Google Analytics bliver ulovligt i Tyskland
ComOn kan i dag berette om den seneste udvikling i forhandlingerne mellem datatilsynet i Hamborg og Google. Kort fortalt er forhandlingerne tilsyneladende brudt sammen. Men da datamyndighederne ikke har mulighed for at retsforfølge Google i USA for de påståede brud på de tyske persondataregler, vil myndighederne i stedet for gå efter de tyske virksomheder der bruger Google Analytics. De truer nu med en prøvesag og meget store bøder til de tyske virksomheder, som fortsat bruger Google Analytics.
Sagen har sit udspring i det faktum, at Google Analytics sender en masse data til Googles servere i USA, som de tyske datamyndigheder opfatter som personfølsom data – herunder i særlig grad, de brugeres IP-adresse, som besøger websites der benytter Google Analytics. Når denne data først er i USA, så er den ikke længere beskyttet af den tyske datalovgivning, men er underlagt den amerikanske.
Jeg har for flere år siden skrevet om problemet, som jeg også mener proncipielt set kan ramme danske virksomheder. I hvert fald bør alle virksomheder der bruger Google Analytics på deres website tydeligt gøre opmærksom på det, samt at den data der opsamles via Google Analytics sendes til USA og at de besøgende således ikke kan regne med den beskyttelse som den danske datalovgivning normalt giver dem – herunder muligheden for at få al data om en selv udleveret.
Der har dog ikke, såvidt jeg ved, været nogle sager om det i Danmark endnu, og de danske datamyndigheder har vist ikke taget det op. Men det kunne meget vel ske, vil jeg mene.
De tyske datamyndigheder har forhandlet med Google om en løsning. Google har efterfølgende lavet en browser udvidelse, der kan blokere for at brugeres data trackes – altså et plugin fra Google, der disabler Googles egen analytics service. Lidt paradoksalt, kunne man mene.
Problemet er, at dette anti Google Analytics plugin ikke virker til alle browsere og dermed har ikke alle tyskere mulighed for den beskyttelse, som det ellers kunne give den enkelte bruger. Google har også sagt, at de ville forkorte de IP-numre der trackes, men de tyske myndigheder har dog konstateret at dette ikke sker – de fulde IP-numre sendes fortsat ud af landet, selv med browser plugin’et installeret.
Så nu har de tyske myndigheder tilsyneladende fået nok. Og da de, som sagt, ikke kan køre en sag mod Google i USA har de valgt at gå efter de virksomheder der bruger Google Analytics. Myndighederne mener, at det i den nuværende situation er ulovligt for Tyske virksomheder, at bruge Google Analytics. De truer nu med en prøvesag mod en større virksomhed og varsler meget store bøder.
Så hvis jeg havde en tysk online virksomhed ville jeg nok skynde mig at finde en anden analytics løsning med det samme. Det er vist ikke sjovt at skulle slås med de tyske myndigheder.
Spørgsmålet er så, om de danske myndigheder kunne blive inspireret af Tyskland til at gøre noet af det samme. Nu er den danske og tyske datalovgivning ikke helt ens, og jeg kan ikke lige gennemskue om problemet rent juridisk er ligeså alvorligt i Danmark – men pricipielt set kunne det godt være. For problemet er grundlæggende det samme: brugerne får ikke den beskyttelse, de ellers kan forvente og kræve, når de besøger et dansk website, hvis dette benytter Google Analytics.
Jeg vil derfor endnu engang opfordre alle danske virksomheder til i det mindste, at gøre tydeligt opmærksom på, hvis de bruger Google Analytics. Jeg tror man vil stå lidt bedre juridisk, end hvis man lader være.
René Madsen skriver
”Der har dog ikke, såvidt jeg ved, været nogle sager om det i Danmark endnu, og de danske datamyndigheder har vist ikke taget det op. Men det kunne meget vel ske, vil jeg mene.”
Hej Mikkel
Jeg deltog i et seminar hos IT og telestyrelsen d. 8, december vedr. det kommende cookies direktiv i EU, her blev der debatteret omkring analyseværktøjer, og specielt Google analytics var et emne, der var fokus på i denne sammenhæng, men der blev endvidere diskuteret ud over de egentlige cookies, specielt vedrørende teknologier, der flytter persondata til andre computere uden brugernes accept og viden.
Der er fokus på området, men om det kommer nu eller senere kan jeg ikke svare på.
Jacob Kildebogaard skriver
Tyskerne har følt sig forfulgt siden krigene, og nu fortsætter deres korstog mod Google Analytics.
Hvis man som hjemmeside ejer ønsker at afhjælpe dette “problem”, så er der en funktion, der anonymiserer IP adressen der sendes til Google. Det er uafhængigt af browsere, plugins osv.
Så problemet bør ikke være større end at man tilføjer en enkelt linie i grundkoden, mister lidt data omkring geografien og ellers smiler og er glad for de dejlige data til at forbedre brugeroplevelsen.
Hvordan tyskerne betragter denne handling fra hjemmesideejerne af er ikke til at vide, og der er nok ikke så mange der tør teste det af, med den bål og brand de har lovet.
Dorte skriver
Har man/vi allerede problemet hvis en tysker besøger et dansk site med google analytics?
Mikkel deMib Svendsen skriver
@Jacob, jeg tror desværre ikke det er nok – og hvis jeg drev en tysk virksomhed ville jeg i hvert fald ikke turde satse på det
@Dorte, det er et godt spørgsmål, men jeg bliver dig svar skyldig
Martin Hjort skriver
Hvad er det man er bange for her? Jeg har svært ved at se problemet i at man gemmer en bruges IP. Det virker for mig mere som en slags censur, end beskyttelse af forbrugerne.
Frank skriver
Hej Mikkel
Bruger du google analytics og i given fald hvor reklamere du med det. Jeg bruger selv google analytics og jeg ville jo helst undgå en kommende retssag i værste fald.
Derfor kunne jeg godt tænke mig at se et eksempel på nogen der har det klart og tydeligt til at stå på deres hjemmeside. Kender du/i nogen.
Frank
Henrik Blunck skriver
“Better safe than sorry” som amerikanerne siger. Det er et godt tip at tydeliggøre hvis der bruges Google Analytics.
Har faktisk længe undret mig over dden fascination nogle har haft af alt der kom fra Google. Det ligner næsten den semi-religiøse idoldyrkelse der også tidligere gjaldt manges syn på Microsoft. Faktum er, at den ENESTE grund til Windows 7 er så godt som det nu er, var at udviklerne begyndte at lytte til den konstruktive kritik.
Uden at være jurist ville jeg mene de tuske (og måske senere også de danske) myndigheder skulle advare om brugen af Analytics, for det vil være svært at statuere at webejere skulle være i ond tro alene fordi de bruger et system som systematiserer statistikken. Selve dataindsamlingen foretages jo af Google.
Hvad der til gengæld kunne blive endnu værre er hvis dataindsamlingen i forhold til de kontekst-sensitive reklamer (Adsense) også kommer til at stå for skud, for så er vi mange der vil være nødsaget til at fjerne dem fra vores blogs mv.
Tak for dine indlæg. Altid læseværdigt. 🙂
Kasper Bergholt skriver
@Frank — Brian Clifton har i Advanced Web Metrics (som specifikt handler om Google Analytics) et par tekstforslag til privacy policies i et letforståeligt, tilgængeligt ikke-skræmmende sprog.
Johan Micheelsen skriver
Kan der anbefales andre gode analyse værktøjer?
Det virker for mig en smule paradoksalt, at man kan benytte andre analyse værktøjer, og derved komme udenom problemet.
Personligt synes jeg det er enormt frustrerende, hvis jeg skal til at sidde med to forskellige analyseværktøjer på den samme hjemmeside, eller, jeg som konsekvens, er nødt til skrotte GA til fordel for et andet analyseværktøj.
Kan det ikke tænkes, at det vil stille de tyske myndigheder tilfredse, hvis Google får implementeret det omtalte plugin korrekt?
Hvis det ikke kan, tror du/i så ikke bare det er at tisse i bukserne at installere et andet analyse værktøj?
Hvis de kan trumfe Google kan jeg ikke andet end forstille mig, at de kan trumfe alle andre analyse værktøjer, og i worst case, helt bandlyse analyseværktøjer på det tyske marked. Eller er jeg alt for pessimistisk på dette punkt?
Mikkel deMib Svendsen skriver
@Frank, dette website driver jeg privat, så her bruger jeg ikke så meget tid på en masse disclaimers 🙂
Thomas Nielsen skriver
Hmmm, hvorfor er det lige Google man har set sig sur på? Der bliver da logget masser data i alle mulige sammenhæng. Det virker lidt som om at Tyskland/EU har set sig sur på Google. Sidste gang var det Microsoft, man var efter fordi de var for gode til at tjene penge.
Danske Internetudbydere har derimod pligt til at logge i hoved og røv og gemme det i 5 år i “kampen mod terror”. Det synes jeg da faktisk er et større problem i forhold til personfølsome data.
Mikkel deMib Svendsen skriver
Thomas, det er som jeg skriver i mit indlæg fordi den data der indsamles via Google Analytics sendes til Googles servere i USA og dermed ikke længere er beskyttet at Tysklands datalovgivning. Data der logges I landet er beskyttet af denne lov. Det samme gør sig gældende i Danmark.
Søren skriver
Kan godt forstå bekymringerne for Analytics. Og syntes det er helt ok at myndighederne holder øje med virksomheders logning af data. Det er jo deres opgave. Tror bare konsekvenserne er en anelse uoverskuelige. For søgemaskinen Google logger jo også brugernes adfærd. Og vil tyskerne så forbyde Google? Uanset hvad, så er det en super spændende sag, og noget det SKAL debateres løbende.
Lars Skjoldby skriver
Google har jo også en plettet fortid mht. beskyttelse af brugernes data – husk street view sagerne. Så bekymringerne er vel på sin plads.
På den anden side er det jo utroligt at deres ry ikke er blevet mere plettet end det er. Vi bruger jo i stor stil alle deres værtøjer, lige fra lagring af egne data og mails i Google Apps til søgninger, markedsføring, webanalyser, weboptimering osv. osv.
Og hvorfor gør vi så det? Fordi de bare er bedst til at levere de resultater vi brugere vil have. Og det er de jo blevet på at indsamle data. Paradoks, ikke?
Mikkel deMib Svendsen skriver
I forhold til datatilsynet i både Tyskland og Danmark handler det ikke så meget om bekymringer for Google. Det handler om rå teknik og jura. Det handler om det faktum, at når Tyske (eller Danske) brugeres data sendes til Googles servere i USA, så er brugernes data ikke længere beskyttet af den datalovgivning, som de ellers er vant til. Og problemet er, at brugerne jo ikke kan gennemskue dette – de går ind på en Tysk hjemmeside. Hvordan skulle de kunne vide, at deres data sende til Google og ikke længere er beskyttet?
Det er det, som med en vis rette, bekymrer myndighederne. Jeg synes så bare ikke det er den fedeste løsning de truer med i Tyskland, med at anlægge sager mod websites der bruger Google Analytics.
Men det er nu heller ikke sikkert det ender så galt. Jeg snakkede lige med nogle af mine nørdede Tyske venner og de mener det ender med en mere læmpelig løsning. Lad os håbe det.
Torben Lundsgaard skriver
Jeg tror at der generelt er brug for en debat om webanalyse i EU, og det ville tjene alle, hvis man inviterede kompetente folk til denne debat.
Rosenstand fra Concept-i skriver
Hej Mikkel
Åh ja – de kære tyskere…
Lidt off topic og så alligevel ikke: Du skriver, at du driver denne blog privat, men hvis man forestillede sig en situation a la den beskrevne i DK, ville du ikke komme én millimeter med det argument, for domænet er ejet af Redzoneglobal ApS.
Sad sidste år med en sag for en kunde, der af forskellige omveje var kommet i klemme over nogle udtalelser på en blog. Han skrev som privat, men domænet var ejet af virksomheden, og virksomheden måtte bide i det sure æble og indgå et forlig.
Jeg er ikke jurist – men jeg tror, den er god nok. Måske skal der være en skriftlig aftale om, at domænet er lejet ud til den private bruger, for at det holder? Eller hvad?
Mikkel deMib Svendsen skriver
Thomas – jeg er nu ret sikker på, at det er den der driver domænet – ikke den der ejer det som er ansvarlig. Tror du ellers at WordPress.com tager ansvaret for alle blogs der? Og tror du dem der faktisk driver dem kan fraskrive sig alt ansvar fordi de blogger på WordPress domæne? Det er er jeg ret sikker på de ikke kan 🙂
Jeg HAR i øvrigt også haft en sag, hvor modpartens advokat mente at det jeg skrev her var skrevet i mit firmas navn og dermed kunne påberåde sig Markedsføringsloven, men det måtte han droppe igen og acceptere at det var privat.
Rosenstand fra Concept-i skriver
Fedt nok hvis det er sådan. Jeg er jo ikke jurist som du ved. Og der kan sagtens have været detaljer i den sag, jeg nævnte, der er gået hen over hovedet på mig. Den med WordPress.com er jo et ganske glimrende argument – i USA. Men i DK er det måske ikke helt på samme måde?
Der har jo faktisk været sager, hvor domæneejer er blevet dømt for brud på Lov om Ophavsret grundet brugeres misbrug. Men om det kan overføres til “oplysningspligten” om tracking af brugeradfærd? Ingen anelse. Kunne være fedt at få afklaret faktisk!
Mikkel deMib Svendsen skriver
Jeg tror ikke man kan få det fuldt ud afklaret uden at tage en retssag på det. Men det overlader jeg trygt til andre. Jeg har spildt rigeligt af både min tid og penge på den slags hehe
Thomas Holst Frederiksen skriver
Virkelig skræmmende, lad os håbe det aldrig sker i danmark 🙂
Analytics er nu engang et af de vigtigste redskaber når man arbejder som online iværksætter!
De er ikke rigtig kloge de tyskere 🙂
Mvh Thomas Holst Frederiksen
Morten skriver
Jeg vil sige at hvis analytics bliver gjort forbudt i lille Danmark så mister vi webshop ejere vores vigtigste redskab overhovedet, så det håber jeg og tror jeg ikke på vil ske.
Men man kan aldrig vide sig sikker, vi må alle krydse fingre.
Mvh
Morten
BlueBoden skriver
Jeg forstår ikke rigtigt hvorfor nogen overhovedet gider at tilføje plugins, som køre på eksterne servere.
Google kunne lige så godt have udviklet et system der udelukkende brugte vores egne servere, og ikke kontaktede dem på nogle måder. I stedet vælger de at lave en upraktisk JavaScript baseret løsning. Mit gæt til hvad grunden er til det, er at de bruger den data de indsamler til andre formål, eksempelvis i deres Adsense netværk.
Jeg udvikler selv mine analyse værktøjer, og de kan være meget detaljeret. Eksempelvis hvilke links der klikkes mest på, eller hvor min trafik kommer fra, hvilke søgesætninger er blevet brugt til at finde min side, osv.
Det er slet ikke så svært at lave den slags, og jeg ville da også langt hellere have dataerne på vores egne servere, end jeg vil have google har dem på deres.
Generelt set kan det være meget nyttigt med lidt analyse. Men i reglen bør det ikke være en nødvendighed, heller ikke for online shops.
Mikkel deMib Svendsen skriver
> Men i reglen bør det ikke være en nødvendighed, heller ikke for online shops.
Der må jeg så sige, at jeg er 100% uenig. Det er amatøragtigt at kaste resurser efter optimering og markedsføring af en shop uden at have ordentlige værktøjer til at analysere effekten af det.
At bygge sit eget analytics system er for langt de fleste ikke en mulighed. Og så er det spild af tid. Ja,, man kan da lave alting selv – man kan bygge sin egen bil, sit eget hus, bage sine egne boller og hugge sit eget brænde. Men rent forretningsmæssigt kan det bare ikke betale sig.
> Jeg forstår ikke rigtigt hvorfor nogen overhovedet gider at tilføje plugins, som køre på eksterne servere.
Det er ikke et plug-in – det er en hosted service. En såkaldt SaaS. Og det bliver faktisk mere og mere udbredt på flere og flere områder. Ganske enkelt fordi det er en bedre måde at køre rigtig mange ting – du får mere for pengene og systemerne er mere stabile.
At køre sin egen dataindsamling og analytics gik de fleste, af gode grunde, bort fra i slut 90’erne. For mange af de websites jeg arbejder med ville det være helt urealistisk, da den megen trafik på disse sites ville generere ekstreme mængder af data, som det ville være meget dyrt at behandle.
> I stedet vælger de at lave en upraktisk JavaScript baseret løsning
Det er KLART at foretrækkje at indsamle data via JavaScript frem for via logs på serveren. Serveren kan nemlig IKKE måle brugeraktiviteter – den måler server aktiviteten. Og det er kun interessant for server administratorer – ikke for markedsføringsfolk og SEO-ere.
Flemming skriver
Er det her et specifikt analytics problem? Er det ikke noget der rammer de fleste statistik værktøjer?
Man kan så sige analytics lige skruer den en tand op ved at have deres servere i USA, men principielt ville det være det samme hvis serverne stod i Danmark (eller Tyskland)
Mikkel deMib Svendsen skriver
Der er faktisk en stor forskel på hvor tracking serverne står. Problemet med Google Analytics er jo, at datamyndighederne ikke kan tvinge dem til at overholde den lokale lovgivning.
Mogens Ludvigsen skriver
Det forhold at brugernei kke ved / ikke kan gennemskue hvilke data, som sendes til Google er vel også et problem iflg. dansk lov??
Det er så synd for google..