Google Analytics und der deutsche Datenschutz

Seit ein paar Tagen wird Google Analytics nicht mehr grundsätzlich datenschutztechnisch in Deutschland verteufelt. Der Hamburger Datenschutzbeauftragte beschreibt, unter welchen Bedingungen der Einsatz von Google Analytics in Deutschland rechtens ist.

Die einzelnen Punkte sind hier kurz zusammengefasst:

  • Dem Nutzer muss die Möglichkeit zum Widerspruch gegeben werden. Dies geschieht dadurch, dass auf die Browser Plug-ins hingewiesen wird, die das Abrufen von Google Analytics Zählpixel verhindern.
  • Daneben muss der Nutzer natürlich weiterhin über den Einsatz von Google Analytics in den Datenschutz-Bestimmungen unterrichtet werden.
  • Der Einbau des Codes von Google Analytics muss so geschehen, dass das letzte Oktett der IP-Adresse genullt wird. Dies wird durch den Einsatz der Funktion _anonymizeIp erreicht.
  • Zu guter letzt muss der Betreiber einen Vertrags zur Auftragsdatenverarbeitung mit Google abschließen. Dazu bietet Google ein pdf mit dem vorbereiteten Vertrag an.

Auftragsdatenverarbeitung

An diesem letzten Punkt beginnen sich dann auch die Geister zu scheiden. Zum einen ist nicht so recht klar, warum man mit der Google Germany GmbH diesen Vertrag abschließt, „die dieses Unterschriftsverfahren für die Google Inc. durchführt“ und nicht direkt mit Google Inc. selbst.

Zum anderen stellt sich natürlich die Frage, warum denn dieser Vertrag überhaupt notwendig ist. So ist er nur dann nötig, wenn „personenbezogene Daten im Auftrag durch andere Stellen erhoben werden“ (§ 11 Bundesdatenschutzgesetz) . Durch die Anonymisierung der IP-Adresse sollte dies also gar nicht nötig sein.

Anonymisierung

Auf der anderen Seite ist die Anonymisierung aber sowieso Augenwischerei. Selbst wenn in den Parametern, die dem Aufruf des Google Analytics Zählpixels mitgegeben werden, die IP-Adresse verstümmelt wird, so kann die IP-Adresse des Nutzers von Google ganz einfach aus der aufgebauten TCP/IP Verbindung ermittelt werden.

Wenn ich also an Google nichts übermitteln will, so darf ich es erst gar nicht tun. Die oben beschriebenen Plug-ins scheinen allerdings nicht das Laden selbst zu verhindern. Bei installiertem Plug-in wird die Datei ga.js noch immer von Google abgerufen.

Datenübermittlung verhindern

Will man es richtig machen, so benötigt man ein Plug-in wie zum Beispiel noscript für Firefox. Es geht aber auch einfacher. Verfügt man über die richtigen Rechte, so kann man einfach die Zeile

127.0.0.2 www.google-analytics.com

in die Datei /etc/hosts eintragen. Dann laufen alle Requests an Google Analytics in Leere.

 

Fazit

Alle dies macht mich nachdenklich. Warum wird ein solcher Aufwand getrieben? Die Lösung, die dabei herausgekommen ist, ist meiner Ansicht nach nicht neu. Das einzig neue ist daran ist das mehrseitige  PDF, dass man an Google schicken muss, um es irgendwann gegengezeichnet zu erhalten. Ändert dies irgendetwas daran, was Google mit den Daten macht? Hat irgendein Anwender nun im Griff, was Google mit den Daten seiner Nutzer macht?

Ich bezweifle, dass dies auf diesem Wege überhaupt machbar ist. In dem Moment, in dem ich auf irgendeine Webseite surfe, werden gewisse Daten übermittelt. Wenn ich das nicht will, muss ich selbst dafür sorge tragen, dass dies nicht geschieht. Entweder durch Verwendung von Blockern, die auf meinem Rechner direkt angreifen. Oder aber durch Anonymisierungs-Dienste wie zum Beispiel TOR.

Im Straßenverkehr ist es ähnlich: Wenn ich nicht von Autos überfahren werden will, sollte ich es vermeiden, zu Fuß über die Autobahn zu gehen.

Noch ein Hinweis in eigener Sache: Ich bin kein Jurist. Die Anmerkungen oben zu den rechtlichen Dingen stellen meine private, laienhafte Meinung dar und sollen nicht als Rechtsberatung verstanden werden.

One thought on “Google Analytics und der deutsche Datenschutz”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *