Google Analytics stuurt altijd gegevens naar de VS

Google Analytics is nog steeds de populairste website-tool voor het bespioneren van gebruikersgedrag.

Een paar dagen geleden deed Google een verrassende bekentenis. Sindsdien is het onbetwistbaar dat alle gegevens die op een website met Google Analytics worden verzameld, naar de VS worden gestuurd en daar altijd worden verwerkt.

Waarom heeft Google dit toegegeven?

Aanleiding was een klacht van de gegevensbeschermingsorganisatie noyb tegen Google bij de Oostenrijkse toezichthoudende autoriteit. De autoriteit stelde Google vervolgens meer dan 20 vragen.

Google antwoordde op de vragen vaak ontwijkend, vaak onwetend en onvolledig. Het feit dat Google heeft verklaard dat Google Analytics-gegevens exclusief in de VS opslaat is redelijk eenvoudig te verklaren. Ik moet hier iets verder op ingaan.

Wat is de juridische situatie?

Sinds de uitspraak van het Europese Hof van Justitie over het Privacy Shield, ook bekend als de „Schrems II“-uitspraak, worden de VS beschouwd als een onveilig derde land. Voor de overdracht van persoonlijke gegevens naar de VS is toestemming nodig.

Een overdracht van persoonlijke gegevens vindt altijd plaats op websites omdat het netwerkadres van de gebruiker, het IP-adres, persoonlijk is volgens een uitspraak van het hoogste gerechtshof.

De VS wordt beschouwd als een onveilig derde land omdat het wettelijke middelen heeft waarmee Amerikaanse autoriteiten zoals inlichtingendiensten toegang kunnen krijgen tot gegevens van Amerikaanse bedrijven. Als een bedrijf uit Amerika Duitse klantgegevens heeft opgeslagen, heeft Amerika daar toegang toe.

De wettelijke instrumenten die geheime diensten legitimeren om in het geheim toegang te krijgen tot gegevens zijn met name de FISA Act en de Executive Order EO12333. In zijn antwoord aan de toezichthoudende autoriteit verduidelijkte Google dat beide verordeningen alleen toegang verlenen tot gegevens die buiten de VS zijn opgeslagen.

De logica van Google is dus: We slaan alle gegevens op in de VS, dus ze kunnen niet worden ingezien vanwege FISA en EO12333. Dit betekent dat de gegevens veilig zijn bij ons.

Dit is echter niet waar, maar het is waarschijnlijk het best mogelijke bezwaar dat Google naar voren kan brengen. De creativiteit van Google's verklaring hangt waarschijnlijk op de een of andere manier samen met de salarissen van Google's advocaten. Desalniettemin heeft Google toegegeven wat velen zich al realiseerden, maar niet konden bewijzen.

Zijn de gegevens in de VS veilig?

De betere vraag is of de gegevens die Google Analytics naar de VS stuurt en daar opslaat, veilig zijn.

Blijkbaar worden in Europa analytische gegevens gegenereerd wanneer een Europeaan een website opent die Google Analytics integreert. Google verzamelt deze gegevens via een zogenaamde collector.

Een collector is een server die zich waar mogelijk in de geografische omgeving van de gebruiker bevindt en de gegevens van het eindpunt ontvangt. De gegevens worden dan verzonden naar de VS.

Dit betekent dat gegevensverzameling wereldwijd plaatsvindt. FISA en EO12333 staan de NSA, als de Amerikaanse inlichtingendienst, toe om wat bekend staat als upstream collection uit te voeren. Hierbij wordt een trans-Atlantische kabel afgetapt waardoor gegevens van elders naar de VS stromen.

Dit is natuurlijk illegaal op zich zonder toestemming, zou je ironisch kunnen opmerken. Afgezien daarvan zouden betrokkenen hierover moeten worden geïnformeerd, wat waarschijnlijk niet het geval is. Volgens de GDPR moet elke betrokkene ook een recht van verzet hebben. De NSA kent deze term waarschijnlijk ook niet.

Toestemmingsvereiste voor Google Analytics

Alleen al vanwege de wereldwijde gegevensverzameling en gegevensoverdracht naar de VS zou toestemming voor Google Analytics moeten worden gevraagd voordat de tool wordt geladen.

In de huidige standaardconfiguratie gebruikt Google (Universal) Analytics cookies. Volgens § 15 para. 3 TMG is dit toestemmingsplichtig. Rechtvaardiging:

• De cookies worden ingesteld en gelezen door Google Analytics
• De waarden van de cookies worden naar de servers van Google gestuurd
• De cookies zijn technisch niet noodzakelijk. Bewijs: Google Analytics kan ook zonder cookies worden gebruikt.
• De ePrivacyrichtlijn vereist hiervoor toestemming in art. 5 lid 3. Het maakt niet uit welke gegevens worden opgeslagen in de cookies. Het is niet relevant welke gegevens in de cookies worden opgeslagen. Het hoeven niet eens persoonsgegevens te zijn.
• Volgens het BGH-arrest van 28 mei 2020 - I ZR 7/16 („Planet49“), moet de TMG worden geïnterpreteerd in overeenstemming met de ePrivacy-richtlijn.

Het is ook mogelijk dat er geen effectieve DPA kan worden afgesloten met Google omdat de onderaannemers wereldwijd verspreid zijn, omdat Google gegevens alleen op verzoek na twee maanden „mag“ verwijderen, enz.

Dit alles is voldoende om een algemene toestemmingsvereiste voor Google Analytics aan te nemen, zelfs als er geen cookies worden gebruikt.

Informatie over Google Analytics

Iedereen die het privacybeleid van Google en het contract voor Google Analytics heeft bekeken, is waarschijnlijk net zo slim als vroeger. De informatie van Google is zo ingewikkeld, verspreid over verschillende documenten, vaag en dubbelzinnig dat het onmogelijk lijkt om transparante informatie te verstrekken.

Volgens Artikel 12 GDPR moet er echter transparante, begrijpelijke informatie worden verstrekt over gegevensverwerking met Google Analytics.

Conclusie

Het verkrijgen van effectieve toestemming voor Google Analytics lijkt moeilijk. Deze zogenaamde cookie pop-ups op websites zijn niet alleen irritant, ze zijn meestal ook illegaal in praktijk.

Zonder toestemming kan Google Analytics alleen worden gebruikt als er geen cookies worden gebruikt. De kwaliteit van de gegevens is dan echter twijfelachtig, omdat Google Analytics niet is geoptimaliseerd voor deze bedrijfsmodus.

Een gegevensbeschermingsvriendelijke analyse van websitebezoekers is mogelijk met tools zoals Trackboxx. Zonder cookies en zonder significante vingerafdrukken is er geen verzoek om toestemming nodig. De focus ligt hier op gebruiksgemak, wat zeker niet het geval is bij Google Analytics. Iedereen die ooit het Google Analytics-dashboard heeft bekeken, zal zelfs na uren nog niet alles hebben begrepen.

Ik denk ook dat we Duitse aanbieders moeten bevoordelen en zo snel mogelijk moeten stoppen met het gratis leveren van gegevens aan Google.

Iedereen die wel eens een supportcase of een algemene vraag aan een bedrijf heeft gesteld, kent het gevoel geen goed antwoord te hebben gekregen. Mijn ervaring is dat binnenlandse providers veel klantvriendelijker zijn en het concept van serviceprovider beter hebben geïnternaliseerd.