In den letzten Monaten hat die EU begonnen, die Nutzung von Google-Diensten für europäische Länder einzuschränken. Es gab mehrere Vorfälle in verschiedenen Ländern, aber die häufigsten betrafen Vorschriften in Italien, Frankreich und Österreich, wo die Datenschutzbehörden sagten, die Verwendung von Google Analytics sei nicht DSGVO-konform.
In diesem Artikel möchte ich über die Vorschriften sprechen, die die Übermittlung von europäischen Nutzerdaten an US-Unternehmen verbieten. Ich werde auch darüber sprechen, wie Sie Stape Europe verwenden können, um einen EU-Proxy für den GTM-Server einzurichten, damit Ihre Nutzung von Google Analytics GDPR-konform ist.
Die Rechtsgeschichte des Datenaustauschs zwischen EU- und US-Unternehmen begann 2016, als die Europäische Kommission das Privacy Shield (den Rechtsrahmen für die Übermittlung von Daten zu kommerziellen Zwecken zwischen US- und EU-Unternehmen) genehmigte.
Im Jahr 2020 erklärte der Europäische Gerichtshof das Privacy Shield für ungültig. Dies geschah, weil die US-Gesetzgebung keinen ausreichenden Schutz personenbezogener Daten für in Europa ansässige Personen bietet.
Das Urteil wurde im Zusammenhang mit den Google-Diensten (wie Google Analytics oder Google Fonts), die die Sicherheit der Nutzerdaten nicht garantieren können, breit diskutiert.
Sie erklärten, dass das Ersuchen um die Zustimmung des Nutzers (oder Standardvertragsklauseln) auf der Website und das Auslösen eines intelligenten Trackings in den USA auf der Grundlage der Zustimmung des Nutzers dieses Tracking-Tool nicht vollständig GDPR-konform macht.
Die beiden bekanntesten Vorfälle im Zusammenhang mit der Übermittlung von EU-Nutzerdaten an die USA ereigneten sich in Italien und Frankreich. Beginnen wir mit dem französischen Vorfall.
Bei der französischen Datenschutzbehörde (CNIL) gingen Beschwerden von französischen Nutzern ein, die sich erkundigten, ob die Verwendung von Google Analytics (einem Nachrichtendienst des US-amerikanischen Unternehmens) mit den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) vereinbar ist.
Die CNIL stellte fest, dass die Verwendung von Google Analytics durch französische Websites zu einem Datentransfer von europäischen Nutzern an US-Unternehmen führt. Dies verstößt gegen die Bestimmungen der Datenschutz-Grundverordnung, da US-Unternehmen nicht ausreichend nachweisen können, dass die personenbezogenen Daten von EU-Nutzern sicher sind. Darüber hinaus hat die CNIL bestätigt, dass Googles Implementierung von SCCs nicht ausreicht, um die Anforderungen der DSGVO zu erfüllen.
Die Situation in Italien ist in gewisser Weise ähnlich. Die italienische SA-Regulierungsbehörde erhielt von mehreren Nutzern Fragen dazu, ob die Verwendung von Google Analytics durch eine bestimmte italienische Website unter die DSGVO fällt. Nach einer langwierigen Untersuchung hat die italienische Aufsichtsbehörde das italienische Unternehmen gewarnt, dass es die Verwendung von Google Analytics einstellen oder GA innerhalb von 90 Tagen in Übereinstimmung mit der DSGVO einrichten muss.
Darüber hinaus hat die italienische Aufsichtsbehörde in einer öffentlichen Bekanntmachung mitgeteilt, dass sie zahlreiche Beschwerden über die Übermittlung von Daten an US-Unternehmen erhalten hat. Alle italienischen Website-Betreiber sollten dies bei der Einführung von US-Smart-Tracking-Tools berücksichtigen. Die Nichteinhaltung kann zu Sanktionen führen.
Zusammenfassend lässt sich also sagen: Die Übertragung von Nutzerdaten aus der EU an US-Unternehmen ist nicht DSGVO-konform. Das größte Problem ist die Verwendung von Google Analytics, da es das am weitesten verbreitete Analysetool ist.
Datenverschlüsselung.
Die italienische Regulierungsbehörde argumentiert, dass die verschlüsselte Datenübertragung keine akzeptable Methode ist und den Schutz der Nutzerdaten nicht garantieren kann. Der Grund dafür ist, dass die Verschlüsselungstechnologie davon ausgeht, dass Google auf seiner Website über Verschlüsselungsschlüssel verfügt, mit denen die Rohdaten der Nutzer eingesehen und verarbeitet werden können. Solange der Verschlüsselungsschlüssel dem Datenimporteur (in diesem Fall Google) zur Verfügung steht, kann diese Methode daher nicht als DSGVO-konform angesehen werden.
Integrierte Google Analytics-Funktionen, die PII entfernen.
Google hat versucht, sich den EU-Datenschutzvorschriften anzupassen, indem es Funktionen zur Anonymisierung von Nutzerdaten eingeführt hat. Die EU-Regulierungsbehörden erklärten, dass die Bearbeitung der IP-Adresse eines Nutzers in der Praxis wenig oder gar keine Auswirkungen auf die Identifizierung des Nutzers haben kann. Vor allem wegen der ständigen Verarbeitung von IP-Adressen durch Google.
Zustimmung der Nutzer.
Google Analytics ist immer noch nicht DSGVO-konform, wenn ein Nutzer seine Zustimmung zu Analyse-Cookies gibt. Sie erklärten, dass die Weitergabe von Daten an US-Unternehmen und die Zustimmung unterschiedliche Dinge sind. Die Zustimmung der Nutzer trägt nicht zur Lösung des Problems bei.
Nach Ansicht der beiden Regulierungsbehörden besteht eine mögliche Lösung in der Verwendung eines EU-Proxyservers. Dieser Proxy soll die Interaktion der Überwachungsinstrumente der US-Geheimdienste mit den Browsern der Nutzer stören. Eine Möglichkeit, und vielleicht die einfachste, einen solchen Proxy-Server zu implementieren, ist die Verwendung von Google Tag Manager.
Proxy-Server müssen eine Reihe von Kriterien erfüllen. Die beiden wichtigsten sind:
Obwohl der Punkt mit den in der EU eingetragenen Unternehmen klar ist, können Sie auf der Website oder in den Verzeichnissen der öffentlichen Register schnell überprüfen, wo das Unternehmen eingetragen ist. Der zweite Punkt kann knifflig sein.
Die Hauptverwirrung hat mit der Verwendung von Google Cloud für sGTM zu tun. Sie können Google Cloud nicht als Proxy-Server für sGTM verwenden. Bei der Einrichtung eines Proxyservers (bei dem es sich um einen Google Tag Manager-Server handeln kann) muss nicht nur der Serverbereich in Europa liegen, sondern auch der physische Server muss sich in Europa befinden und einem europäischen Unternehmen gehören.
Die schlechte Nachricht ist, dass es nicht ausreicht, einen 100%igen EU-Proxy für Ihren Google Tag Manager-Server zu verwenden. Sie müssen alle Nutzerdaten entfernen, die von der Analyseplattform für das Fingerprinting oder die Nutzeridentifizierung verwendet werden. Außerdem müssen Sie die Nutzerdaten pseudo-anonymisieren, bevor Sie sie an das US-Tracking-Tool senden.
1. IP-Adresse.
Sie müssen die IP-Adresse aus der Anfrage entfernen, um sicherzustellen, dass sie nicht zur Identifizierung von Nutzern verwendet werden kann. Das einfache Entfernen der IP-Adresse hilft nicht weiter, da sie immer noch verwendet werden kann, um Bereiche zu identifizieren, in denen sich der Nutzer befindet.
2. Nutzerkennungen.
Wenn ein Nutzer Ihre Website besucht, erzeugt Google eine eindeutige Client-ID, die das Browser-Geräte-Paar des Nutzers identifiziert, und speichert Cookies. Die von Google generierte Client-ID muss gelöscht werden, obwohl Sie die zufällig generierte Client-ID weiterhin verwenden können.
3. Externer Referent.
Sie müssen alle Daten über die Website löschen, die der Nutzer besucht hat, bevor er auf Ihre Website gelangt ist. Diese Daten enthalten in der Regel Informationen darüber, ob Besucher Ihre Website über einen Link in einem Blogbeitrag eines anderen Nutzers oder über eine organische Suche usw. besucht haben.
4. URL parameter.
Häufig enthalten URL-Parameter Informationen über die Quelle, das Medium, die Kampagne oder den Clickstream-Bezeichner. Darüber hinaus fügen einige Websites Benutzerdaten (z. B. E-Mail, Name, Telefonnummer) in die URL ein. Unabhängig davon, welche URL-Parameter Ihre Website enthält, sollten Sie diese entfernen.
5. Alle Daten, die für das Fingerprinting verwendet werden können.
Viele Daten können für die Erstellung von Fingerabdrücken verwendet werden; derzeit gibt es keine eindeutigen Informationen darüber, welche Daten nach Ansicht der Regulierungsbehörden für die Erstellung von Fingerabdrücken verwendet werden können. Dazu gehören Browser, Gerät, Modell, Spracheinstellungen, Bildschirmauflösung usw.
6. Standortübergreifende Kennung.
Im Prinzip kann jeder Identifikator denselben Nutzer auf verschiedenen Websites identifizieren. Dies kann eine Nutzer-ID, eine Nutzer-ID im CRM, die E-Mail eines Nutzers usw. sein.
7. Alle Daten, die zur Identifizierung des Nutzers verwendet werden können.
Alle Informationen über den Nutzer.
Im Moment gibt es keine Möglichkeit, das Entfernen aller oben beschriebenen Parameter zu automatisieren. Sie müssen alle manuell über die Serverschnittstelle von Google Tag Manager ersetzt werden.
Um diese Probleme der Tracking-Funktion zu lösen, haben wir ein neues Produkt entwickelt - Stape Europe. Stape Europe ist ein europäisches Unternehmen (mit Sitz in Estland), das den Cloud-Server-Anbieter Scaleway (100% EU) für das Hosting von GTM-Containern nutzt.
Wir behandeln alle Fragen im Zusammenhang mit dem EU-eigenen Proxyserver. Wenn Sie einen sGTM-Container mit Stape Europe einrichten, übertragen Sie keine Daten an ein US-Unternehmen, da Stape Europe selbst ein in der EU eingetragenes Unternehmen ist und wir Server verwenden, die sich physisch in Europa befinden.
Leider haben wir derzeit keine Lösung, um Nutzerdaten automatisch zu entfernen. Unser Team arbeitet jedoch hart daran, Funktionen zu implementieren, mit denen personenbezogene Daten automatisch entfernt werden können, oder wir werden Ihnen zumindest das Leben erleichtern, indem wir einige personenbezogene Daten automatisch löschen.
Um Google Analytics GDPR-konform zu machen, muss eine Menge Arbeit geleistet werden. Es könnte ein echtes Problem sein, wenn Sie mit dem serverseitigen Tagging nicht vertraut sind.
Das Gute daran ist, dass Sie sich mit stape keine Gedanken über den EU-Proxy machen müssen und direkt in die Datenbeschränkungen eintauchen können, die in der Serverschnittstelle von Google Tag Manager festgelegt sind.
Wie sehen die Google Analytics-Daten aus, nachdem alle notwendigen Informationen entfernt wurden? Reicht das aus, um das Nutzerverhalten, die Leistung der Website usw. zu analysieren? Nun, wir werden weniger Daten sehen, als wir es gewohnt sind. Aber das scheint eine neue Realität zu sein, an die wir uns gewöhnen müssen.
Entweder Sie entscheiden sich dafür, DSGVO-konform zu bleiben und weniger Daten über Website-Besucher zu erhalten. Oder Sie missachten diese Regeln und riskieren Verwarnungen oder Geldstrafen für die Übermittlung von Nutzerdaten in die USA.
Obwohl es in Italien, Frankreich und Österreich Fälle von Datenübertragungen gegeben hat, haben einige andere europäische Länder bereits begonnen, über ähnliche Regelungen zu sprechen. Wenn Sie also ein serverseitiges Tracking durchführen, rate ich Ihnen, den Teil der Datenübertragung in den USA sofort zu entfernen. Warten Sie nicht darauf, dass in Ihrem Land die gleichen Fälle auftreten; Sie müssen die Einrichtung neu vornehmen.
Wenn Sie Fragen haben, können Sie sich jederzeit an uns wenden. Das Stape-Team kann Ihnen auch bei der Einrichtung eines EU-Proxyservers helfen!
Alles, was Sie brauchen, sind ein paar einfache Fragen. Klicken Sie auf Hilfe anfordern, füllen Sie das Formular aus und wir senden Ihnen ein Angebot zu.