Wer die datenschutzrechtlichen Rahmenbedingungen für die Nutzung von Google Analytics auf deutschen Websites noch nicht kennt, sollte sich spätestens jetzt informieren.
Folgende Maßnahmen werden erwartet:
- Google Analytics tracking code um die Funktion AnonymizeIP erweitern
- Schriftlichen Vertrag mit Google zur Auftragsdatenbearbeitung abschließen
- Datenschutzerklärung der Website ergänzen
- Alte Google Analytics Profile löschen
Warum das alles?
Ich bin sehr besorgt um meine Privatsphäre im Internet. In all meinen Web-Browsern sind 3rd party cookies deaktiviert, ich lösche ohnehin alle Cookies regelmäßig, verwende AdBlocker und NoScript, und ich habe viel Zeit mit den Facebook-Einstellungen verbracht, nachdem mein Profilbild ohne meine Zustimmung in einer Werbung im Online-Telefonbuch erschien.
Ich bin trotzdem der Meinung, dass die o.g. Maßnahmen wenig Sinn machen. Fast schon grotesk.
Es geht vornehmlich um die Anonymisierung der Benutzer IP-Adresse, weil IP-Adressen einen Benutzer persönlich identifizierbar machen und auch der Standort des Benutzers ersichtlich ist. Ich werde deshalb lediglich auf den ersten der vier genannten Punkte eingehen. Wer allgemeine Kritik auch zu den anderen Punkten sucht sei auf den Internet-Law Blog verwiesen.
Mit der AnonymizeIP Funktion im tracking code soll eine „Anonymisierung“ der IP-Adresse gewährleistet werden.
Dazu muss man folgendes wissen:
1. IP-Adressen können nur vom Internet Service Provider (ISP) einer Person zugeordnet werden. Firmen wie 1&1 werden Google auf Anfrage sicher nicht den Namen ihrer Kunden mitteilen. Da müsste Google schon selbst der ISP sein, das käme aber für mich genau aus diesem Grund sicher nicht in Frage.
2. IP-Adressen identifizieren das client-Ende einer TCP/IP Verbindung. Das ist heute i.d.R. ein Computer oder ein (DSL-)Router. Hinter einem Router können sich viele verschiedene Computer verbergen, und jeder davon kann von mehreren Person verwendet werden. Wer meine IP auswertet, wertet demnach das durchschnittliche online-Verhalten aller Personen in meinem Haushalt aus, nicht mich persönlich. Auf meiner Arbeitsstelle teile ich die öffentliche IP Adresse unseres Proxy-Servers ohnehin mit mehr als 1000 Kollegen, also auch hier kein „personal tracking“.
3. Es ist technisch nicht möglich, die IP Adresse vor der Übertragung an Google zu verändern. AnonymizeIP sorgt lediglich dafür, dass der tracking code Google auf die erforderliche Anonymisierung hinweist. Google hat sich verpflichtet, in diesem Fall das letzte Octet der IP Adresse vor der weiteren Verarbeitung der Daten (bereits in Europa) zu entfernen. Damit kommen 255 verschiedene IPs in Frage. Data mining Spezialisten können mit einer verkürzten IP zwar weniger anfangen, nutzlos ist sie dennoch nicht. Zusammen mit anderen tracking Parametern kann ein anonymes Benutzerprofil relativ einfach erstellt werden. Für den Versuch, diese Daten einem bestimmten Computer oder Router zuzuordnen, sollte die Zahl 255 keine allzu große Hürde sein (Stichwort EverCookie).
4. Google verwendet die IP Adresse für die (mehr oder weniger ungenaue) Bestimmung des Ortes, von dem aus der Benutzer eine Website verwendet hat. Diese Orte werden in den Statistiken angegeben. Das letzte Octet zu entfernen, wird die Genauigkeit der Ortsangabe in vielen Fällen gar nicht verschlechtern. Es wird ohnehin nicht der Standort des Benutzers ermittelt, sondern der seines ISP, und der ist für alle 255 anonymisierten Benutzer gleich.
5. Viele Benutzer haben wechselnde (dynamische) IP-Adressen. Meine private öffentliche IP Adresse ist die eines 1&1 Servers. Sie wechselt täglich, und das nicht nur innerhalt des letzten Octets.
Mit anderen Worten… viel Wirbel um Nichts. Ich sehe jedenfalls meine Privatsphäre auch dann nicht in Gefahr, wenn Google meine vollständige IP-Adresse erhält. Zum Glück hat dieser Auswirkungen keine unmittelbaren Auswirkungen auf die Funktionalität und Benutzerfreundlichkeit einer Website. Lediglich die Datenschutz-Informationen werden nochmals komplexer und umfangreicher, was lediglich dazu führen wird, dass sie noch seltener gelesen werden.