Het gebruik van Google Analytics is onderworpen aan bepaalde vereisten onder de AVG (Algemene Verordening Gegevensbescherming). Gegevensbescherming en Google Analytics zijn al lang in conflict. Uiterlijk sinds het arrest van het Hof van Justitie over tracking is er een opt-in voorzien voor Google Analytics. In dit verband is de kwestie van de verwerking van Google Analytics-cookies van belang. U vindt ondersteuning van consent management providers (CMP’s) voor de juridisch veilige integratie van Google Analytics. Met oplossingen voor toestemming voor cookies draagt u bij aan gegevensbescherming in Google Analytics.
Google Analytics in één oogopslag: belang van gegevensbescherming
De meeste grotere websites vertrouwen op analysetools om conclusies te trekken over bezoekersgedrag. Veruit de meest populaire tool voor gebruikersanalyse is Google Analytics. Zoals uit verschillende statistieken blijkt, wordt deze tool, afhankelijk van de enquête, op ongeveer de helft van alle websites gebruikt. Enerzijds is deze populariteit te danken aan het feit dat Google toegang heeft tot een bijzonder grote hoeveelheid gebruikersgegevens . Aan de andere kant komt de populariteit voort uit het feit dat een groot aantal Google Analytics-functies gratis is voor alle gebruikers .
Google Analytics gebruikt cookies om gebruikersgegevens te evalueren. Deze kleine bestanden worden opgeslagen in de browser van de bezoeker. Gebruikers hebben talloze opties om verschillende gegevens te verzamelen volgens aangepaste instellingen. Google Analytics stelt website-exploitanten vervolgens in staat om de gegevens volgens verschillende parameters te verwerken en te evalueren. Op basis hiervan kunnen waardevolle kengetallen zoals paginaweergaven, gebruikersgedrag of verblijfsduur op de site worden bijgehouden. Google Analytics maakt het ook mogelijk om individuele acties nauwkeurig te volgen , waaronder het abonneren op een nieuwsbrief of het downloaden van bepaalde bestanden. Opties voor het bijhouden van conversies kunnen worden gebruikt om te bepalen op welke punten bezoekers klant worden. Dit onthult optimalisatiepotentieel en draagt bij aan een continue verbetering van de paginaprestaties.
Vanuit het oogpunt van gegevensbescherming moeten de enorme hoeveelheden gegevens die Google Analytics verzamelt en evalueert kritisch worden bekeken. In het bijzonder klagen gegevensbeschermingsfunctionarissen over de opslag en overdracht van volledige IP-adressen van bezoekers aan Google (direct naar de VS). Bovendien bekritiseren gegevensbeschermers het feit dat de gegevensbeschermingsvoorschriften van Google niet voldoende informatie geven over welke gegevens van de sitebezoeker daadwerkelijk worden verzameld, opgeslagen en verzonden .
Vanwege de toegang tot veel gebruikersgegevens is gegevensbescherming in Google Analytics al lang controversieel. Met de inwerkingtreding van de AVG (ook wel AVG: Algemene Verordening Gegevensbescherming) en meer nog sinds de uitspraak van het HvJ over cookies in 2019, is het juridisch veilig gebruik van Google Analytics aan bepaalde eisen onderworpen. Als Google Analytics niet is afgestemd op de AVG, kunnen site-exploitanten ernstige waarschuwingen of boetes krijgen.
Google Analytics: Juridische achtergrond (AVG en HvJ uitspraak)
Afstemming van Google Analytics met de AVG is uiterlijk sinds de inwerkingtreding van deze laatste onmisbaar geworden. Gegevensbeschermingsautoriteiten hebben in het verleden websitebeheerders gedreigd met boetes voor het gebruik van deze tool. Vóór de AVG kon Google Analytics ook zonder toestemming worden gebruikt, op voorwaarde dat slechts aan enkele vereisten werd voldaan (bijvoorbeeld IP-anonimisering en AV-contract). De AVG was gekoppeld aan de hoop dat de kwestie van toestemming pas zou worden geregeld met de ePrivacy-verordening . Tot die tijd wilden website-exploitanten een beroep doen op het “gerechtvaardigde belang” in overeenstemming met artikel 6 par. 1 verlicht. f AVG aangesteld.
Een belangrijke verandering kwam met de uitspraak van het Hof van Justitie van 2019 in de zaak Planet49 (Ref.: C-673/17). De uitspraak gaat vergezeld van duidelijke informatie over toestemming voor het gebruik van Google Analytics-cookies en andere cookies. De vormgeving van de toestemming dient zodanig te zijn dat bezoekers eerst uitdrukkelijk akkoord moeten gaan met het gebruik van Google Analytics-cookies. Daarom vertrouwt Google Analytics op opt-in : gebruikers moeten eerst vrijwillig akkoord gaan voordat een operator zelfs maar toestemming krijgt om Google Analytics-cookies te verzamelen en te verwerken. Er bestaat een uitzondering met betrekking tot cookies, die absoluut noodzakelijk zijn voor het technisch functioneren van de site.
Het HvJ wees er in zijn arrest op dat de ePrivacy Verordening (art. 5, lid 3) al voorziet in toestemming, zelfs voor cookies die niet absoluut noodzakelijk zijn. Soortgelijke uitspraken van het HvJ zijn al bekend uit eerdere jurisprudentie.
De wettelijke vereisten voor het gebruik van Google Analytics-cookies zijn op 12 mei 2020 opnieuw beoordeeld door de coördinatiecommissie van de Duitse toezichthoudende autoriteiten voor gegevensbescherming (DSK) . Met deze resolutie is er ook een aanvulling op de oriëntatiegids voor telemedia-aanbieders . In deze oriëntatiegids worden verschillende instellingen bij het gebruik van Google Analytics uitgelegd in termen van wettelijk conform gebruik.
Juridisch conform gebruik van Google Analytics: Maatregelen voor website-exploitanten
Iedereen die als website-exploitant blijft vertrouwen op Google Analytics, bijvoorbeeld in de mediasector of in e-commerce , doet er goed aan bepaalde maatregelen te nemen die rechtszekerheid voor de trackingtool waarborgen.
Zorgen voor transparantie in de regelgeving inzake gegevensbescherming
Website-exploitanten moeten uitgebreide informatie verstrekken over het gebruik en de verwerking van persoonlijke gegevens in de voorschriften voor gegevensbescherming. Deze transparantie moet worden gegarandeerd in overeenstemming met artikel 13 AVG, zodat Google Analytics kan worden afgestemd op de AVG.
Met betrekking tot de specifieke eisen van de informatieplicht verwijzen gegevensbeschermingsdeskundigen naar de richtlijnen voor transparantie van het Europees Comité voor gegevensbescherming. Bij het aanpassen van de gegevensbeschermingsverklaring moet ten minste de volgende informatie-inhoud worden gespecificeerd, rekening houdend met de DSK-vereisten volgens artikel 12 en 13 DSGVO: De reikwijdte van de gegevensverzameling moet duidelijk worden gecommuniceerd. Bovendien moet de verklaring inzake gegevensbescherming informatie bevatten over de rechtsgrond waarop de gegevens worden verzameld. Evenzo moet het privacybeleid in volgorde worden uitgelegd:
hoe lang de gegevens worden bewaard. In dit kader is de
Criteria voor het bepalen van de bewaartermijn worden bekendgemaakt. De verklaring inzake gegevensbescherming moet ook informatie bevatten over het herroepingsrecht en de uitvoering ervan.
IP-adres verkorten
Als verdere maatregel om Google Analytics af te stemmen op de AVG, moeten exploitanten van een website met deze trackingtool ervoor zorgen dat het IP-adres wordt ingekort . Dit kan worden geïmplementeerd door de opdracht “_anonymizeIp()” toe te voegen aan de trackingcode. Dit verwijst naar elke website die een Google Analytics-integratie heeft. Technische details over dit type IP-adresafkorting zijn direct te vinden in de instructies op de ontwikkelaarspagina van Google.
Het verkorten van het IP-adres is een belangrijke maatregel om gebruikers te beschermen in overeenstemming met artikel 25 para. 1 AVG. Alleen het inkorten van het IP-adres is echter niet voldoende om anonieme gegevensverwerking te garanderen. Naast het pure IP-adres wordt het gebruik van Google Analytics geassocieerd met het verzamelen van tal van andere gebruiksgegevens. Dit omvat persoonlijke gegevens, zoals die worden gebruikt om gebruikers te identificeren (bijvoorbeeld in de zin van koppeling aan een bestaand Google-account).
Daarom moeten, zelfs nadat het IP-adres is ingekort, verdere vereisten voor de afstemming van Google Analytics met de DSGVO in acht worden genomen. De bovengenoemde gegevensbeschermingsverklaring moet ook aangeven of het IP-adres is ingekort.
Bepaling van de bewaartermijn van de gegevens
Om Google Analytics af te stemmen op de AVG, is het ook nodig om precies aan te geven welke bewaartermijn voor de gegevens wordt verstrekt. Google Analytics bevat bepaalde beheeropties voor het bewaren van gegevens . De standaardinstelling is ontworpen om gebruikersgegevens en gebeurtenisgegevens automatisch gedurende 26 maanden op te slaan. Vaak is de knop “Resetten bij nieuwe activiteit” uitgeschakeld in de standaardinstellingen. Deze knop moet worden gedeactiveerd om Google Analytics af te stemmen op de AVG (vergelijk art. 25: Gegevensbescherming door ontwerp). De bewaartermijn van de gegevens dient te worden beperkt tot 14 maanden .
Om de bewaartermijn van de gegevens te wijzigen, moet de te bewerken eigenschap worden geselecteerd op het tabblad “Beheer”. In de overeenkomstige kolom “Eigendom” onder “Trackinginformatie – gegevensopslag” kunnen instellingen voor de opslagduur worden gemaakt. Nadat hier een andere instelling is gekozen, moet u eraan denken de verklaring inzake gegevensbescherming aan deze wijzigingen aan te passen.
Uitdrukkelijke toestemming voor het gebruik van cookies
Een van de belangrijkste voorwaarden voor de wettelijk conforme vormgeving van het gebruik van Google Analytics is de garantie van een doordachte cookietoestemming . De toestemming van een bezoeker voor het gebruik van Google Analytics en cookies moet bepaalde informatie bevatten: allereerst moet de kop duidelijk en ondubbelzinnig zijn. Hieruit moet blijken dat de gebruiker na toestemming akkoord gaat met de gegevensverwerking door Google. Bovendien moeten gebruikers erop worden gewezen dat in het kader van de gegevensverwerking persoonlijke gegevens en gegevens over het gebruiksgedrag op de website aan Google worden doorgegeven . Het verzoek om toestemming moet ook nauwkeurige informatie bevatten over de soorten gegevens die ermee gemoeid zijn.
Ook is het relevant om te weten dat de verzamelde gegevens voornamelijk door Google worden verwerkt . Benadrukt moet worden dat de exploitant van de website in dit opzicht geen invloed heeft op de gegevensverwerking. Google verwerkt de gegevens voor eigen doeleinden (bijv. profilering).
Ook is het van belang te weten of de verzamelde data ook te koppelen is aan informatie uit andere bronnen. Er moet ook informatie worden toegevoegd over de vraag of de gegevens in de VS worden opgeslagen en of overheidsinstanties toegang hebben tot deze gegevens.
Technische vereisten voor toestemming en intrekking
Bovendien mag de toestemmingsoptie geen alomvattende toestemming voor het gebruik van cookies vertegenwoordigen. Een belangrijke technische voorwaarde voor toestemming is de actieve betrokkenheid van de gebruiker. De gebruiker moet de mogelijkheid hebben om actief akkoord te gaan met het gebruik van gegevens. Dit is exclusief vooraf aangevinkte vakjes of selectievakjes !
Dit hangt samen met de vereiste dat de trackingtool en de bijbehorende Google Analytics-cookies pas actief kunnen worden nadat gebruikers hun actieve toestemming hebben gegeven. Google Analytics-cookies mogen niet vooraf worden ingesteld.
De gegevens mogen pas worden verzameld nadat gebruikers het vakje actief hebben aangevinkt . Bovendien moet deze toestemming vrijwillig zijn. Dit is ook gekoppeld aan de mogelijkheid voor gebruikers om op elk moment toestemming te weigeren.
Verder moet technisch worden gewaarborgd dat gebruikers bij niet-toestemming geen nadeel ondervinden. Gebruikers moeten duidelijke en gebruiksvriendelijke technische oplossingen krijgen om toestemming te garanderen en te implementeren. Toestemmingstools bieden hiervoor één mogelijkheid. Deze moeten de mogelijkheid bieden om deze toestemming op elk moment in te trekken, ook nadat de toestemming al is gegeven. In alle apps of oplossingen voor toestemming voor cookies moet er ook een gemakkelijk toegankelijke optie zijn voor een effectieve intrekking in de instellingen.
Google biedt in principe een browser add-on aan die Google Analytics deactiveert. Opgemerkt moet worden dat het niet voldoende is om gebruikers naar deze add-on te verwijzen. Dit biedt gebruikers onvoldoende mogelijkheid tot herroeping. Volgens artikel 7 par. 3 p.4 AVG, het intrekken van toestemming moet net zo eenvoudig zijn als de toestemming. De Google add-on voldoet niet aan deze eisen omdat de gebruiker eerst een programma moet downloaden in de vorm van de add-on.
Belang van de opt-in procedure
Actieve en uitdrukkelijke toestemming voor het gebruik van Google Analytics-cookies wordt ook wel een opt-in-procedure genoemd. De vormgeving van de toestemming voor gebruik moet uiterlijk sinds het HvJ-arrest over cookies zijn ingericht als een echte Google Analytics opt-in. Sinds de gegevensbeschermingsrichtlijnen van de EU uit 2009 is in principe bepaald dat websitegebruikers om hun toestemming worden gevraagd. Tot nu toe hebben veel operators deze toestemming echter geïnterpreteerd als een opt-out. In de praktijk betekent dit dat cookies worden verzameld zonder dat de gebruiker daar iets voor hoeft te doen. Bezoekers hebben alleen de mogelijkheid om het verzamelen van cookies te voorkomen. Volgens de uitspraak van het HvJ over cookies mag een website geen cookies meer plaatsen voordat de bezoeker zijn uitdrukkelijke en actieve toestemming heeft gegeven . Dit betekent dat cookies van Google Analytics pas kunnen worden geplaatst nadat de bezoeker ervoor heeft gekozen (opt-in).
CMP: oplossingen voor toestemmingsbeheer voor websites en hun voordelen
Het is belangrijk voor website-exploitanten en bedrijven om tijdig voorzorgsmaatregelen te nemen voor effectieve toestemming voor het gebruik van Google Analytics. Enerzijds bieden banners voor toestemmingsbeheer gebruikers uitgebreide informatie over het gebruik van de gegevens en vragen ze hen tegelijkertijd om toestemming.
De technische realisatie van een wettelijk conform cookiebeheer is gebaat bij zogenaamde toestemming
Oplossingen. Een goede consentmanager houdt zowel rekening met de eisen van de AVG en het arrest van het Hof van Justitie als met een positieve gebruikerservaring. De belangrijkste aspecten van een positieve gebruikerservaring zijn een lange verblijftijd en een hoge acceptatiegraad . Daarom moet het bouncepercentage zo laag mogelijk worden gehouden. Goede oplossingen voor toestemmingsbeheer helpen het acceptatiepercentage te verhogen en tegelijkertijd het bouncepercentage te minimaliseren. Zo zorgen ze ervoor dat de website goed presteert en leveren ze hun bijdrage aan klantenwerving en klantenbinding.
Een goed doordachte oplossing voor toestemmingsbeheer geeft een realtime overzicht van acceptatie- en bouncepercentages. Hierdoor kunnen waardevolle conclusies worden getrokken over de huidige websiteprestaties en het bijbehorende verbeterpotentieel.
Consent-oplossingen zijn internationaal georiënteerd. De weergegeven banner verschijnt automatisch in de respectievelijke taal van het land in het AVG-gebied van waaruit de website wordt geopend. In totaal geeft de provider van toestemmingsbeheer de informatie weer in 29 talen. Evenzo is een responsief ontwerp en aanpassing vanzelfsprekend in een moderne toestemmingsoplossing. De toestemmingsoplossing houdt rekening met het eindapparaat, het besturingssysteem en de schermgrootte en geeft de toestemmingsbanner op een geoptimaliseerde manier weer.
