Google Analytics zawsze wysyła dane do USA

Google Analytics to wciąż najpopularniejsze narzędzie internetowe do szpiegowania zachowań użytkowników.

Kilka dni temu Google dokonało zaskakującego przyznania. Od tego czasu nie ma wątpliwości, że wszystkie dane zebrane na stronie internetowej za pomocą Google Analytics są wysyłane do USA i zawsze tam przetwarzane.

Dlaczego Google się do tego przyznał?

Zostało to spowodowane skargą złożoną przez organizację ochrony danych noyb przeciwko Google do austriackiego organu nadzorczego. Następnie organ ten zadał Google ponad 20 pytań.

Google odpowiedział na pytania często wymijająco, często ignorancko i niekompletnie. Fakt, że Google proklamował wyłączne przechowywanie danych w USA dla danych Google Analytics jest dość łatwy do wyjaśnienia. Muszę to trochę rozwinąć.

Jaka jest sytuacja prawna?

Od czasu wyroku ETS w sprawie Tarczy Prywatności, znanego również jako wyrok „Schrems II“, USA są uważane za niebezpieczne państwo trzecie. Przekazywanie danych osobowych do USA wymaga zgody.

Na stronach internetowych zawsze dochodzi do przekazywania danych osobowych, ponieważ adres sieciowy użytkownika, adres IP, jest daną osobową zgodnie z wyrokiem sądu najwyższego.

USA są uważane za niebezpieczny kraj trzeci, ponieważ mają środki prawne, które umożliwiają amerykańskim władzom, takim jak agencje wywiadowcze, dostęp do danych z amerykańskich firm. Jeśli amerykańska firma przechowuje dane niemieckich klientów, Ameryka może uzyskać do nich dostęp.

Instrumentami prawnymi, które legitymizują służby specjalne do potajemnego dostępu do danych są w szczególności FISA Act oraz Executive Order EO12333. W odpowiedzi udzielonej organowi nadzorczemu Google wyjaśnił, że oba rozporządzenia zezwalają jedynie na dostęp do danych przechowywanych poza USA.

Logika Google jest zatem następująca: przechowujemy wszystkie dane w USA, więc nie można uzyskać do nich dostępu ze względu na FISA i EO12333. Oznacza to, że dane są u nas bezpieczne.

Nie jest to jednak prawdą, ale jest to prawdopodobnie najlepszy możliwy zarzut, jaki Google może wysunąć. Kreatywność oświadczenia Google prawdopodobnie koreluje w jakiś sposób z wynagrodzeniami prawników Google. Niemniej jednak, Google przyznało to, co wielu już wiedziało, ale nie mogło tego udowodnić.

Czy dane w USA są bezpieczne?

Lepszym pytaniem jest to, czy dane przesyłane przez Google Analytics do USA i tam przechowywane są bezpieczne.

Najwyraźniej dane analityczne są generowane w Europie, gdy Europejczyk otwiera stronę internetową, która integruje Google Analytics. Google gromadzi te dane za pośrednictwem tak zwanego kolektora.

Kolektor to serwer, który znajduje się w geograficznym sąsiedztwie użytkownika, jeśli to możliwe, i odbiera dane z punktu końcowego. Dane są następnie wysyłane do USA.

Oznacza to, że gromadzenie danych odbywa się na całym świecie. FISA i EO12333 pozwalają NSA, jako amerykańskiej agencji wywiadowczej, na przeprowadzanie tak zwanego zbierania danych z góry. Obejmuje to podsłuchiwanie transatlantyckiego kabla, przez który dane z innych miejsc przepływają do USA.

Można ironicznie zauważyć, że jest to oczywiście nielegalne samo w sobie bez zgody. Poza tym osoby, których dane dotyczą, musiałyby zostać o tym poinformowane, co prawdopodobnie nie ma miejsca. Zgodnie z RODO, każda osoba, której dane dotyczą, musi mieć również prawo do sprzeciwu. NSA prawdopodobnie również nie zna tego terminu.

Wymóg zgody dla Google Analytics

Ze względu na gromadzenie danych na całym świecie i przesyłanie danych tylko do USA, zgoda na Google Analytics musiałaby być wymagana przed załadowaniem narzędzia.

W obecnej standardowej konfiguracji Google (Universal) Analytics używa plików cookie. Zgodnie z § 15 ust. 3 TMG, jest to podlegające zgodzie. Uzasadnienie:

• Pliki cookie są ustawiane i odczytywane przez Google Analytics
• Wartości plików cookie są przesyłane na serwery Google
• Pliki cookie nie są technicznie niezbędne. Dowód: Google Analytics może być również obsługiwany bez plików cookie
• Dyrektywa ePrivacy Directive wymaga zgody na to w art. 5 ust. 3. Nie ma znaczenia, jakie dane są przechowywane w plikach cookie. Nie muszą to być nawet dane osobowe
• Zgodnie z orzeczeniem BGH z dnia 28 maja 2020 r. - I ZR 7/16 („Planet49“), TMG należy interpretować zgodnie z dyrektywą o prywatności i łączności elektronicznej.

Jest również możliwe, że nie można zawrzeć skutecznego DPA z Google, ponieważ podwykonawcy są rozmieszczeni na całym świecie, ponieważ Google „może“ usunąć dane tylko na żądanie po dwóch miesiącach itp.

Wszystko to wystarcza, aby założyć wymóg ogólnej zgody na Google Analytics, nawet jeśli nie są używane żadne pliki cookie.

Informacje na temat Google Analytics

Każdy, kto zapoznał się z polityką prywatności Google i umową dotyczącą Google Analytics, jest prawdopodobnie tak samo mądry jak wcześniej. Informacje Google są tak zawiłe, rozproszone w różnych dokumentach, niejasne i niejednoznaczne, że zapewnienie przejrzystych informacji wydaje się niemożliwe.

Zgodnie z art. 12 RODO, transparentne, zrozumiałe informacje muszą być jednak dostarczane na temat przetwarzania danych za pomocą Google Analytics.

Wnioski

Uzyskanie skutecznej zgody na Google Analytics wydaje się trudne. Te tak zwane wyskakujące okienka cookie na stronach internetowych są nie tylko irytujące, ale zazwyczaj są również nielegalne w praktyce.

Bez zgody Google Analytics może działać tylko wtedy, gdy pliki cookie nie są używane. Jednak jakość danych jest wówczas wątpliwa, ponieważ Google Analytics nie jest zoptymalizowany dla tego trybu pracy.

Przyjazną dla ochrony danych analizę odwiedzających stronę internetową umożliwiają narzędzia takie jak Trackboxx. Bez plików cookie i bez znaczących odcisków palców nie jest wymagana żadna zgoda. Nacisk kładziony jest tutaj na łatwość użytkowania, co z pewnością nie ma miejsca w przypadku Google Analytics. Każdy, kto kiedykolwiek spojrzał na pulpit nawigacyjny Google Analytics, nie zrozumie wszystkiego nawet po wielu godzinach.

Uważam również, że powinniśmy faworyzować niemieckich dostawców i jak najszybciej zaprzestać bezpłatnego dostarczania danych do Google.

Każdy, kto kiedykolwiek miał do czynienia z pomocą techniczną lub ogólnym pytaniem do firmy, zna uczucie braku właściwej odpowiedzi. Z mojego doświadczenia wynika, że krajowi dostawcy usług są znacznie bardziej przyjaźni dla klientów i lepiej zinternalizowali koncepcję dostawcy usług.