morefire
MENÜ

Die DSGVO, Cookies und andere Tracking-Fragen: Der Fall Google Analytics (Teil 2)

Du fragst Dich wie die DSGVO das Tracking mit Google Analytics und deren Cookies beeinflusst? Die Gute Nachricht: Hier bist Du genau richtig! Die weniger gute Nachricht: Das hier ist bereits der zweite Teil unserer Serie, welche vor genau einer Woche gestartet ist. Um also diesem Teil besser folgen zu können, empfehlen wir Dir vorab den ersten Teil zu lesen – hier entlang.

Unsere Serie besteht aus insgesamt fünf Teilen, welche in wöchentlichen Abständen veröffentlicht werden. Der dritte Teil ist daher in genau einer Woche online.

Hier eine Übersicht, welche Themen wir in den fünf Artikeln behandeln:

  1. Sammelt Google Analytics Daten? Wenn ja, wie?
  2. Welche Daten sammelt Google Analytics?
  3. Sind die gesammelten Daten von Google Analytics personenbezogene Daten?
  4. Sind alle pseudonymisierten Daten personenbezogene Daten?
  5. IP Adressen und Datenminimierung
  6. Wenn die gesammelten Daten von Google Analytics personenbezogene Daten sind, muss ich dann die DSGVO beachten?
  7. Was kann im schlimmsten Fall passieren, wenn die DSGVO eingehalten werden muss?
  8. Kann ich Google Analytics benutzen ohne die Zustimmung des Nutzers?
  9. Fazit
  10. Bonus: Cookie-Regeln sind nie wirklich gestorben?

Im letzten Teil haben wir uns die Punkte 1 und 2 genauer angeschaut. Im heutigen Artikel geht es um Punkt 3 (Sind die gesammelten Daten von Google Analytics personenbezogene Daten?).

Falls Du nicht warten willst bis alle Teile veröffentlicht sind, kannst Du das ganze eBook direkt hier herunterladen!

Weiter geht´s…

3. Sind die gesammelten Daten von Google Analytics personenbezogene Daten?

Wie wir in Teil 1 gesehen haben sammelt Google Analytics Daten von Nutzern und stellt sie in zusammengefasster Form dar. Der Nutzer-Explorer Report stellt eine Ausnahmen dar, da hier die Web-Aktivitäten über die Client-ID individuell betrachtet werden können. Tatsächlich wäre es möglich, mehr Details über jede Client-ID herauszufinden, indem man die Client-ID in eine benutzerdefinierte Dimension umwandelt und sie mit den in Google Analytics verfügbaren Berichten vermischt.

Allerdings können wir durch die von Google Analytics gesammelten Daten nicht herausfinden, wer die Nutzer hinter den Daten sind. Google Analytics zeigt uns z.B. nur an wie oft eine Seite angeklickt und betrachtet wurde. Im besten Fall weist Google Analytics jedem Endgerät eine Client-ID zu, aber diese Client-ID ist nur eine Auflistung von Ziffern und beinhaltet keine Namen oder E-Mail-Adressen.

Wenn das, was ich gerade gesagt habe, wahr ist, dann wäre es unsinnig, die von Google Analytics erhobenen Daten als personenbezogene Daten zu betrachten. Denk mal darüber nach: Obwohl das Tool Daten von Benutzern sammelt, ist es nicht möglich, herauszufinden, wer genau diese Benutzer sind. Darüber hinaus verbieten die Nutzungsbedingungen für Google Analytics (Punkt 7 – Datenschutz) den Kunden ausdrücklich, personenbezogene Daten in Google Analytics einzugeben:

Nutzungsbedingungen für Google Analytics, Abschnitt 7. Datenschutz

(Nutzungsbedingungen für Google Analytics, Abschnitt 7. Datenschutz)

Wenn die Nutzungsbedingungen für Google Analytics uns jedoch verbieten, personenbezogene Daten in Google Analytics einzugeben, geben sie implizit zu, dass es möglich ist. Und das ist es auch! Es gibt verschiedene Möglichkeiten personenbezogene Daten in Google Analytics einzugeben, wie benutzerdefinierte Dimensionen oder Datenimport, auch wenn Du es nicht tun solltest! Tatsächlich geben viele Kunden personenbezogene Daten in Google Analytics ein, auch wenn sie sich nicht bewusst darüber sind. Paul Koks hat einen sehr guten Artikel geschrieben, der zeigt, wie persönliche Daten in Google Analytics landen können, ohne dass man es merkt – lohnt sich!

Anzumerken ist, dass Google, wenn es feststellt, dass personenbezogene Daten in das Analytics-Konto eingegeben wurden, diese für immer abschalten kann. Dementsprechend ist Vorsicht geboten! Falls Du aber in Deinem Google Analytics-Konto personenbezogene Daten feststellst, diese aber nicht löschen kannst, empfehle ich Dir, sich mit Google in Verbindung zu setzen und sie zu bitten, diese Daten aus Deinem Konto zu löschen. Ich meine mich zu erinnern gelesen zu haben, dass Google auch ohne Vorwarnung manchmal personenbezogene Daten löscht, ohne vorher eine Benachrichtigung an den Kunden rauszuschicken. Allerdings bin ich mit nicht zu 100% sicher, ob das wahr ist (falls Du Dir sicher bist, lass es mich gerne in den Kommentaren wissen).

Nehmen wir an Du hast keine personenbezogenen Daten in Google Analytics eingegeben (bewusst oder unbewusst). Das würde bedeuten, dass Dein Google Analytics keine personenbezogenen Daten erhält. Client-IDs (und sogar IP-Adressen) widerlegen diese Schlussfolgerung nicht, da es in Google Analytics keine Möglichkeit gibt, die Identität des Nutzers hinter einer bestimmten Client-ID (oder IP-Adresse) herauszufinden. Daher können die von Google Analytics erhobenen Daten nicht als personenbezogene Daten betrachtet werden.

Tja, falsch!

Die DSGVO sieht nicht nur Namen oder E-Mail-Adressen als personenbezogenen Daten an. Pseudonymisierte Daten werden von der DSGVO ebenfalls als personenbezogenen Daten betrachtet. Aber was sind pseudonymisierte Daten? Pseudonymisierte Daten sind Daten, die die Identität einer Person nicht preisgeben, es sei denn, sie können mit zusätzlichen Daten abgeglichen werden.

Um das mal etwas zu verdeutlichen, stell Dir vor, ein Arzt würde die Daten seiner Patienten pseudonymisieren, um sie zu schützen. Um die Daten zu schützen erstellt der Arzt ein Blatt Papier mit allen Namen der Patienten und ordnet ihnen jeweils eine eindeutige Kennung zu (diese Kennung kann eine Zahlenfolge, eine Buchstabenfolge, eine Mischung aus beidem usw. sein). Dann erstellt der Arzt ein zweites Blatt, auf dem der Arzt jeder Kennung bestimmte medizinische Daten zuordnet. Oder anders gesagt: Das zweite Blatt beinhaltet pseudonymisierte Daten, das erste Blatt beinhaltet Daten, um die Pseudonymisierung rückgängig zu machen. Wenn nun das zweite Blatt gestohlen werden würde, würde der Dieb daraus keinen Nutzen ziehen, denn er könnte die medizinischen Daten keiner Person zuordnen, da er nur die Kennungen besitzt. Die Sache sieht allerdings ganz anders aus, wenn das erste Blatt auch gestohlen werden würde, dann wäre es dem Dieb möglich, die Personen und deren zugeordneten medizinischen Daten zu entschlüsseln.

Die Frage ist demnach: Sammelt Google Analytics pseudonymisierte Daten? Die Antwortet lautet ja. Um das zu verdeutlichen, schauen wir uns eine Funktion in Google Analytics an, die als User-ID bezeichnet wird. User-IDs sind eindeutige Kennungen, die einzelnen Benutzern zugeordnet werden. Sie funktionieren ähnlich wie Client-IDs. Der Unterschied besteht darin, dass User-IDs einem User zugeordnet sind, während Client-IDs einem Endgerät zugeordnet werden. Die User-ID könnte also als eine Art perfektionierte Client-ID betrachtet werden. Tatsächlich sieht der Bericht zur User-ID in Google Analytics ähnlich aus wie der Bericht zur Client-ID. Wenn Du mir nicht glaubst, schau Dir die Screenshots unten an.

User IDs im Nutzer-Explorer Bericht in Google Analytics

(User IDs im Nutzer-Explorer Report) 

 Ansicht von Daten einer einzelnen User ID in Google Analytics

(Ansicht von Daten einer einzelnen User ID)

Nicht alle Webseiten können jedoch die User-ID-Funktion aktivieren. Nur Webseiten, die eindeutige IDs generieren können, können das. Wie zum Beispiel bei einer E-Commerce-Webseite, die es den Nutzern ermöglicht, ihr eigenes Konto zu erstellen. Jedes Mal, wenn ein User ein Konto erstellt, generiert die Webseite eine eindeutige ID für diesen User. Diese eindeutige ID kann dann als User-ID an Google Analytics gesendet werden. Wenn dieselbe E-Commerce-Webseite einer Online-Marketing-Agentur Zugang zu Deinem Google Analytics-Konto gewährt, kann die Agentur nun alle an Google Analytics gesendeten User-IDs einsehen. Die Agentur wäre jedoch nicht in der Lage, die Benutzer hinter den User-IDs zu identifizieren. Um dies zu tun, müsste die Agentur Zugang zur Kundendatenbank der E-Commerce-Webseite erhalten und die User-IDs von Google Analytics mit den eindeutigen IDs aus der Kundendatenbank der Webseite abgleichen. Das mag nach viel Arbeit klingen, aber es gibt Plugins, die das in wenigen Sekunden erledigen können. Willst Du einen Beweis? In einem seiner YouTube-Videos zeigt Julian Juenemann von measureschool.com, wie User IDs aus Google Analytics mit eindeutigen IDs aus E-Mail-Systemen oder dem CRM abgleicht. Und das mit Hilfe des Plugin PII Viewer for Google Analytics von David Simpson.

Wichtiger Hinweis, falls Du Dir das Video ansiehst: Die personenbezogenen Daten, die im Nutzer-Explorer Report von Google Analytics nach Aktivierung des Plugins angezeigt werden, werden nicht in Google Analytics, sondern im Browser gespeichert.

Das erste Fazit bisher: User-IDs sind pseudonymisierte Daten. Und da die DSGVO pseudonymisierte Daten auch als personenbezogene Daten ansieht, sind User-IDs auch personenbezogene Daten. 

Aber vielleicht denkst Du jetzt: OK, schön, User-IDs sind personenbezogene Daten. Aber wenn ich die User-ID Funktion bei Google Analytics nicht aktiviert habe, müsste alles in Ordnung sein, oder?

Die Antwort ist: Nicht wirklich.

User-IDs sind nicht die einzigen pseudonymisierten Daten, die Google Analytics sammelt. Client-IDs sind ebenfalls pseudonymisierte Daten. Der Unterschied besteht darin, dass Client-IDs nicht mit dem Namen oder der E-Mail-Adresse von jemandem abgeglichen werden können. Um dies zu tun, müssten Webseiten-Besitzer den User hinter jeder Client-ID herausfinden, allerdings ist das fast unmöglich. Der User kann jedoch seine eigene Client-ID herausfinden. Glaubst Du mir nicht? Gehe zu einer Webseite, von der Du weißt, dass sie Google Analytics verwendet. Wenn Du Firefox verwendest (wie ich es tue), klicke mit der rechten Maustaste auf die Seite und wähle dann Element untersuchen aus. Die Entwickler-Toolbox wird geöffnet. Klicke dann auf speichern. Wähle auf der rechten Seite Cookies, und suche nach dem _ga-Cookie. Sobald es gefunden wurde, wirst Du  einen Wert sehen, der ihm zugeordnet ist:

Client ID in der Firefox Entwickler-Toolbox

Die Zahlenreihe 758671965.1548674440 ist die Client-ID.

Das zweite Fazit bisher: Client-IDs sind ebenfalls pseudonymisierte Daten. Und da es sich bei pseudonymisierten Daten um personenbezogene Daten handelt, sollten Client-IDs als personenbezogene Daten betrachtet werden. Im Gegensatz zu User-IDs können Webseiten-Besitzer jedoch keine Client-IDs mit dem Namen oder der E-Mail-Adresse von Personen zuordnen. Um dies zu tun, müssten Webseiten-Besitzer herausfinden, wer hinter jeder Client-ID steckt, und das ist ziemlich unmöglich. Dieses letzte Detail ist sehr wichtig, wie wir im nächsten Teil sehen werden.

Aber bevor wir den heutigen Teil abschließen, gibt es etwas ganz Wichtiges zu erwähnen. Wie schon erwähnt verbieten die Nutzungsbedingungen für Google Analytics (Abschnitt 7. Datenschutz) die Eingabe personenbezogener Daten in Google Analytics. Die DSGVO betrachtet pseudonymisierte Daten jedoch als personenbezogene Daten. Und da User-IDs und Client-IDs eine Form von pseudonymisierten Daten sind…. Ja, Du hast richtig verstanden, Google erlaubt sogar, seine eigene Richtlinie zu brechen. Warum? Ich schätze, dass Google die von Google Analytics erhobenen pseudonymisierten Daten nicht als personenbezogene Daten betrachtet. Andernfalls würde Google nicht zulassen, dass Dinge wie Nutzerkennung oder Client-IDs in Google Analytics angezeigt werden. Wir werden im nächsten Teil sehen, warum Google diesen Ansatz gewählt hat.

Follow up

Wir wissen nun, dass die von Google Analytics gesammelten Daten personenbezogene Daten sind, bzw. um genau zu sein anonymisierte Daten. Dennoch stellt sich uns die Frage, ob anonymisierte Daten gleichzeitig auch immer als personenbezogene Daten angesehen werden? Dieser Frage werden wir uns im nächsten Artikel widmen – also stell Dir eine Erinnerung und komm in einer Woche wieder (Falls Du nicht solange warten willst, kannst Du das komplette eBook auch hier herunterladen)!

Nelson Rodrigues Conde

Geschrieben von

Außerhalb seiner Arbeit als Digital Consultant ist Nelson ein
Fan von Metal Musik und ein wahrer Enzyklopädist. Er hat
viele Interessen, einschließlich Geschichte, Psychologie und
Wirtschaft.

0 / 5 (0 votes)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.