Google Analytics skickar alltid data till USA

Google Analytics är fortfarande det mest populära webbplatsverktyget för att spionera på användarnas beteende.

För några dagar sedan gjorde Google ett överraskande medgivande. Sedan dess är det obestridligt att all data som samlas in på en webbplats med Google Analytics skickas till USA och alltid behandlas där.

Varför erkände Google detta?

Detta utlöstes av ett klagomål från dataskyddsorganisationen noyb mot Google till den österrikiska tillsynsmyndigheten. Myndigheten ställde sedan över 20 frågor till Google.

Google svarade på frågorna ofta undvikande, ofta okunnigt och ofullständigt. Det faktum att Google utropade exklusiv datalagring i USA för Google Analytics-data är rimligen lätt att förklara. Jag behöver utveckla detta lite.

Hur ser den rättsliga situationen ut?

Sedan EU-domstolens dom om Privacy Shield, även känd som „Schrems II“-domen, har USA betraktats som ett osäkert tredje land. Överföring av personuppgifter till USA kräver samtycke.

Det sker alltid en överföring av personuppgifter på webbplatser eftersom användarens nätverksadress, IP-adressen, är personlig enligt en dom i högsta domstolen.

USA betraktas som ett osäkert tredje land eftersom det har rättsliga medel som gör det möjligt för amerikanska myndigheter, t.ex. underrättelsetjänster, att få tillgång till uppgifter från amerikanska företag. Om ett amerikanskt företag har lagrat tyska kunduppgifter kan USA komma åt dem.

De rättsliga instrument som legitimerar underrättelsetjänster att i hemlighet få tillgång till uppgifter är framför allt FISA Act och Executive Order EO12333. I sitt svar till tillsynsmyndigheten klargjorde Google att båda förordningarna endast tillåter tillgång till uppgifter som lagras utanför USA.

Googles logik är därför: Vi lagrar alla uppgifter i USA, så att de inte kan nås på grund av FISA och EO12333. Detta innebär att uppgifterna är säkra hos oss.

Detta är dock inte sant, men det är förmodligen den bästa möjliga invändning som Google kan komma med. Kreativiteten i Googles uttalande korrelerar förmodligen på något sätt med lönerna för Googles advokater. Icke desto mindre har Google erkänt det som många redan insett men inte kunnat bevisa.

Är uppgifterna i USA säkra?

Den bättre frågan är om data som skickas av Google Analytics till USA och lagras där är säkra.

Uppenbarligen genereras analysdata i Europa när en europé öppnar en webbplats som integrerar Google Analytics. Google samlar in dessa data via en så kallad collector.

En collector är en server som är placerad i geografisk närhet av användaren där det är möjligt och som tar emot data från endpoint. Uppgifterna skickas sedan till USA.

Detta innebär att datainsamling sker över hela världen. FISA och EO12333 tillåter NSA, i egenskap av amerikansk underrättelsetjänst, att utföra vad som kallas uppströmsinsamling. Detta innebär att man avlyssnar en transatlantisk kabel genom vilken data från andra länder flödar in i USA.

Detta är uppenbarligen olagligt i sig utan samtycke, skulle man ironiskt kunna anmärka. Dessutom skulle de registrerade behöva informeras om detta, vilket förmodligen inte är fallet. Enligt GDPR måste varje registrerad också ha en rätt att göra invändningar. NSA känner förmodligen inte heller till denna term.

Krav på samtycke för Google Analytics

På grund av den världsomspännande datainsamlingen och dataöverföringarna enbart till USA måste samtycke för Google Analytics begäras innan verktyget laddas.

I den nuvarande standardkonfigurationen använder Google (Universal) Analytics cookies. Enligt § 15 para. 3 TMG är detta underkastat samtycke. Motivering:

• Cookies ställs in och läses av Google Analytics
• Värdena för kakorna skickas till Googles servrar
• Kakorna är inte tekniskt nödvändiga. Bevis: Google Analytics kan också användas utan cookies
• I ePrivacy-direktivet krävs samtycke för detta i artikel 5.3. Det är irrelevant vilka uppgifter som lagras i cookies. Det behöver inte ens vara personuppgifter.
• Enligt BGH:s dom av den 28 maj 2020 - I ZR 7/16 („Planet49“) ska TMG tolkas i enlighet med ePrivacy-direktivet

Det är också möjligt att inget effektivt dataskyddsavtal kan ingås med Google eftersom underleverantörerna är spridda över hela världen, eftersom Google „bara“ får radera uppgifter på begäran efter två månader osv.

Allt detta är tillräckligt för att anta ett allmänt samtyckeskrav för Google Analytics, även om inga cookies används.

Information om Google Analytics

Den som har tagit en titt på Googles integritetspolicy och kontraktet för Google Analytics är förmodligen lika smart som tidigare. Googles information är så invecklad, spridd över olika dokument, vag och tvetydig att det verkar omöjligt att ge transparent information.

Enligt Artikel 12 GDPR måste dock transparent, begriplig information tillhandahållas om databehandling med Google Analytics.

Slutsats

Att erhålla effektivt samtycke för Google Analytics verkar svårt. Dessa så kallade cookie pop-ups på webbplatser är inte bara irriterande, de är vanligtvis också olagliga i praxis.

Utan samtycke kan Google Analytics endast användas om cookies inte används. Datakvaliteten kan dock ifrågasättas eftersom Google Analytics inte är optimerat för detta driftläge.

En dataskyddsvänlig analys av webbplatsbesökare är möjlig med verktyg som Trackboxx. Utan cookies och utan betydande fingeravtryck krävs ingen samtyckesbegäran. Fokus här ligger på användarvänlighet, vilket verkligen inte är fallet med Google Analytics. Den som någon gång har tittat på Google Analytics instrumentpanel kommer inte att ha förstått allt ens efter timmar.

Jag tycker också att vi ska gynna tyska leverantörer och sluta leverera uppgifter till Google gratis så snart som möjligt.

Alla som någon gång har haft ett supportärende eller en allmän fråga till ett företag känner igen känslan av att inte ha fått ett ordentligt svar. Enligt min erfarenhet är inhemska leverantörer mycket mer kundvänliga och har bättre internaliserat konceptet med tjänsteleverantörer.