Skelsættende afgørelse: Derfor dumper Google Analytics på GDPR

19. januar kl. 03:4530
Google Analytics
Illustration: bigtunaonline | Bigstock.
Det er slut med at bruge Google Analytics, hvis det står datatilsynet i Østrig. Tech-gigantens foranstaltninger kan nemlig ikke sikre data mod at ende i hænderne på de amerikanske myndigheder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Statistikværktøjet Google Analytics har spredt sig til adskillige hjemmesider i EU, for som mange andre tjenester fra amerikanske tech-giganter, kan det måske være svært at finde europæiske alternativer, som kvalitetsmæssigt kan hamle op.

Værktøjet er også udbredt i Danmark og bruges blandt andet af nogle af landets største virksomheder: Mærsk, Novo Nordisk, DSV og Vestas.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
30 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
30
4. marts kl. 20:29

Hvis en IP betragtes som henførbart ligesom cookieløse fingerprint-teknikker, og fingerprinting falder under Cookies (som det bør) selvom det teknisk er en anden løsning, så kan man kun konkludere at en uopfordret forbindelse kræver et samtykke.

Både IP, WebGL-, Font-, Canvas- samt AudioContext fingerprint med utalligt andet snavs er jo "opfundet" med med et eneste formål - at fange personens interesser, databehandle dem set overfor leverandører og derefter hælde salgsgas i hovedet på personen = B2B.

Så ja, uanset hvad, så skal de have et samtykke.

Men hvis denne her holder hele vejen, så er der pænt mange der får travlt lige om lidt:
<a href="https://yro.slashdot.org/story/22/01/31/222250/website-fined-by-german-…;.

Rigtigt mange får meget meget travlt, når de bliver tvunget til det. Pt. holder de vejret, og håber at "det pjat" snart "går over".

29
4. marts kl. 10:51

Er der kommet en forklaring på hvorfor Google ikke tilbyder at opbevare Analytics-data i EU?

Problemet ligger i hvem der har magten i praksis. Jeg kan ikke forestille mig, at Google Europe vil nægte, hvis NSA tvinger Google USA til at sige: "I skal ellers er I fyret". Og sålænge USA har FISA, så kan jeg kun se, at det er en reel trussel.

Når Microsoft fortæller om, at de kun har modtaget så og så mange forespørgsler fra myndigheder, så indeholder dette tal ikke de forespørgsler, som de ikke må fortælle, at de har fået - herunder National Security Letters.

Derfor er det ikke nok, at data ligger i EU. Og det er også grunden til, at Schrems II er så skelsættende: Amazon Web Services og Microsoft Azure har tilsvarende problem.

28
4. marts kl. 10:36

Er der kommet en forklaring på hvorfor Google ikke tilbyder at opbevare Analytics-data i EU? Det vil selvfølgelig reducere datamængden som AdWords har adgang til betragteligt, men dog ikke så meget, som hvis europæiske virksomheder dropper GA helt.

27
1. februar kl. 10:19

At en IP skulle være betragtet som en cookielignende teknologi, kan jeg ikke se og har jeg ikke hørt om før

Det har indtil videre været uafgjort hvorledes IP adresser skal håndteres ift. GDPR.

Men hvis denne her holder hele vejen, så er der pænt mange der får travlt lige om lidt:

https://yro.slashdot.org/story/22/01/31/222250/website-fined-by-german-court-for-leaking-visitors-ip-address-via-google-fonts?utm_source=rss1.0mainlinkanon&utm_medium=feed

26
20. januar kl. 11:15

Hvorfor skulle en tilfældig åben port sætte en (ikke-strengt nødvendig) cookie? Og hvorfor skal du have samtykke til at logge en IP til sikkerhedsformål, i stedet for legitim interesse? At en IP skulle være betragtet som en cookielignende teknologi, kan jeg ikke se og har jeg ikke hørt om før

25
20. januar kl. 11:09

uopfordrede forespørgsler

Cookiedirektivet er ligeglad med om det er uopfordret.

Hvis et website sætter en cookie, så skal der indgås et samtykke.

Hvis en IP betragtes som henførbart ligesom cookieløse fingerprint-teknikker, og fingerprinting falder under Cookies (som det bør) selvom det teknisk er en anden løsning, så kan man kun konkludere at en uopfordret forbindelse kræver et samtykke.

Medmindre det er logningen og ikke IP i transit man fokuserer på.

I det tilfælde vil det kræve at alle disabler IP i webserver access logs for at undgå krav om samtykke.

24
20. januar kl. 11:03

Ligesom alle der har en email skal afklare sig med konsekvenserne heraf. Men i praksis er det jo nok ikke uopfordrede mails med personoplysninger (der blot kan slettes) eller uopfordrede forespørgsler til ens webserver med en åben port, som kommer til at være problematiske fra myndighedernes eller datasubjekternes synspunkt.

23
20. januar kl. 10:45

Og hvorfor skulle en HTTP(S)-forespørgsel ikke være omfattet af forordningen,

Helt enig.

Man skal blot gøre sig konsekvenserne klart, hvis alle der stiller en åben port tilrådighed dermed bliver databehandler.

21
19. januar kl. 21:40

Når jeg besøger en given website, kan jeg sagtens forstå at de er intereserede i hvordan jeg hopper rundt på deres site, men der rager ikke dem eller andre om jeg har kigget på tilsvarende sider (produkter) andre steder.

Kritiken af Google Analytics er tre punkter</p>
<pre><code>1) Der benyttes en third party cookie, så samme besøgende får samme unikke ID på tværs af forskellige sites.
</code></pre>
<p>

Hvilket i min optik er det største problem. Det rager ikke google eller deres kunder hvad jeg laver.

Al sporing på tværs af sites er no-go i min optik. Uden undtagelse.

2) Der trackes IP adresse. Men dette kan og bør slåes til at være anonymiseret
3) Der trackes diverse indstillinger i browseren / OS

Jeg har svært ved at finde situationer, hvor tracking af hvilket OS, browser eller settings jeg bruger, har nogen relevans.

Eneste grund, kunne være at de gerne ville ha en ide om hvilke browsere de skal sørge for at deres site virker i. Men det behøver jo ikke på nogen måde at betyde at der er brug for at gemme anden info en browser-navn og eventuelt version.

Og ja. Jeg ved godt at det ikke er raket-videnskab at ændre user-agent ;-)

/Henning

20
19. januar kl. 20:58

Det er enten eller, hvis IP skal have en særstatus:</p>
<p>Enten overtræder alle GDPR fordi IP altid kan ses.</p>
<p>Eller også overtræder alle som ikke anonymiserer IP under logning.</p>
<p>Eller også kan IP adressen ikke i sig selv være underlagt GDPR som henførbart datapunkt.

Og hvorfor skulle en HTTP(S)-forespørgsel ikke være omfattet af forordningen, såfremt den dataansvarlige for hjemmesiden er omfattet af forordningen? Artikel 4, punkt 1 læst i lyset af betragtning 30, giver hvert fald indtryk af at det kunne forholde sig sådan.

At man så vælger at fokusere på Google Analytics i første omgang, handler jo nok om karakteren af værktøjet.

Poltisk giver det egentlig også fin mening: En amerikansk eller kinesisk hjemmeside, der ikke særligt henvender sig til EU-borgere, vil ikke være omfattet, og man vil derfor sagtens kunne tilgå deres hjemmeside. Men hvis man er virksomhed der gerne vil være lege med i EU, så må man også respektere de regler der følger med - herunder at ens stat ikke skal lave uproprtionel masseovervågning uden sikring af datasubjekternes rettigheder. Så kunne man jo som stor virksomhed passende lægge pres på sin regering, og få dem til at ændre deres praksis.

19
19. januar kl. 20:24

Giv nu Schrems lidt mere credit

Hvis man først logger ind med en Google Konto.

Og dernæst accepterer statistik cookies.

Så er vi ude et randtilfælde ift. hvilken form for tracking GDPR forbyder.

Man kan ikke effektivt anonymisere en IPv4 adresse.

Serveren har allerede IPv4 for requestet, så anonymisering betyder at man smider data væk, som man ellers kunne have gemt, og det kan foretages på mange måder.

Du foreslår selv at smide bits væk fra IPs laveste bits.

Alternativt kan man undlade at poole visitors ved istedet periodisk at smide det salt væk man vælger at hashe IP med.

hash = sha(salt_24_timer + domæne + ip)

I alle tilfælde forlader man sig på at serversiden smider information væk, som kunne have været gemt.

15
19. januar kl. 17:58

Du kan ikke bare slå din IP til at være anonymiseret.

Sandt. Enhver forbindelse til en webserver går ud fra en IP adresse, som webserveren selvfølgelig kender når forbindelsen etableres.

Bemærk derfor at alle websites/webservere har adgang til de besøgendes IP.

Derfor må man skelne imellem om denne IP anonymiseres irreversibelt inden sidevisningen logges, eller ej, -uanset at IP er ved hånden server side i log-situationen.

For ellers overtræder enhver webserver uden for EU GDPR alene fordi at IP adressen kendes/logges.

Det er enten eller, hvis IP skal have en særstatus:

Enten overtræder alle GDPR fordi IP altid kan ses.

Eller også overtræder alle som ikke anonymiserer IP under logning.

Eller også kan IP adressen ikke i sig selv være underlagt GDPR som henførbart datapunkt.

Prøv du selv at teste hvor (lidt) unik..

Jeg er helt med på, at der findes teknikker i JavaScript til at etablere andre former for identifikation.

Bemærk at alle websites kan lægge et js script ind, som etablerer et sådan ID, som er unikt på tværs af domæner (Med mindre man anvender browser obfuskering af identifikationsvektorer)

Derfor er den afgørende faktor for alle typer af logning, ikke at man logger, men OM man benytter en teknik til at etablere et henførbart ID, og dermed bevidst forsøger at omgå Cookie direktiverne, som er etableret præcis for at undgå henførbarhed på tværs af domæner.

Jeg er super fan af at finde andre alternativer til GA og lignende amerikanske tjenester, men hvis der skal være rimelighed i sagerne, så bliver lovgivning nød til at forholde sig til, ikke hvad der potientielt kan etableres af ID, men hvad der i praksis etableres af data.

Hvis GA logger anonymiseret IP (dvs. forskellig per domæne), OS, browser version og skærmstørrelse, så ser jeg ikke et problem med henførbarhed.

Men hvis man mener, at alene en skostørrelse er henførbar persondata, så skal man være villig til at tage de konsekvenser en sådan gak lovgivning vil medføre.

Eller i det mindste være præcis omkring hvor imellem skostørrelse og ever-cookies/fingerprinting man ønsker at sætte stregen.

Max Schrems var nemlig logget ind på sin Google-konto

Jeg er kæmpe fan af Schrems, men hvis man logger ind med sin google konto og forventer at services som integrerer med sin google konto ikke integrerer, så er det lige at stramme den.

Cookieløs IP anonymiseret Google Analytics er jeg ret sikker på holder i rettet.

14
19. januar kl. 15:30

2) Der trackes IP adresse. Men dette kan og bør slåes til at være anonymiseret

Du kan ikke bare slå din IP til at være anonymiseret. For at skjule din IP skal du køre via VPN eller Tor-netværk eller lignende, og det er ikke noget man bare lige 'slår til', specielt ikke for den almindelige bruger.

</p>
<p>De øvrige skal man være med vilje på tværs, for at bevise er henførbart.

Prøv du selv at teste hvor (lidt) unik din browsers 'fingeraftryk' er:

https://amiunique.org/

13
19. januar kl. 14:59

Det bliver i givet fald historiens korteste sag

Jeps, for Google vil igen sætte Danmark og Østrig pistolmundingen mod tindingen med truslen: Alternativet er, at Google låser jer helt ude af de fleste funktioner. Hvorpå erhvervslivets lobbyister sætter sig sammen med Google og IT-branchens værste igler, og lægger pres på for en "mindelig løsning", der kan hjælpe Google.

12
19. januar kl. 14:10

</p>
<ol><li>Der benyttes en third party cookie, så samme besøgende får samme unikke ID på tværs af forskellige sites.</li>
<li>Der trackes IP adresse. Men dette kan og bør slåes til at være anonymiseret</li>
<li>Der trackes diverse indstillinger i browseren / OS
Det er 1) som er forrykt.</li>
</ol><p>De øvrige skal man være med vilje på tværs, for at bevise er henførbart.

Nummer 3 alene er nok til skabe det der svarre til nummer 1, se f. eks. afnist 2. 2 her: User Tracking in the Post-cookie Era: How Websites Bypass GDPR Consent to Track Users

10
19. januar kl. 13:13

Som i alle andre mekanismer man ønsker at forbedre løbende, er det vigtigt med reel evidens og målepunkter.

Kritiken af Google Analytics er tre punkter

    1. Der benyttes en third party cookie, så samme besøgende får samme unikke ID på tværs af forskellige sites.
    1. Der trackes IP adresse. Men dette kan og bør slåes til at være anonymiseret
    1. Der trackes diverse indstillinger i browseren / OS

Det er 1) som er forrykt.

De øvrige skal man være med vilje på tværs, for at bevise er henførbart.

9
19. januar kl. 11:12

kan det måske være svært at finde europæiske alternativer, som kvalitetsmæssigt kan hamle op

Selvom den ikke er europæisk, men fra Canada, så viser Fathom Analytics at det er muligt både at tilbyde et solidt analytics produkt samtidig med, at overholde GDPR, ved at holde data i Europa: https://usefathom.com/features/eu-isolation

8
19. januar kl. 10:31

Så det bliver en sag om gyldigheden af det samtykke.

Det bliver i givet fald historiens korteste sag for det har været forbi domstolene adskillige gange - et tvungent samtykke er ikke noget samtykke, det er pistolmunding mod tindingen.

6
19. januar kl. 09:21

Det er nok en anden sag, da man kan formode at Google i deres aftale med forbrugeren har fået forbrugeren til at acceptere en vis grad af tracking. Så det bliver en sag om gyldigheden af det samtykke.

5
19. januar kl. 09:15

Jeg antog, at følgende også indsamles i skoleprogrammerne:

*"

    • Et unikt online-ID
    • Den besøgendes IP-adresse
    • Hjemmesideadressen og dens HTML-titel samt de undersider, som brugeren besøger
    • Oplysninger om browseren, operativsystemet, skærmopløsningen, sprogpræferencer og tidspunktet for hjemmesidebesøget"*

Og sikkert også en del andre ting....

Men som sagt - jeg er ikke fagmand, og jeg håber netop at blive korrigeret af fagfolk, hvis min antagelse er forkert.

4
19. januar kl. 09:04

gå ud fra, at de samme problemer kan findes i Googles skoleprogrammer?

Hvorfor antager du dette?

Google Analytics er et specifikt værktøj til at holde øje med alle dem som besøger dit website. Dette udelukker ikke at der er lignende ting indbygget i deres skoleprogrammer, men der er da ingen grund til at antage at netop dette værktøj skulle være en del af det (hvad værdi ville skolen få ud af det?)

3
19. januar kl. 08:57

... et flot stykke arbejde af Schrems og Noyb - og det østrigske Datatilsyn.</p>
<p>Hvornår smitter dette af på Danmark - og Helsingør, for man må vel (i hvert fald som totalt ikke-fagmand, som ikke forstår meget af det tekniske) gå ud fra, at de samme problemer kan findes i Googles skoleprogrammer?

Vi er der snart. Datatilsynet undersøger Helsingørs (bort-)forklaringen, hvor Helsingør bruger den (in-)famøse "subjektive vurdering" (som de læser ud af EDPB bør foretages før den objektive vurdering af tredjelandet) til at komme til den konklusion at US-myndigheder aldrig har haft interesse i de data, Helsingør ligger inde med (selvom Helsingørs undersøgelse af det mere hullet end en schweizisk Edamer). Denne "subjektive vurdering" - mener nogle - kan være smuthullet til at bruge US-udbydere, mens andre er lidt mere skeptiske over for den mulighed. Jf. EDPS står det klart at denne vurdering ikke kan holde, og at man ikke kan bortforklare risikoen på den måde. Så nu er jeg spændt, om DT følger trop. Vi må bare håbe at DTs ledelse ikke prioriteter erhvervslivet højere end privatlivet, så de i sidste ende ender med en eller anden kompromis, som bare ikke holder, blot så man kan give Dansk Erhverv og erhvervslivet en god nyhed (som i sidste ende skader erhvervslivet, givet vi har behov for klare regler). Integritet skal der til, og jeg håber inderligt at man hører mere på hr. Frank end fr. Gulisano inde i DT.

2
19. januar kl. 08:40

... Også fra mobilos andre google-tjenester? Håbe håbe ... :D

1
19. januar kl. 07:33

... et flot stykke arbejde af Schrems og Noyb - og det østrigske Datatilsyn.

Hvornår smitter dette af på Danmark - og Helsingør, for man må vel (i hvert fald som totalt ikke-fagmand, som ikke forstår meget af det tekniske) gå ud fra, at de samme problemer kan findes i Googles skoleprogrammer?