morefire
MENÜ

Die DSGVO, Cookies und andere Tracking-Fragen: Der Fall Google Analytics (Teil 3)

Falls Du mehr darüber wissen willst, wie die DSGVO das Tracking via Google Analytics und deren Cookies beeinflusst, dann bist Du hier genau richtig. Nichtsdestotrotz, dies hier ist bereits der dritte Teil unserer Serie, welche vor ein paar Wochen begann. Falls Du also besser nachvollziehen willst, worum es heute geht, empfehlen wir Dir vorab Teil 1 und Teil 2 zu lesen.

Falls Du dich wundern solltest, unsere Reihe besteht aus insgesamt 5 Teilen, welche wir im wöchentlichen Rhythmus veröffentlichen. Heißt: der vierte Teil wird in genau einer Woche veröffentlicht. 

Hier eine Übersicht, welche Themen wir in den fünf Artikeln behandeln:

  1. Sammelt Google Analytics Daten? Wenn ja, wie?
  2. Welche Daten sammelt Google Analytics?
  3. Sind die gesammelten Daten von Google Analytics personenbezogene Daten?
  4. Sind alle pseudonymisierten Daten personenbezogene Daten?
  5. IP Adressen und Datenminimierung
  6. Wenn die gesammelten Daten von Google Analytics personenbezogene Daten sind, muss ich dann die DSGVO beachten?
  7. Was kann im schlimmsten Fall passieren, wenn die DSGVO eingehalten werden muss?
  8. Kann ich Google Analytics benutzen ohne die Zustimmung des Nutzers?
  9. Fazit
  10. Bonus: Cookie-Regeln sind nie wirklich gestorben?

Vergangene Woche haben wir uns mit Punkt 3 beschäftigt. Heute wiederum schauen wir uns Punkt 4 genauer an (Sind alle pseudonymisierten Daten personenbezogene Daten?).

Bevor wir fortfahren noch ein kleiner Hinweis: Falls Du nicht mehr warten willst, bis auch die letzten beiden Teile online sind, hast Du hier die Möglichkeit das eBook direkt komplett herunterzuladen.

4. Sind alle pseudonymisierten Daten personenbezogene Daten?

Viele gehen davon aus, dass es sich bei allen pseudonymisierten Daten um personenbezogene Daten handelt. Tatsächlich stimmen so ziemlich alle zu, dass es sich bei den von Google Analytics erhobenen pseudonymisierten Daten um personenbezogene Daten handelt und dass die DSGVO daher anwendbar ist. Das ist jedoch nicht wahr. Aber bevor wir diese Annahme analysieren, lass uns kurz auf die Pseudonymisierung eingehen.

Es gibt mehrere Möglichkeiten, Daten zu pseudonymisieren. Aufgrund der Verständlichkeit und des Umfangs werden wir die Pseudonymisierung in drei Kategorien einteilen: reversible Pseudonymisierung, irreversible Pseudonymisierung und ziemlich schwer rückgängig zu machende Pseudonymisierung. 

Im ersten Fall (reversible Pseudonymisierung) können die pseudonymisierten Daten der Person zugeordnet werden, zu der sie gehören. Um dies besser zu verstehen, kommen wir auf unser Arztbeispiel aus dem zweiten Teil zurück. Wie Du Dich erinnerst, enthielt das zweite Blatt, das unser Arzt erstellt hat, eindeutige Kennungen zusammen mit medizinischen Daten, die mit jenen Kennungen verknüpft sind. Nur mit diesem Blatt könnte unser Arzt nicht wissen, zu wem die medizinischen Daten gehören. Unser Arzt hatte jedoch auch ein erstes Blatt, das die Namen der Patienten enthielt, die mit den eindeutigen Identifikatoren verbunden waren. In diesem Fall ist es möglich, die pseudonymisierten Daten aus dem zweiten Blatt mit den Namen der Patienten zu vergleichen, da unser Arzt auch das erste Blatt hat. Das wäre ein Beispiel für eine reversible Pseudonymisierung.

Wenn nun der Arzt das erste Blatt verbrennen würde, dann wäre es unmöglich die medizinischen Daten mit den personenbezogenen Daten abzugleichen. Das ist ein Beispiel irreversible Pseudonymisierung.

Stell Dir vor, unser Arzt hat das zweite Dokument an ein Unternehmen verkauft, das auf medizinische Forschung und Behandlung spezialisiert ist. Die Firma, die das Dokument gekauft hat, hätte nur Zugriff auf die pseudonymisierten Daten. Wenn das Unternehmen die Pseudonymisierung rückgängig machen wollen würde, müsste es das erste Blatt von unserem Arzt stehlen, aber das ist riskant und könnte die Manager des Unternehmens eine lange Zeit im Gefängnis kosten. Eine andere Möglichkeit wäre, das erste Dokument zu kaufen, aber der Preis, den unser Arzt verlangt, ist viel zu hoch. Dies wäre ein Beispiel für eine ziemlich schwer rückgängig zu machende Pseudonymisierung.

Nun, da wir etwas mehr über die Pseudonymisierung wissen, kommen wir auf die Annahme zurück, dass pseudonymisierte Daten immer als personenbezogene Daten behandelt werden sollten. Was sagt die DSGVO dazu? Hier wird das sehr interessant dargestellt:

“Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke”.

Ich habe manche Abschnitte oben bewusst fett markiert.

Was dieser Absatz uns eigentlich sagt, ist, dass nicht alle pseudonymisierten Daten als personenbezogene Daten betrachtet werden sollten. In diesem Fall sind pseudonymisierte Daten nur dann als personenbezogene Daten zu betrachten, wenn sie mit zusätzlichen Daten zur Identifizierung eines Nutzers abgeglichen werden können und wenn diese Abgleichung sinnvoll möglich ist. Bei der Beurteilung, ob es sinnhaft möglich ist, sollten Dinge wie Kosten, Zeit und verfügbare Technologie berücksichtigt werden.

Um diesen letzten Absatz zu veranschaulichen, kommen wir auf unser Arztbeispiel zurück. Wenn unser Arzt beschließen würde, das zweite Dokument an das medizinische Unternehmen zu verkaufen, würdest Du dann wirklich glauben, dass die von dem Unternehmen gekauften Daten personenbezogene Daten waren? Das Unternehmen kann es nicht mit den Namen der Patienten abgleichen, da es nicht das erste Dokument hat. Der einzige Weg, das erste Blatt zu bekommen, wäre, es von unserem Arzt zu stehlen oder zu kaufen. Aber, wie wir gesehen haben, ist Stehlen eine sehr riskante Option und unser Arzt ist nicht bereit, das Dokument für ein paar Cent zu verkaufen. Es scheint daher nicht sinnhaft möglich, dass die Identifizierung der Patienten über das zweite Dokument für das Unternehmen sonderlich lohnenswert ist (klingt das nicht nach einer ziemlich schwer rückgängig zu machenden Pseudonymisierung?). Also hat das Unternehmen keine personenbezogene Daten gekauft. (aus Sicht des Unternehmens; aus Sicht des Arztes wären es weiterhin personenbezogene Daten, wenn der Arzt eine Kopie des zweiten Dokuments für sich behalten würde).

Betrachtet man all diese Annahmen, dann ist ziemlich sicher, dass:

Laut DSGVO sind nicht alle pseudonymisierten Daten als personenbezogene Daten zu betrachten. Zu den pseudonymisierten Daten, die nicht als personenbezogene Daten betrachtet werden können, gehören Daten, deren Pseudonymisierung irreversibel ist. Im Gegenteil dazu werden Daten, deren Pseudonymisierung leicht umkehrbar ist, als personenbezogene Daten betrachtet. Schließlich werden Daten, deren Pseudonymisierung nicht leicht rückgängig zu machen ist, als personenbezogene Daten betrachtet, wenn ein Rückgängigmachen der Pseudonymisierung sinnvoll möglich ist. Ob es sinnvollerweise möglich ist, die Pseudonymisierung rückgängig zu machen, hängt von mehreren Faktoren ab, darunter Zeit, Kosten und vorhandene Technologie.

➜ Pseudonymisierte Daten wie User-IDs sind als personenbezogene Daten zu betrachten, da ein Abgleich mit einer Person nach vernünftigem Ermessen möglich ist. Julian von measureschool.com zeigt in seinem YouTube-Video im zweiten Teil, wie man es machen könnte.

➜ Pseudonymisierte Daten wie Client-IDs sollten nicht als personenbezogene Daten betrachtet werden, da, wie beschrieben, der Abgleich mit einer Person für Unternehmen, die Google Analytics verwenden, nicht sinnvoll ist. Es ist sogar ziemlich unmöglich.

Ein wenig unklar ist es, wenn man nicht sinnvoll erkennen kann wer sich hinter einer bestimmten Client-ID verbirgt. Schließlich wäre es möglich, eine Client-ID mit einer bestimmten Person abzugleichen, wenn der Nutzer seine Client-ID (wie im vorherigen Teil erläutert) herausfindet und per E-Mail an das Unternehmen sendet, das Google Analytics benutzt. Das mag ziemlich seltsam klingen, aber wie würdest Du reagieren, wenn Du folgende Mail erhalten würdest?:

‚”Hi,

Mein Name ist Nelson und ich habe bemerkt, dass Sie Google Analytics verwenden. Ich habe herausgefunden, dass meine Client-ID 5393128914.4793520816 lautet. Als Betroffener möchte ich von meinem Recht auf Löschung Gebrauch machen. Bitte löschen Sie alle Daten, die mit dieser Kundennummer verbunden sind.

Danke.

Glücklicherweise können sie neuerdings die Daten, die mit einer bestimmten Client-ID verbunden sind ganz einfach löschen.

Benutzer löschen Button im Client ID Bericht in Google Analytics

(Der Benutzer löschen Button erlaubt es Daten zu löschen, die mit einer Client-ID verbunden sind)

Übrigens, die selbe Funktion ist auch für User-IDs vorhanden:

Benutzer löschen Button im User ID Bericht in Google Analytics

Würdest Du trotzdem der Ansicht sein, dass es unmöglich ist festzustellen, wer hinter einer bestimmten Kundennummer steckt? Du könntest antworten: Sicher nicht. Die Tatsache, dass ein Benutzer Dir seine Kundennummer per E-Mail zusenden kann, erscheint nicht ausreichend, um Kundennummern als personenbezogene Daten zu betrachten. Es wäre sinnvoll, wenn das Unternehmen, das Google Analytics verwendet, aus eigener Kraft die Identität des Nutzers herausfinden könnte. Aber das ist nunmal nicht möglich.

Bist Du da sicher?

Vor einigen Jahren hat der Gerichtshof der Europäischen Union eine recht überraschende Entscheidung getroffen (Du  kannst das ganze Urteil hier nachlesen oder hier die Kurzversion). Der Fall betraf einen deutschen Staatsbürger, der mehrere Seiten der Bundesregierung besucht hatte. Bei jedem Zugriff auf eine dieser Webseiten wurde seine IP-Adresse in einer Protokolldatei (log file) gespeichert. Unser deutscher Staatsbürger dachte, dass es nicht notwendig sei, dass die Regierung seine IP-Adresse verarbeitet, und machte dies vor Gericht deutlich. Schließlich sind IP-Adressen personenbezogene Daten und die Bundesregierung sollte keine personenbezogenen Daten verarbeiten, es sei denn, dies ist wirklich notwendig.

Die deutsche Regierung dachte anders. Ihr Argument war ziemlich simpel: Selbst wenn die Regierung Zugriff auf die Protokolldateien (und auf die in diesen Protokolldateien gespeicherten IP-Adressen) hätte, wäre sie immer noch nicht in der Lage, die Benutzer hinter den IP-Adressen zu identifizieren. Dazu benötigt die Bundesregierung zusätzliche Informationen, Informationen, die sich in den Händen eines Dritten befinden: eines Internet Providers.

Übrigens, wenn Du nicht weißt was Protokolldateien (log files) sind und wie sie für SEO genutzt werden können, dann lies Dir gerne den Artikel meines Kollegen Stefan zum Thema SEO Logfile Analyse durch.

Also war die Frage einfach: Wenn man bedenkt, dass die Bundesregierung nicht in der Lage war, die Nutzer hinter den IP-Adressen selbst zu identifizieren, sollten die IP-Adressen als personenbezogene Daten betrachtet werden? Beachte, dass diese Situation dem Aspekt der Client-IDs sehr ähnlich ist. Der einzige Unterschied besteht darin, dass bei Client-IDs die zur Identifizierung des Users erforderlichen Informationen beim User verbleiben (der seine Client-ID über die Entwickler-Toolbox leicht herausfinden kann), während beim Gerichtsverfahren die Informationen in den Händen eines Internet Providers sind.

Also, was ist passiert? Das liegt auf der Hand: Das Gericht entschied, dass die von der Bundesregierung gespeicherten IP-Adressen als personenbezogene Daten (WTF?) zu betrachten sind. Warum? Nun, unter außergewöhnlichen Umständen (wie bei einem Cyberangriff) können Internet Provider verpflichtet sein, ihre Daten (einschließlich des Namens des Users hinter einer bestimmten IP-Adresse) weiterzugeben, um zur Aufklärung beizutragen. Für das Gericht machte es dieser Umstand möglich, von der Bundesregierung die zusätzlichen Daten zu erhalten, die zur Identifizierung der Benutzer hinter den IP-Adressen nötig sind. Resultat: Die IP-Adressen sind aus Sicht der Regierung als personenbezogene Daten zu betrachten.

Was bedeutet das eigentlich? Vereinfacht ausgedrückt bedeutet dies, dass pseudonymisierte Daten als personenbezogene Daten anzusehen sind. Selbst wenn sich die erforderlichen zusätzlichen Daten in den Händen eines Dritten befinden und wenn irgendwie die Möglichkeit besteht, dass der Inhaber der pseudonymisierten Daten Zugang zu diesen zusätzlichen Daten erhält (auch wenn dies in Ausnahmefällen nur durch eine gerichtliche Anordnung möglich ist).

Die Entscheidung bietet die Grundlage dafür, dass viele pseudonymisierte Daten als personenbezogene Daten betrachtet werden können. Theoretisch könnte dies bedeuten, dass Client-IDs immer als personenbezogene Daten behandelt werden sollten. Schließlich besteht die Möglichkeit, dass ein Benutzer eine E-Mail schickt und Dich auffordert, die mit seiner Client-ID verbundenen Daten zu löschen. Aber lass uns nicht über die Sinnhaftigkeit dieser Gerichtsentscheidung sprechen. Das Einzige, was Du wissen solltest ist, dass mit einer Argumentation, wie sie vom Gericht verwendet wird, Daten wie Client-IDs als personenbezogene Daten betrachtet werden können. Im Sinne der DSGVO-Konformität wäre es daher sicherer anzunehmen, dass es sich bei den Client-IDs um personenbezogene Daten handelt. Ich glaube jedoch, dass nicht alle nationalen Datenschutzbehörden in der EU sich dessen bewusst sind. Wenn dies der Fall wäre, würden sie wahrscheinlich nicht Google Analytics verwenden. Aber einige tun es. Dazu gehören:

➜ Die bulgarische Datenschutzbehörde (https://www.cpdp.bg/):

Die bulgarische Datenschutzbehörde-Webseite

➜ Die kroatische Datenschutzbehörde (https://azop.hr/):

Die kroatische Datenschutzbehörde-Webseite

(Im Falle der kroatischen Datenschutzbehörde, das Google Analytics Tracking wird nur ermöglicht, wenn der Nutzer es via dem Cookie-Banner akzeptiert)

➜ Die tschechische Datenschutzbehörde (https://www.uoou.cz/):

Die tschechische Datenschutzbehörde-Webseite

➜ Die britische Datenschutzbehörde (https://ico.org.uk/):

Die britische Datenschutzbehörde-Webseite

➜ Und die polnische Datenschutzbehörde (https://uodo.gov.pl/)

Die polnische Datenschutzbehörde-Webseite

Ein letzter Aspekt: Wenn Du Dich erinnerst habe ich am Ende des letzten Teils gesagt, dass Google die pseudonymisierten Daten, die Google Analytics sammelt, nicht als personenbezogene Daten betrachtet. Andernfalls würde Google nicht zulassen, dass Dinge wie User-IDs oder Client-IDs in Google Analytics enthalten sind. Ich glaube, Google verfolgt den gleichen Ansatz, den die deutsche Regierung in dem von uns beschriebenen Gerichtsverfahren verfolgt hat. Aber wie wir gesehen haben, lag die deutsche Regierung falsch, und Google auch.

Follow up

Wir wissen nun, dass Daten wie z.B. die Client ID als personenbezogene Daten angesehen werden sollten. In der nächsten Woche werden wir uns mit IP-Adressen beschäftigen, warum Google Analytics sie braucht und was Du in dem Fall beachten solltest, falls Dein Unternehmen von der DSGVO betroffen ist. Außerdem zeigen wir Dir was mit Deinen Google Analytics Daten passieren kann, wenn Du Dich vor der Einbindung einer datenschutzkonformen Lösung nicht richtig informierst. Nochmal zur Erinnerung: Falls Du nicht mehr warten kannst, bis alle Teile online sind, hast Du hier die Möglichkeit das komplette eBook herunterzuladen.

 

Nelson Rodrigues Conde

Geschrieben von

Außerhalb seiner Arbeit als Digital Consultant ist Nelson ein
Fan von Metal Musik und ein wahrer Enzyklopädist. Er hat
viele Interessen, einschließlich Geschichte, Psychologie und
Wirtschaft.

0 / 5 (0 votes)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.