Google Server-Side Tagging

Was sind die Vorteile des Server-Side Taggings?

Die Vorteile des SST sind tatsächlich sehr vielseitig. Man könnte die Vorteile wahrscheinlich am besten unter den Begriffen Datenhoheit und Datenschutz zusammenfassen. Um genauer zu sein, bietet der GTM zwar vielfältige Einstellungsoptionen, welche Nutzeraktionen, wann erfasst werden sollen, jedoch hat der Kunde keine genaue Einsicht darüber, welche Daten wirklich an Google gesendet werden. Mit Blick auf den Datenschutz ist dies keine erfreuliche Situation.

Google bietet hier zwar eine Vielzahl an Dokumentationen und betont immer wieder, wie sehr sie den Datenschutz und korrekten Umgang mit personenbezogenen Daten ernst nehmen, jedoch fallen bei Durchsicht der Dokumentationen schnell Punkte auf, die aus datenschutzrechtlicher Sicht mindestens fragwürdig erscheinen.

Daher kommt SST wie gerufen. Denn damit besteht die Möglichkeit, genau zu überprüfen welche Daten an Google zur Analyse weitergeleitet werden, um hier gegebenenfalls einzuschreiten und den Datenschutz zu gewährleisten.

Die Wahl des Servers

Falls du dich für den Einsatz von SST entschieden hast, musst du dir noch überlegen, was für einen Server du nutzen möchtest. Was trivial klingt, hat in der Praxis teilweise weitreichende Konsequenzen. Lass uns also über die verschiedenen Varianten sprechen.

1. Der einsatz eines eigenen lokalen Servers

Ein eigener lokaler Server wäre aus Sicht des Datenschutzes die beste Wahl, da eventuell sensible Daten nicht die „eigenen vier Wände“ verlassen. Jedoch sind hier mitunter hohe Anfangsinvestitionen, sowie Wartungs- und Bereitstellungskosten zu berücksichtigen. Auch der Schutz vor Cyberangriffen liegt dann komplett in eigener Hand, wodurch sich diese Variante schnell als unverhältnismäßig aufwendig herausstellen könnte.

2. Die Beauftragung eines Dienstleisters

Alternativ kann ein Dienstleister mit der Bereitstellung, Wartung und Sicherheit beauftragt werden. Bevorzugt sollte hier ein europäischer Anbieter gewählt werden, der auch mit Serverstandorten in Europa, besser noch in Deutschland, dienen kann. Von amerikanischen Anbietern oder Serverstandorten in den USA raten wir aufgrund der unten beschriebenen Situation ab.

3. Die Verwendung von Google Servern

Die für die meisten Anwender einfachste und günstigste Variante stellt die Verwendung von Google Servern dar. Da es sich bei Google aber nicht nur um ein amerikanisches Unternehmen handelt, sondern auch Googles Geschäftsmodell auf dem sammeln von Daten basiert, haben wir uns diese Variante einmal genauer angeschaut und uns die Frage gestellt, was zu tun ist, um SST Datenschutzrechtlich sauber auf Google Servern ausspielen zu können.

Google und andere amerikanische Unternehmen

Seit dem Schrems II Urteil vom Juli 2020, als der EU-US Privacy Shield gekippt wurde ist die Verarbeitung personenbezogener Daten durch US-Unternehmen nicht mehr gestattet. Für Europäische Webseiten-Betreiber bedeutet das, dass sie genau darauf achten müssen, welche Daten an Google oder andere amerikanische Unternehmen (und deren Töchter) weitergeleitet werden.

Das führt natürlich zu weitreichenden Problemen, die gelöst werden wollen. Einige davon haben wir hier erfasst:

• Die Speicherung der Daten muss auch bei Google auf Europäischen, oder besser noch, deutschen Servern erfolgen und die Daten müssen verschlüsselt werden. Dabei ist zu berücksichtigen, dass Google keinen Zugriff auf die Schlüssel zur Entschlüsselung der Daten haben darf.
• Die IP-Adresse stellt ein personenbezogenes Datum dar. Um zu verhindern, dass Google die IP-Adresse der Nutzer erhält, empfehlen wir den Einsatz eines Reverse-Proxy, der die Adresse des Nutzers verschleiern kann. Dadurch wird sichergestellt, dass Google durch, z.B. das loggen der Serverzugriffe, nicht an die IP-Adresse der Nutzer kommen kann.

Folgende Grafik zeigt beispielhaft die Verwendung von Google Servern auf:

• Falls Cookies gesetzt werden sollen, so ist zwingend die Einwilligung der Nutzer erforderlich. Dadurch entfällt aber der Vorteil des Tracking ohne Zustimmung und es wird evtl. nur ein Bruchteil der Benutzer getrackt, denn das Tracking kann im Cookie-Banner mit nur einem Klick deaktiviert werden.

• Eine Alternative zum setzen von Cookies wäre, Cookieless Tracking zu verwenden, bei der durch ein Fingerprint Verfahren eine Custom-ID erzeugt wird, mit der ein Nutzer, Session übergreifend erkannt werden kann, die ID aber nicht von Google interpretierbar ist. Dies ist jedoch auch nicht ohne weiteres umsetzbar.

• Im Juni 2022 hat die französische CNIL eine Stellungnahme zu Google Analytics herausgegeben, aus der einiges abgeleitet werden kann. So müssen viele Daten beschnitten oder komplett entfernt werden. Auch die CNIL rät zum Einsatz von Reverse-Proxys. Der Fingerprint soll so angepasst werden, dass er eine zeitliche Komponente enthält und dadurch der einzelne Nutzer nicht mehr genau identifiziert werden kann, da jeder Zugriff eine neue ID erzeugt.

Unter diesen Voraussetzungen wird das Tracking erheblich erschwert und es muss die Frage gestellt werden, ob sich der Einsatz von Google und seinen verschiedenen Produkten lohnt, wenn die Daten kaum für Analysezwecke geeignet sind.

Es ist angebracht sich schon jetzt um Alternativen zu Google Gedanken zu machen und sich über andere Anbieter zu informieren. Die Möglichkeiten des Tracking werden unter normalen Umständen schon stark beschränkt und die Verwendung von Google und anderen amerikanischen Dienstleistern verschärft dieses Problem noch weiter.

Bis es also ein Privacy Shield 2.0 gibt, sollte man vielleicht einmal bei Anbietern wie Matomo, eTracker oder Mapp vorbei schauen und einen Wechsel in Betracht ziehen.