Cloudflare Zaraz launches new privacy features in response to French CNIL standards

Letzte Woche hat die staatliche französische Datenschutzbehörde (die Commission Nationale de l'informatique et des Libertés oder „CNIL“) Richtlinienfür eine Methode zum Laden von Google Analytics und ähnlichen Marketing-Technologie-Tools herausgegeben, die ihrer Ansicht nach der DSGVO entspricht. Die CNIL hat diese Richtlinien im Anschluss auf Mitteilungen veröffentlicht, die die CNIL und andere Datenschutzbehörden an mehrere Organisationen geschickt haben, bei denen Google Analytics verwendet wird. Diesen Mitteilungen zufolge resultierte eine derartige Verwendung in unerlaubten Datenübertragungen in die Vereinigten Staaten. Wir freuen uns, heute eine Reihe von Features sowie eine schrittweise Anleitung für Zaraz bekanntzugeben, die Organisationen helfen sollen, Google Analytics und ähnliche Tools weiterhin so einzusetzen, dass die Privatsphäre der Endbenutzer geschützt wird und keine persönlichen EU-Daten in die Vereinigten Staaten gesendet werden. Und das Beste daran? Es dauert weniger als eine Minute.

Wir stellen vor: Cloudflare Zaraz.

Die neuen Datenschutz-Features von Zaraz

Heute geben wir einen neuen Satz von Datenschutz-Features heraus, um unseren Kunden zu helfen sollen, den Datenschutz für Endbenutzer zu verbessern. Ab heute können Sie auf dem Zaraz-Dashboard die folgende Konfiguration vornehmen:

  • URL-Abfrageparameter entfernen: Bei Aktivierung entfernt Zaraz alle Abfrageparameter von einer URL, die dem Server eines Drittanbieters gemeldet wird. Dabei wird „https://example.com/?q=hello“ in „https://example.com“ geändert. Dadurch erhalten Benutzer die Möglichkeit, Abfrageparameter wie UTM, gclid u. ä. zu entfernen, die für Fingerprinting verwendet werden können. Diese Einstellung gilt für all Ihre Zaraz-Integrationen.
  • Ursprungs-IP-Adresse ausblenden: Es ist bereits seit einiger Zeit möglich, mit Zaraz Tools wie Google Analytics vollständig serverseitig zu laden und dabei die IP-Adressen der Besucher vor Google und Facebook zu verbergen. Dadurch wird verhindert, dass die IP-Adresse des Besuchers an Server eines dritten Tool-Providers gesendet wird. Dieses derzeit für Google Analytics Universal, Google Analytics 4 und Facebook Pixel angebotene Feature wird auf Toolebene konfiguriert. Im Laufe der Zeit werden wir die Nutzung mit mehr Tools ermöglichen. Zusätzlich zum Verbergen der Besucher-IP-Adressen vor bestimmten Technologien können Sie Zaraz verwenden, um diese Adressen über all Ihre Tools hinweg kürzen und so zu vermeiden, dass vollständige Ursprungs-IP-Adressen an Server von Drittanbietern gesendet werden. Diese Option gilt als weniger streng und ist auf der Zaraz-Einstellungsseite verfügbar.
  • User-Agent-Zeichenfolgen löschen: Bei Aktivierung löscht Zaraz sensible Informationen aus der User-Agent-Zeichenfolge. Der User-Agent ist ein Anfrage-Header, der Informationen zu Betriebssystem, Browser, Erweiterungen usw. des Website-Besuchers enthält. Zur Anonymisierung dieser Zeichenfolge entfernt Zaraz Informationen (Versionen, Erweiterungen usw.), die zu Benutzerverfolgung oder Fingerprinting führen könnten. Diese Einstellung gilt nur für serverseitige Integrationen.
  • Beseitigung externer Referrer: Bei Aktivierung blendet Zaraz die URL der verweisenden Seite der Server von Drittanbietern aus. Wenn die verweisende URL in derselben Domain ist, wird sie nicht ausgeblendet, damit die Analyse präzise bleibt und die Sitzung nicht „geteilt“ wird. Diese Einstellung gilt für all Ihre Zaraz-Integrationen.

So richten Sie Google Analytics mit den neuen Datenschutzfeatures ein

Wir haben diese Anleitung geschrieben, um Ihnen zu helfen, unsere neuen Features bei der Verwendung von Google Analytics zu implementieren. Wir werden Google Analytics (Universal) in dieser Anleitung als Beispiel nehmen, weil es von Zaraz-Kunden häufig verwendet wird. Sie können dieselben Prinzipien zur Einrichtung von Facebook Pixel oder anderen serverseitigen Integration befolgen, die von Zaraz angeboten werden.

Schritt 1: Installieren Sie Zaraz auf Ihrer Website

Zaraz wird für jede Website, für die Cloudflare als Proxy dient (mit orangefarbener Wolke markiert), automatisch geladen, und es sind keine Codeänderungen erforderlich. Wenn Cloudflare nicht als Proxy für Ihre Website dient, können Sie Zaraz manuell mit einem JavaScript-Codeausschnitt laden. Wenn Sie neu bei Cloudflare sind oder sich nicht sicher sind, ob Cloudflare als Proxy für Ihre Website dient, können Sie diese Chrome-Erweiterung verwenden, um herauszufinden, ob Ihre Website mit einer orangefarbenen Wolke markiert ist oder nicht.

Schritt 2: Fügen Sie Google Analytics über das Zaraz-Dashboard hinzu

Alle Kunden haben Zugriff auf das Zaraz-Dashboard. Wenn Sie Google Analytics mit der Zaraz-Tools-Bibliothek hinzufügen, wird es standardmäßig serverseitig geladen. Sie brauchen keine Cloud-Umgebung und keinen Proxyserver einzurichten. Zaraz erledigt das für Sie. Wenn Sie ein Tool hinzufügen, beginnt Zaraz den Ladevorgang auf Ihrer Website, und eine Anfrage geht vom Browser des Endbenutzers zu einem Cloudflare Worker, der sich in Ihrer eigenen Domain befindet. Cloudflare Workers ist unsere Edge-Computing-Plattform, und dieser Worker kommuniziert direkt mit den Servern von Google Analytics. Es findet keine direkte Kommunikation zwischen dem Browser des Benutzers und Googles Servern statt. Wenn Sie mehr über die Funktionsweise von Zaraz erfahren möchten, können Sie in unseren früheren Post nachlesen, was wir über die einzigartige Zaraz-Architektur und unsere Verwendungsweise von Workers geschrieben haben. Bitte beachten Sie, dass es nicht ausreicht, als Proxy für Google Analytics zu fungieren. Sie müssen die nächsten Schritte durchführen, um Google Analytics richtig einzurichten.

Schritt 3: Konfigurieren Sie Google Analytics und blenden Sie IP-Adressen aus

Zur Einrichtung von Google Analytics brauchen Sie nichts weiter zu tun, als Ihre Nachverfolgungs-ID einzugeben. Auf dem Tools-Einstellungsbildschirm müssen Sie auch das Feature „Ursprungs-IP-Adresse ausblenden“ aktivieren. Dadurch wird Zaraz daran gehindert, die IP-Adresse des Besuchers an Google zu senden. Zaraz entfernt die IP-Adresse am Netzwerkrand, noch bevor sie auf die Server von Google trifft. Wenn Sie sicherstellen möchten, dass Zaraz nur in der EU ausgeführt wird, werfen Sie einen Blick auf die Data Localization Suite von Cloudflare.

Je nach Ihren Anforderungen können Sie natürlich auch komplexere Konfigurationen von Google Analytics einrichten, z. B. E-Commerce-Verfolgung, benutzerdefinierte Dimension, Einstellfelder, benutzerdefinierte Metriken usw. Weitere Anweisungen finden Sie in dieser Anleitung.

Schritt 4: Aktivieren Sie die neuen Datenschutz-Features von Zaraz

Als Nächstes müssen Sie alle unsere neuen, oben erwähnten Datenschutz-Features aktivieren. Das können Sie auf der Zaraz-Einstellungsseite im Datenschutzabschnitt tun.

Schritt 5: Bereinigen Sie Ihre Google Analytics-Konfiguration

Bei diesem Schritt müssen Sie Maßnahmen unternehmen, um ihre spezifischen Google Analytics-Einstellungen zu bereinigen. Wir haben eine Liste mit Vorschlägen für Sie zusammengestellt, anhand derer Sie die Privatsphäre der Endbenutzer wahren können:

  • Geben Sie keine personenbezogenen Informationen an. Wir empfehlen Ihnen, die CNIL-Leitlinien zur Anonymisierung zu lesen und zu bestimmen, wie Sie sie anwenden können. Wahrscheinlich wird die eindeutige Kennung durch eine Anonymisierung bei den meisten Analyse-Tools ziemlich nutzlos. Nach unseren Erkenntnissen funktionieren zum Beispiel Features wie die Benutzer-ID-Ansicht von Google Analytics nicht gut bei einer solchen Anonymisierung. In solchen Fällen sollten Sie erwägen, derartige Analyse-Tools nicht mehr zu verwenden, um Unstimmigkeiten zu vermeiden und Präzision sicherzustellen.
  • Wenn Sie die Client-ID von Google Analytics ausblenden möchten, klicken Sie in den Einstellungen von Google Analytics auf „Feld hinzufügen“ und wählen Sie „Client-ID“. Um die Client-ID zu überschreiben, können Sie eine beliebige Zeichenfolge als konstanten Wert des Felds angeben. Berücksichtigen Sie jedoch, dass dies wahrscheinlich die Fähigkeit von Google einschränken wird, Daten zu aggregieren, und vermutlich zu Diskrepanzen bei Sitzungs- und Nutzerzahlen führen wird. Wir wissen dennoch von einigen Kunden, die Google Analytics verwenden, um Ereignisse zu zählen. Unserer Kenntnis nach sollte das mit dieser Einstellung möglich sein.
  • Bereinigen Sie Ihre Implementierung von Cross-Site-Identifikatoren. Dazu könnten die eindeutige Kennung Ihres CRM-Tools oder URL-Abfrageparameter gehören, bei denen Identifikatoren zu verschiedenen Domains geschickt werden (vermeiden Sie „Cross-Domain-Verfolgung“ – auch bekannt als „Website-Verlinkung“).
  • Sie müssen sicherstellen, dass in Ihrer benutzerdefinierten Konfiguration und Implementierung keine persönlichen Daten angegeben werden. Wir empfehlen Ihnen, die Liste mit benutzerdefinierter Dimension, Ereignisparametern/-eigenschaften, E-Commerce-Daten und Benutzereigenschaften durchzugehen, um sicherzustellen, dass dort keine persönlichen Daten enthalten sind. Hierfür ist zwar immer noch etwas manuelle Arbeit erforderlich, aber wir werden in Kürze eine neue Reihe von Datenschutz-Features ankündigen – Zaraz-Datenverlustverhinderung – die Ihnen helfen werden, diese Arbeit automatisch in großem Umfang zu erledigen. Wir halten Sie auf dem Laufenden!

Schritt 6 – Sie sind fertig! 🎉

Sie sollten noch berücksichtigen, dass sich nach Ausführung dieser Anleitung einige Einschränkungen bei der Nutzung von Google Analytics ergeben werden. Wenn zum Beispiel keine UTM-Parameter und Referrer gesammelt werden, können Sie keine Traffic-Quellen und Kampagnen mehr verfolgen. Wenn keine Benutzer-IDs verfolgt werden, können Sie die Benutzer-ID-Ansicht nicht verwenden, und so weiter. Manche Unternehmen werden diese Einschränkungen als extrem empfinden, doch wie bei den meisten Dingen im Leben gilt es auch hier, Abstriche zu machen. Wir machen einen Schritt in Richtung eines stärker datenschutzorientierten Internets, und dies ist erst der Anfang. Als Antwort auf neue regulatorische Anforderungen werden neue Technologien entstehen, die wiederum neue Fähigkeiten und Features hervorbringen werden. Mit datenschutzorientierten Tools, die Website-Betreiber stärken und Endbenutzer schützen, will Zaraz den Weg weisen.

Wir empfehlen Ihnen, mehr über Cloudflares Datenlokalisierungs-Suite und über den Einsatz von Zaraz zur Bewahrung von Analysedaten in der EU zu erfahren.
Zum Abschluss möchten wir noch darauf hinweisen, dass wir jedes Feedback zu dieser Ankündigung oder eventuelle Anforderungen an neue Features sehr begrüßen würden. Sie können sich an Ihren Cloudflare-Kundenbetreuer oder in unserem Discord-Kanal direkt an uns wenden. Datenschutz ist das Herzstück von allen Features, an denen unser Team arbeitet. Wir befolgen immer einen proaktiven Ansatz zum Datenschutz, und wir glauben, dass es nicht nur darum geht, diverse Bestimmungen einzuhalten, sondern darum, Technologien zu entwickeln, die Kunden helfen, ihre Benutzer besser zu schützen. Es geht darum, alles zu vereinfachen, was zur Beachtung und zum Schutz der Privatsphäre der Benutzer und ihrer personenbezogenen Informationen nötig ist. Es geht darum, zum Aufbau eines besseren Internets beizutragen.