Das hat es mit "Ist Google Analytics jetzt illegal?" auf sich
seit ein paar Tagen kursiert die Meldung, dass eine österreichische Website Google Analytics illegal (weil nicht DSGVO-konform) genutzt habe und dafür von der Datenschutzbehörde abgestraft wurde. Diese Meldung wurde nicht nur auf Linkedin heiß diskutiert („Ist Google Analytics jetzt illegal?“), sondern hat es auch auf Websites wie TechCrunch oder in den Newsletter von MarTech-Analyst Benedict Evans geschafft.
Das Thema DSGVO / Datenschutz bekommt also gerade viel Aufmerksamkeit und auch die Frage, was dies fürs eigene Tracking bedeutet, ist präsenter denn je.
Deswegen möchte ich in dieser Quick Win-Ausgabe kurz schildern, was genau bei dem österreichischen Fall passiert ist und was dies nun für dich und dein eigenes Tracking bedeuten kann.
Was ist genau in Österreich vorgefallen?
Kurz in Stichpunkten geschildert:
- Die Organsation „noyb“ (steht für „my data is none of your business“) setzt sich dafür ein, dass der Datenschutz in der EU eingehalten wird. Bereits in 2020 hatte noyb über 100 Fälle, bei denen Google Analytics und Facebook nicht DSGVO-konform eingesetzt wurde, aufgedeckt und bei den zuständigen Datenschutzbehörden gemeldet
- In einem dieser Fälle hat die österreichische Datenschutzbehörde nun offiziell entschieden, dass Google Analytics nicht dsgvo-konform eingesetzt wurde
- Bei diesem Fall wurde konkret die Funktion zur IP-Anonymisierung nicht einwandfrei umgesetzt. Die IP-Adressen der Nutzer wurden also nicht nur aus Österreich an die US-Google-Server gesendet, sondern dort auch gespeichert und verarbeitet
- weitere Urteile (auch in anderen Ländern) werden vermutlich im Laufe des Jahres folgen
Zwei wichtige Dinge, die u.a. in der DSGVO stehen:
- Die Datenerhebung braucht das Einverständnis des Nutzers. Deswegen der notwendige Einsatz von Consent-Tools auf Websites. Nutzer müssen stets ihre Einwilligung geben, wenn Cookies gesetzt werden und Tracking ausgeführt wird.
- Wenn Daten aus der EU in Nicht-EU-Ländern wie den USA gespeichert werden, dürfen diese nicht einer einzelnen, bestimmten Person zugeordnet werden können. Hierzu gehört auch die IP-Adresse. Selbst wenn diese von Google auf den eigenen Servern vor der Speicherung anonymisiert wird, ist dies für die Einhaltung der DSGVO grundsätzlich zu spät, weil die IP-Adresse bereits übertragen wurde.
Was bedeutet das jetzt für dein eigenes Tracking?
Seit Start der DSGVO wurde ihre Umsetzung bisher eher schleppend angegangen. Schwammige Rechtstexte der US-Tool-Anbieter sollten z.B. das Problem einfach kaschieren. Durch solche Fälle wie in Österreich und durch Organisationen wie noyb kommt nun salopp gesagt „Schwung in die Sache“. Tool-Anbieter wie auch Tool-Anwender müssen sich nun damit beschäftigen, die DSGVO-Bestimmungen korrekt umzusetzen. Die Tool-Anbieter feilen schon an technischen Maßnahmen wie server-seitigem-Tracking, Cookie-less-Tracking oder der Datenspeicherung auf EU-Servern. Vllt werden EU-Nutzerdaten zukünftig auch besser geschützt / verschlüsselt auf US-Servern.
„Tracking-Business as usual“ wird es aber meiner Meinung nach nicht mehr allzu lange geben. Zwar wird man immer noch Tools wie Google Analytics einsetzen können, aber die technische Implementierung wird nicht mehr wie gehabt funktionieren. Man wird nicht wie bisher üblich über den „Client“ (also den Browser des Nutzers) Tracking-Scripte laden und Daten erheben können, sondern wird eigene Server (innerhalb der EU) verwenden, um besser kontrollieren zu können, welche Daten an welche Anbieter gesendet werden.
Das ist zwar technisch etwas aufwändiger, hat neben dem Datenschutz aber auch Vorteile hinsichtlich Datenqualität und Seitenladezeit. Tracking-Scripte werden von den Browsern weniger geblockt und der Browser des Nutzers muss nicht mehr so viele Scripte laden.
Es bleibt also spannend. Drei schnelle Dinge empfehle ich bereits jetzt allen Google-Analytics-Nutzern, um die DSGVO nicht „fahrlässig“ zu missachten. Drei Fehler, die ich regelmäßig immer wieder sehe, und zwar auch bei etablierten Online-Shops.
Fehler 1: IP-Anonymisierung in Google Analytics ist nicht aktiviert
Und damit wird die IP-Adresse nicht nur zu den US-Google-Servern übertragen, sondern dort auch gespeichert und verarbeitet.
Die IP-Anonymisierung ist sehr wichtig und auch schnell und einfach umgesetzt. Eine kurze Anleitung, wie du für dich checken kannst, ob sie bei dir korrekt konfiguriert ist.
- Check mit einem Analytics-Debugger (wie z.B. dem Datalayer Inspector, Link dazu findest du am Ende des Newsletters) was dein Browser in Richtung Google Analytics funkt.
- Dort solltest du für jeden Pageview und auch jedes GA-Event eine Zeile sehen wie hier auf dem Screenshot:
Das „aip“ steht für „Anonymize IP“ und die „1“ für „true“. Die Funktion zur IP-Anonymisierung ist also aktiviert.
Wichtig dabei ist, dass wirklich jedes Google Analytics-Tag die IP-Anonymisierung berücksichtigt. Oft gibt es den Fall, dass das übliche Pageview-Tag dies tut, dann aber noch andere Tags Daten an Google funken, und bei diesen die IP-Anonymisierung vergessen wurde. So war es wohl auch bei dem Fall aus Österreich. Also die IP-Anonymisierung war nicht komplett vergessen, aber nicht konsequent umgesetzt.
Das passiert schnell mal, wenn nachträglich weiteres Tracking hinzukommt und evtl. auch von anderen Personen umgesetzt wird. Üblicherweise aktivierst du ‚AnonymizeIP‘ auf einer globalen Ebene mittels einer Google Analytics Settings Variable, auf die dann jedes Tag zugreift. In einigen Fällen macht dies aber keinen Sinn oder die Variable wird überschrieben und dann ist der Salat da.
Falls du Fragen zu dieser Variable hast, antworte mir gerne einfach auf diese Mail.
Fehler 2: E-Mail-Adressen oder Klarnamen tauchen in der URL auf und werden dadurch von Google Analytics getrackt
Wie hier in der URL-Zeile schön zu sehen: Beim Anfordern des E-Books wird meine E-Mail-Adresse erfragt und dann auf der nächsten Seite als URL-Parameter mit übergeben.
Über die URL taucht meine E-Mail-Adresse dann in den Seitenreports von Google Analytics auf und jeder GA-Nutzer kann sehen, dass ich das Ebook haben wollte. Unschön und fahrlässig.
Also checke am besten mal die Seitenreports nach Namen, @-Zeichen etc. und falls du welche findest: Schau welches Tool sie in die URL schreibt und wie du dies unterbinden kannst.
Fehler 3: Consent-Tool funktioniert nicht richtig
Auch gerade erst vor ein paar Tagen wieder gesehen. Ein Consent-Tool ist zwar eingebunden und der Cookie-Banner taucht beim ersten Website-Besuch auf, aber die Tracking-Scripte werden bereits vor der Nutzer-Einwilligung geladen. Und auch munter weitergeladen, nachdem der Nutzer ALLE Cookies abgelehnt hat.
Da stimmt also etwas mit der Konfiguration des Consent-Tools nicht. Neben dem Einbinden des Tools müssen nämlich auch noch die Tags im Google Tag Manager angepasst werden, so dass sie die Nutzer-Entscheidung berücksichtigen.
Auch das kannst du am besten mal für Google Analytics mit dem bereits weiter oben erwähnten Datalayer Inspector prüfen. Oder mit einem Browser-Plugin wie Ghostery auch für andere Tracking-Scripte wie Facebook. Wenn du dazu genauere Infos brauchst, schreib mir gerne.
Nützliche Links
Hier findest du das erwähnte Google Chrome Addon „Datalayer Inspector“
Weitere Infos zum DSGVO-Fall in Österreich sind hier im TechCrunch-Artikel ausführlich beschrieben.
Und eine Antwort / Info von Google zu dem Fall