18.01.2022
Sack Reis in AT umgefallen: Muss ich Google Analytics jetzt abschalten?
Die obige Frage höre ich seit ein paar Tagen angesichts der Flut an Meldungen rund um das Urteil zu Google Analytics in Österreich mehrfach täglich. Seit spätestens 2018 immer wiederkehrend, aber aktuell scheint das Urteil wirklich Aufmerksamkeit erregt und Bewegung in die Sache gebracht zu haben. Da ich kein Anwalt bin, ist meine "TL;DR-Antwort": Keine Ahnung. Ich hoffe nicht. Aber vielleicht solltest Du Deine Implementierung überdenken, wenn diese "klassisch" und rein clientseitig ist. Alles weitere dazu, wie ich auf diese Antwort komme und was diese bedeutet, als Momentaufnahme Mitte Januar 2022 (wenige Tage nach dem Urteil) hier in etwas ausführlicherer Form.
Entkopplung = Kontrolle!
Im Licht des Urteils scheint es (nicht nur mir) eine gute Idee zu sein, das potentielle Risiko zum Anlass zu nehmen, den Browser des Besuchers vom Trackingdienst (nicht nur Analytics) zu entkoppeln. Also irgendeine Form serverseitigen Trackings dazwischen zu schalten; sei es in Form eines serverside GTM oder was auch immer. Die Vorteile, technische Optionen wie Zaraz, Nutzung eigener Endpunkte und die generellen Konzeptfragen habe ich hier im Blog und an vielen anderen Stellen schon aufgegriffen.
Speziell im Fall von Google Universal Analytics erfordert es im Kern nur ein paar Zeilen Code und einen Platz im First Party Kontext, wo diese laufen können. Die Parameter des im einfachsten Fall nach wie vor verwendeten Formats der Datensammlung von Analytics selbst (also analytics.js, sei es vom Google Server oder dem eigenen bezogen) werden dabei entweder a) um eine gekürzte / redigierte IP und ggf. weiter reduzierten Dimensionen ergänzt (als hinzugefügte Parameter für IP und User Agent zum Beispiel) oder es wird b) auf die IP des Besuchers ganz verzichtet, so dass die des eigenen Endpunkts statt der des Besuchers bei GA ankommt. Ob dann noch regionale Informationen wie Land, Stadt etc. auf andere Weise hinzugefügt werden, liegt wiederum an der jeweiligen Implementierung und den eigenen Anforderungen.
Der Teufel steckt also hinsichtlich des Hauptkritikpunktes der Übertragung der IP eher in Details wie der Wahl der passenden Technologie und des Umfangs der Kontrolle, die man an ausüben will / muss, wenn es um die Vernichtung aller Daten geht, die unter die DSGVO fallen könnten.
Identität ohne Adressierbarkeit
Auch das "Cookie-ID-Thema" ist auf diesem Weg zu umgehen. Wer die ID selbst in die Hand nimmt und dazu z. B. (freilich nur bei Consent) ein httpOnly Cookie verwendet, das nur der eigene Server sehen kann und wo die verwendete, selbst generierte ID Google oder anderen keine Verknüpfung mit anderen Daten erlaubt (weil im Browser für Scripts etc. nicht zugänglich), sollte die Angriffsfläche in Form einer "synthetischen" und für Drittparteien nicht adressierbaren ID verloren haben.
Ich habe selbst eine Menge unterschiedlicher Varianten von sehr einfach bis ziemlich komplex ausfallenden Lösungen für serverside Tracking / Tagging in den letzten Jahren mit aufgebaut. Der SSGTM ist eine Option, aber nicht die einzige. Auch ist das Ganze inkl. weiterer Verwendung von GA mit regelmäßigem Geld über Anbieter wie Jentis und anderen auch nach dem Urteil noch lösbar, wie man dort versichert. Für jeden ist es also durchaus möglich, mit einem zu den eigenen Anforderungen an die Daten passenden Budget zu reagieren. Wenn er das denn will. Ich halte diesen Punkt allein für einen schlechten Grund und man sollte das Thema m. E. in einem größeren Kontext als Chance für mehr Kontrolle und Datenqualität sehen und auch nicht unbedingt überstürzt handeln. Rechtskräftig ist dieses Urteil m. W. noch nicht und wenn selbst Anwälte derzeit seht unterschiedliche Aussagen zum Handlungsbedarf machen, kann und will ich niemanden dazu zwingen, sich mit serverside Tracking zu befassen. Dass ich es aber für eine gute Idee halte, ist glaube ich ein offenes Geheimnis.
Aber: Google Analytics ist kein isolierter Fall
Das eigentliche Problem geht allerdings leider tiefer: Im nicht ganz so eng gefassten Kontext und Zusammenhang mit allem, was unter die DSGVO fällt, dürfen wir ja schon länger eigentlich nichts einsetzen, was einem US Unternehmen gehört. Auch egal, wo der jeweilige Vertragspartner sitzt (Irland), wenn unklar ist, ob die Daten nicht dennoch im Zweifelsfall von US Behörden gespeichert werden. Allein auf der Website sind das alle möglichen Dinge. Webfonts zum Beispiel oder auch, aber eben nicht nur Trackingscripts von Google, die in vielen Szenarien trotz First Party Tracking Endpunkt dennoch im Einsatz sind. Es mag also auch sinnvoll sein, sich von den Trackingscripts frei zu machen und ein eigenes Format zu verwenden oder zumindest das Script selbst zu hosten oder wie im Fall des serverside GTM aus einem eigenen Cache zu laden, statt es bei Google anzurufen.
Wo wir gerade von Kontext sprechen: Ein einfaches "Naja, die hatten auch nur einen alten Vertrag mit Google und die IP war nicht richtig anonymisiert, das betrifft mich nicht, blabla" ist vermutlich zu kurz gedacht. Ich kann darf das legale Risiko nicht einschätzen, aber es ist wohl klar, dass der klassische, rein clientseitige Einsatz von GA und vieler anderer Dienste (!) keine große Zukunft mehr hat, wenn nicht die derzeit noch im Hintergrund liegenden strategischen Motive der Klage (vom taktischen Erfolg hinsichtlich GA abgesehen) angegangen werden: Die unsichere Situation seit Wegfall von Privacy Shield endlich aufzulösen, so dass Datenschutz und Wirtschaft damit leben können. Aktuell machen wir je nach Auffassung alle jeden Tag vermutlich Dinge, die wir "eigentlich" nicht dürfen. Und der derzeit nicht auszuschließende (sondern eher sogar wahrscheinliche) Zugriff auf alle möglichen Daten durch US Behörden ist ein reales Problem. Ob Webanalysedaten hier das größte Problem sind? Sicher nicht. Aber darum geht es eben leider auch gar nicht. Schrems hat sich GA ausgesucht, weil man damit verdammt einfach einen Case aufmachen und Aufmerksamkeit erzeugen kann. Unsere aktuellen Probleme als GA Nutzer sind daher eher als Kollateralschaden des eigentlichen Kampfs zu sehen, der dem Datenschutz durchaus dient und aller Ehren wert ist. Wenngleich ich die ganze Diskussion um die IP Adresse auf der anderen Seite natürlich längst leid bin.
Fazit: Führt diese Sache nun endlich dazu, dass man sich auf ein akzeptables Datenschutzniveau zwischen EU und US einigen kann, ist das alles für etwas gut. Hoffentlich dauert es aber keine weiteren Jahre. Also wie bisher auch schon; das Thema ist ja nicht wirklich neu.
Werden nun aber Unternehmen aller Größen in der EU dazu gezwungen, massenhaft auf "Alternativen" umzusteigen, die die Anforderungen an das recht vielseitige und im MarTech Stack gut eingebundene GA oft nur rudimentär oder gar nicht abdecken (mit allen weiteren Dingen wie Schulungsaufwand, Umrüstung von Reporting, Schnittstellen und und und...) oder ihr Heil im serverside Tracking zu suchen (und dabei gern dann - schlecht beraten - auch noch die Moral zurücklassen und es noch übler wird hinsichtlich Datenschutz), geht das Urteil zumindest kurz- und mittelfristig nach hinten los. Punktuell und nicht als Massenflucht, soviel ist klar. Aber trotzdem sehe ich seit ein paar Monaten einen Trend hin zu technologisch leicht Machbarem ohne Hinterfragen der Konsequenzen und Berücksichtigung des Datenschutzes, der von diesem Urteil im schlimmsten Fall weiter befeuert wird.
Wer wissen will, was er konkret tun sollte, muss daher einen Anwalt und Datenschützer fragen. Wie man die o. a. Dinge zur effektiven Anonymisierung der IP, dem Verlagern von Tracking in den First Party Kontext, Nutzung einer robusten ID ohne die typischen ITP-Anfälligkeiten etc. angeht, ist hingegen eine rein technische Frage. Die ist hier (und in einigen Beiträgen in meinem Blog) nun hoffentlich ausreichend und nachvollziehbar beantwortet.