Französische Datenschutzbehörde bestätigt Server-Side Tracking

Wir konnten es kaum glauben, als wir bei JENTIS die beiden neuen Artikel der französischen Datenschutzbehörde CNIL gelesen hatten. Ein Flüstern ging durchs Büro. “Schreiben die über uns?”

Natürlich nicht – noch nicht. Aber die französische Datenschutzbehörde hatte am 07. Juni 2022 zwei bahnbrechende Artikel veröffentlicht.

Der erste der beiden ausschließlich auf französisch erschienen Artikel beantwortet 14 sehr häufig gestellte Fragen rund um den Einsatz bzw. das Verbot von Google Analytics. Der zweite Artikel skizziert eine Möglichkeit, wie man Google Analytics zu 100% rechtskonform einsetzen kann. So kommt erstmals eine Datenschutzbehörde in Europa zu demselben Schluss, welcher die Gründer von JENTIS bereits 2016 veranlasst hatte an einer neuen Technologie zu arbeiten, die wir heute als Server-Side Tracking kennen.

Eine einfache Änderung der Werkzeugeinstellungen reicht nicht aus

Im ersten Artikel wird bereits auf eine sehr spannende Frage mit einem neuen Begriff geantwortet: dem Proxy-Server.

FRAGE: “Gibt es ausreichende zusätzliche Sicherheitsvorkehrungen, um das Google Analytics-Tool weiterhin allein zu verwenden?”

ANTWORT: “Keine der der CNIL im Rahmen der Aufforderung vorgelegten zusätzlichen Garantien würde den Zugriff von US-Geheimdiensten auf die personenbezogenen Daten europäischer Nutzer bei alleiniger Verwendung des Google-Tools verhindern oder unwirksam machen. Es ist jedoch eine Lösung denkbar, die es ermöglicht, einen Proxy-Server (oder „ Proxy “) einzubinden , um jeden direkten Kontakt zwischen dem Endgerät des Internet-Benutzers und den Servern des Messwerkzeugs zu vermeiden. Es muss jedoch sichergestellt werden, dass dieser Server eine Reihe von Kriterien erfüllt, um davon ausgehen zu können, dass diese zusätzliche Maßnahme mit dem übereinstimmt, was der EDSB in seinen Empfehlungen vom 18. Juni 2021 vorgesehen hat.”

Die Antwort von CNIL ist dabei so eindeutig wie noch nie zuvor: Die Behörde bestätigt damit wenig überraschend nochmals die Bescheide, die sie in diesem Jahr bereits ausgestellt hatte. Keine der von Google selbst angebotenen Maßnahmen können ausreichen um Garantien abzugeben, die das gleiche Datenschutzniveau bei Google garantieren würden wie dieses innerhalb der EU zu erwarten wäre. Ein möglicher Ausweg ist, so wie die Behörde es bezeichnet, eine Proxy Lösung. Zu diesem Lösungsansatz wurde ein eigener Artikel geschrieben, den wir im folgenden mal genauer unter die Lupe nehmen.

Eine mögliche Lösung: Proxying

CNIL: “Angesichts der oben genannten Kriterien ist eine mögliche Lösung die Verwendung eines Proxy-Servers (oder „ Proxy “), um jeden direkten Kontakt zwischen dem Endgerät des Internetnutzers und den Servern des Messtools (also in diesem Fall von Google) zu vermeiden. Es muss jedoch sichergestellt werden, dass dieser Server eine Reihe von Kriterien erfüllt , um davon ausgehen zu können, dass diese zusätzliche Maßnahme mit dem übereinstimmt, was der EDSB in seinen Empfehlungen vom 18. Juni 2021 vorgesehen hat. Ein solcher Mechanismus würde dies in der Tat tun, bei entsprechender Verwendung einer Pseudonymisierung vor dem Datenexport .”

Auffällig sind hier 3 Punkte:

• Die CNIL bezieht sich konsequent auf die Empfehlungen des Europäischen Datenschutzausschusses. Es handelt sich also um keine französische Interpretierung sondern um ein koordiniertes europäisches Vorgehen.
• “… Pseudonymisierung vor dem Datenexport …” Somit wurden nochmals 2 Fakten festgehalten. 1) Pseudonymisierung reicht aus um ein entsprechendes Datenschutzniveau herzustellen und 2) die Pseudonymisierung muss vor dem Export erfolgen.
• “… dass dieser Server eine Reihe von Kriterien erfüllt …” – Genau diese Kriterien haben wir in den letzten Tagen bei JENTIS auf Herz und Nieren geprüft und diese gehen wir im folgenden Abschnitt Schritt für Schritt durch:

Kriterium 1:
Die fehlende Übermittlung der IP-Adresse an die Server des Messtools

Diese Maßnahme wird bei JENTIS per default umgesetzt. Besucher IP-Adressen werden noch im europäischen Rechtsraum so gekürzt, dass eine Zuordnung für Google nicht mehr möglich ist.

Kriterium 2: Das Ersetzen der Benutzerkennung durch den Proxy-Server

Sämtliche IDs, die Google für die Personen Identifizierung nutzen könnte, können bei JENTIS pseudonymisiert werden. So sind die Original IDs bei JENTIS noch gespeichert, werden aber nicht an Externe wie Google weitergegeben. Anstatt der originalen IDs werden zufällig neue IDs generiert, die sämtlichen Formvorschriften entsprechen.

Diese Grafik soll das Unterbrechen des ID-Kreislaufs veranschaulichen. Während die junge Dame vor dem Laptop mit der ID “AB12” noch identifiziert werden könnte, kann Google die ID “XY45” welche von JENTIS generiert wurde, nicht mehr auf die Person zurückführen. JENTIS achtet dabei auch, dass der Nutzer immer die gleiche neu generierte ID bekommt, damit bei Google Analytics alle Daten wie gewünscht ankommen. So kann man problemlos alle Analysen wie gewohnt und ohne Qualitätsverlust durchführen . (Daher handelt es sich auch um eine Pseudonymisierung und nicht um eine Anonymisierung)

Kriterium 3: Die Löschung der verweisenden Site-Informationen (oder Referrer)

Personenbezogene Daten können sich bereits im Referrer befinden. Der Referrer ist die URL der vorangegangenen Seite, im Fall von Google z.B. eine Suchseite. Dieser Referrer kann bei JENTIS so verändert werden, dass der Referrer nur noch Rückschluss auf den Marketing Channel zulässt, aber keinerlei personenbezogene Daten mehr enthält.

Kriterium 4: Die Löschung aller Parameter, die in den gesammelten URLs enthalten sind

Wir alle kennen die Google ClickID (gclid). Das ist jene ID, die an den Shop in der URL als Parameter weitergegeben wird, falls der User auf eine Adwords Anzeige klickt. Diese und ähnliche IDs können von JENTIS konsequent gefiltert oder pseudonymisiert werden.

Kriterium 5: Die erneute Verarbeitung von Informationen, die an der Generierung eines Fingerabdrucks beteiligt sein können

Fingerprinting ist eine Technologie, die JENTIS von Anfang an abgelehnt hat. So ist es nur logisch, dass mit JENTIS all jene Informationen ausgesiebt werden können, die es Google erlauben könnte anhand von Meta Informationen auf den User rückzuschließen.

JENTIS geht hier sogar noch einen Schritt weiter, denn auch der Timestamp könnte für ein solches Fingerprinting genutzt werden. Daher hat JENTIS ein neues Verfahren erschaffen, welches sich “Smart-Time-Framing” nennt. Dabei werden Hits einer gewissen Anzahl von Usern gesammelt bis diese so zeitnah an Google weitergeleitet werden, dass Google den Timestamp nicht mehr dazu nutzen kann auf den User rückzuschließen.

Kriterium 6: Das Fehlen jeglicher Sammlung von Identifikatoren zwischen Websites (standortübergreifend) oder deterministisch

Auch eigene IDs, z.B. aus dem CRM, welche an JENTIS übergeben werden (z.B. für Rohdatenanalyse oder für andere europäische Tools), können selbstverständlich vor dem Transfer an Google pseudonymisiert werden.

Kriterium 7: Löschung aller anderen Daten, die zu einer erneuten Identifizierung führen können

Jeder Datenpunkt, der erhoben wird, muss zuerst überprüft werden, ob dieser zu einer Identifizierung der Person führen kann. Mit JENTIS hat man die Möglichkeit, solche Variablen als PII zu markieren. So fällt es leicht, den Überblick zu bewahren und im Tagging die richtigen Einstellungen vorzunehmen.

Kriterium 8: Die Bedingungen für das Proxy-Hosting müssen ebenfalls angemessen sein

Bei JENTIS hat man die Qual der Wahl wenn es um den Cloud Anbieter geht. Besonders freuen wir uns darüber, dass wir seit letztem Jahr auch eine 100% innereuropäische Cloud anbieten können: Exoscale, eine 100% Tochter der österreichischen Telekom, garantiert volle DSGVO Konformität für das Speichern und den Transit von Daten.

Selbstverständlich ist hierbei auch der Server Standort entscheidend, der bei JENTIS natürlich immer innerhalb der EU liegt. Doch der korrekte Server Standort alleine reicht nicht aus. Die Frage ist: Wer betreibt den Server? Denn wenn jenes Unternehmen, welches den Server betreibt, an die entsprechenden US-Gesetze gebunden ist, ist es unerheblich wo der Server steht. US-Behörden können und werden Zugriff auf die Daten verlangen.

Wirtschaftlichkeit

Besonders amüsiert hat unser Entwicklungsteam ein Absatz des Artikels, in dem es um Wirtschaftlichkeit geht. Dieser spiegelt den Fleiß, Schweiß und die vielen, vielen Personenjahre wieder, die seit 2016 schon in JENTIS geflossen sind:
“Die Umsetzung der unten beschriebenen Maßnahmen kann kostspielig und komplex sein und entspricht nicht immer den betrieblichen Anforderungen von Fachleuten. Um diese Schwierigkeiten zu vermeiden, können Fachleute auch eine Lösung verwenden, die keine personenbezogenen Daten außerhalb der Europäischen Union übermittelt.”

Eine solche Lösung kann nur als Produkt wirtschaftlich betrieben werden. Abgesehen vom Entwicklungsaufwand, der für sich genommen schon enorm ist, ist auch der Betrieb eines solchen Systems eine Herausforderung und für die meisten Unternehmen nicht durchführbar. So will z.B. keiner von uns bis Montag früh warten, wenn am Samstagvormittag das Tracking ausfällt. Eine Notfalls-Mannschaft aus Technikern ist daher nur eine der Anforderungen an den Betrieb eines solchen Trackingsystems.

Mit JENTIS ist ein ausgereiftes und voll gemanagtes Produkt auf dem Markt, bei dem sich der Kunde weder um die Infrastruktur, noch um den Betrieb oder die Servicierung sorgen muss. Durch die stetige Weiterentwicklung kann man sicher sein, stets am neuesten Stand der Tracking-Technik zu sein.

Abschließend noch die beiden Links zu den originalen Artikel der französischen Datenschutzbehörde CNIL. Zur Zeit stehen diese nur auf französisch zur Verfügung. Einfach die Browser Übersetzungsmöglichkeiten nützen. Viel Spaß beim Lesen!
https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics
https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite