine Haupteinnahmequelle, und mit der Profilerstellung lässt sich richtig Geld verdienen.
Auch wenn ein Besucher vielleicht nicht allein anhand seines aktualisierten Hashes identifizierbar ist, könnte Google diese Daten mit Daten kombinieren, die an anderer Stelle gesammelt wurden - zum Beispiel über das Google-Konto eines Besuchers, über Google-APIs oder über Werbe-Tracker auf Android-Geräten(AAID). Dies reicht wahrscheinlich aus, um viele Besucher identifizierbar zu machen. Das wiederum bedeutet, dass Hashes auch dann noch personenbezogene Daten im Sinne der Datenschutz-Grundverordnung sein können, wenn der Server sie rotiert.
Um es klar zu stellen: Wir behaupten nicht, dass Google pseudonymisierte und anonymisierte Daten erneut identifiziert. Google sagt, dass es das nicht tut. Unserer Meinung nach legt die Erfolgsbilanz des Unternehmens in Sachen Datenschutz eine gewisse Vorsicht nahe.
Wir behaupten auch nicht, dass rotierende Hashes in dem von uns beschriebenen Szenario personenbezogene Daten sind. Das müssen die Gerichte und Behörden entscheiden. Aber man kann durchaus argumentieren, dass es sich um personenbezogene Daten handelt: Schließlich haben einige Datenschutzbehörden (einschließlich der CNIL selbst) in ihren Entscheidungen gegen Google Analytics eingeräumt, dass die Frage der Queridentifizierung für die Fälle relevant war. Dies ist ein guter Grund, vorsichtig zu sein.
Fazit: Es ist unklar, ob eine serverseitige Implementierung von Google Analytics die Einhaltung der GDPR-Vorschriften für Datenübertragungen gewährleistet - selbst wenn Sie alle möglichen Vorsichtsmaßnahmen ergreifen.
Welche Auswirkungen hat die serverseitige Analyse auf den Datenschutz?
Serverseitige Analysen haben interessante Auswirkungen auf den Datenschutz. Auf dem Papier hat sie das Potenzial, datenschutzfreundlicher zu sein, da Sie genau entscheiden können, welche Daten Sie sammeln und ob Sie sie weitergeben möchten.
Allerdings könnte die Datenerfassung weniger transparent sein. Bei der serverseitigen Analyse können Sie personenbezogene Daten direkt aus Ihrem Serverprotokoll verarbeiten. Ihre Nutzer haben keine Ahnung, dass dies geschieht, denn sie können nicht einfach ihre Browsereinstellungen öffnen und ihre Cookies überprüfen.
Unterm Strich ist Transparenz der Schlüssel zu einer korrekten Implementierung von serverseitigem Tracking. Die Nutzer haben ein Recht darauf, darüber informiert zu werden, welche personenbezogenen Daten für Webanalysen verarbeitet werden und auf welcher Rechtsgrundlage. Es liegt an Ihnen, die serverseitige Analyse auf transparente und rechtskonforme Weise zu implementieren.
Die serverseitige Analyse hat auch einige Auswirkungen auf die Einwilligung. Wie wir bereits erläutert haben, erfordern die Cookies von Google Analytics eine Einwilligung, auch wenn die Software serverseitig implementiert ist. Das Gleiche gilt für jede Webanalysesoftware, die Cookies verwendet: Alle nicht wesentlichen Cookies erfordern gemäß der Datenschutzrichtlinie für elektronische Kommunikation eine Einwilligung, unabhängig davon, ob die Analyse clientseitig oder serverseitig implementiert wird.
Server-seitiges Tagging ermöglicht es Ihnen auch, andere Daten zu sammeln, ohne mit dem Browser des Nutzers zu interagieren. Das bedeutet jedoch nicht, dass Sie keine Zustimmung benötigen.
Die Dinge werden hier ein wenig kompliziert, aber als Faustregel gilt: Wenn die von Ihnen gesammelten Daten es Ihnen ermöglichen, einen Nutzer unter all Ihren Besuchern herauszufiltern, dann sollten Sie diese Daten nur mit Zustimmung sammeln, da die Zustimmung sehr wahrscheinlich erforderlich ist. Dies gilt selbst dann, wenn Sie diese Kennzahlen nicht dazu verwenden, um einzelne Nutzer herauszufiltern: Allein die Tatsache, dass sie Ihnen dies ermöglichen, macht sie zu personenbezogenen Daten und macht aller Wahrscheinlichkeit nach eine Einwilligung erforderlich.
Andererseits können Sie einige Kennzahlen ohne Einwilligung erheben, vorausgesetzt, sie ermöglichen es Ihnen nicht, einen Nutzer herauszugreifen - selbst wenn sie mit anderen Kennzahlen verknüpft sind. So kann es beispielsweise nicht schaden, Interaktionen von Ihrem Server zu sammeln und sie für Analysen zu verwenden, solange diese Daten keine Rückschlüsse auf die Nutzer zulassen.
Fazit: Wenn die Daten ein Tracking erlauben, sollten Sie auf Nummer sicher gehen und um Zustimmung bitten.
Ist eine serverseitige Implementierung mit datenschutzfreundlichen Alternativen erforderlich?
Das hängt vom jeweiligen Dienst ab. Im Fall von Google Analytics dient die serverseitige Implementierung der Lösung rechtlicher Fragen im Zusammenhang mit Datenübertragungsregeln. Wenn eine datenschutzfreundliche Alternative keine personenbezogenen Daten in die USA weiterleitet, ist eine serverseitige Implementierung zur Einhaltung der Datenübertragungsvorschriften nicht erforderlich.
Die serverseitige Analyse bietet jedoch weitere Vorteile für die Einhaltung der Vorschriften. So können Sie beispielsweise IP-Adressen vor der Weiterleitung unkenntlich machen. Wenn Sie eine Alternative zu Google Analytics in Erwägung ziehen, sollten Sie deren rechtliche Dokumentation genau prüfen und die möglichen Vorteile einer serverseitigen Implementierung für diesen speziellen Dienst in Betracht ziehen.
Im speziellen Fall von Simple Analytics ist eine serverseitige Implementierung nicht erforderlich, da wir keine personenbezogenen Daten von Ihren Besuchern erheben oder sie außerhalb der EU weiterleiten.
Schlussfolgerungen
Zusammenfassend kann gesagt werden:
- Die Weiterleitung von Client-IDs an Google im Klartext oder die Verwendung statischer Hashes sind praktisch dasselbe wie die clientseitige Implementierung von Google Analytics und machen Google Analytics nicht konform mit den Datenübertragungsregeln;
- Wenn keine Client-IDs gesendet werden, ist Google Analytics völlig nutzlos;
- Rotierende Hashes lähmen die Leistung von Google Analytics und gewährleisten immer noch nicht zu 100 % die Einhaltung der Datenübertragungsregeln, da der Nutzer immer noch identifizierbar sein könnte;
- Alle diese Optionen sind aufwändig zu implementieren.
Alles in allem scheint die serverseitige Implementierung von Google Analytics keine praktikable Lösung zu sein. Sie ist für kleine Unternehmen zu teuer, führt dazu, dass das Tool schlechter abschneidet als die Konkurrenz, und bietet keine vollständige Garantie, dass die Datenübertragungen zu 100 % GDPR-konform sind.
Der Kern des Problems ist, dass Google Analytics kein datenschutzfreundliches Tool ist. Es ist darauf ausgelegt, feinkörnige Informationen zu sammeln, indem es Besucher aggressiv verfolgt. Der Versuch, Google Analytics auf datenschutzfreundliche Weise zu implementieren, steht im Widerspruch zu seiner eigentlichen Konzeption. Aus diesem Grund ist dies mit viel Arbeit verbunden und führt zu schlechten Ergebnissen.
Natürlich sind wir gegenüber unserer eigenen Lösung voreingenommen, aber der Wechsel zu einem datenschutzfreundlichen Service ist einfacher, billiger und führt zu einer besseren Leistung als die serverseitige Implementierung von Google Analytics. Wir von Simple Analytics glauben an ein unabhängiges, besucherfreundliches Internet. Wir stellen sicher, dass es für Website-Besitzer immer noch möglich ist, die benötigten Informationen zu erhalten, ohne gegen das Gesetz zu verstoßen. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren!