Google Analytics, Datenschutz und der Einsatz im Unternehmen

Ich habe mich kürzlich mit der Frage der datenschutzrechtlichen Zulässigkeit von Google Analytics beschäftigt. Google Analytics bietet seit kurzem die Möglichkeit der IP-Adressen anonymisierung an, zusätzlich kann man sich, wenn gewünscht, komplett von Google Analytics ausschliessen lassen.

Ich hatte angesichts dieser beiden Neuerungen den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit angeschrieben und gefragt, ob mit anonymizeIp und Opt-out eine datenschutzrechtlichen Zulässigkeit besteht. Die Antwort ist wie folgt:

… erkundigen sich nach der datenschutzrechtlichen Zulässigkeit des Dienstes Google Analytics. Hierzu kann ich Ihnen mitteilen, dass unsere Prüfungen der zuletzt von Google vorgenommenen bzw. angebotenen Änderungen des Dienstes noch nicht beendet sind. Da wir unsere Ergebnisse anschließend noch mit den anderen Aufsichtsbehörden in Deutschland abstimmen möchten, um zu einer möglichst einheitlichen Bewertung für den gesamten Geltungsbereich des TMG bzw. BDSG zu kommen, wird sich der Abschluss dieser Prüfungen wohl auch noch etwas hinziehen.

Quelle: Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Schade, da gibt es noch nichts Neues von Seiten des Datenschutzbeauftragten und leider fällt eine Nutzung im Unternehmen damit aus, selbst für pillepalle-Landingpages.

Ich persönlich finde die Diskussion um die IP-Adresse relativ albern, aber mich fragt ja niemand.

Die obersten Datenschutz-Aufsichtsbehörden haben November 2009 folgendes erlassen(siehe auch weiter unten): „nach dem die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei“ – sprich, der Nutzer muss v-o-r-h-e-r der Nutzung zustimmen.
Völliger Stuss. Das weiß auch Google und deswegen kann man die IP-Adresse jetzt anonymisieren um diesen Erlass zu umgehen.

Eine Anleitung, wie man die IP-Adressen anonymisiert, findet man dort: Anonymisieren von IP-Adressen mit Google Analytics . Das habe ich auch eben gemacht, schadet ja nix, ist eh wumpe ob mit oder ohne IP-Adresse. Wozu gibt es denn Cookies? Wer das für sich auch machen will, so sieht das aus.

asynchroner Tracking Code, bitte eigene UA-XXXXX eintragen

<!– BEGIN Google Analytics mit _anonymizeIp–>
<script type=“text/javascript“>
var _gaq = _gaq || [];
_gaq.push([‚_setAccount‘, ‚UA-XXXXX-X‘]);
_gaq.push([‚_trackPageview‘]);
_gaq.push([‚_gat._anonymizeIp‘]);
(function() {
var ga = document.createElement(’script‘); ga.type = ‚text/javascript‘; ga.async = true;
ga.src = (‚https:‘ == document.location.protocol ? ‚https://ssl‘ : ‚http://www‘) + ‚.google-analytics.com/ga.js‘;
var s = document.getElementsByTagName(’script‘)[0]; s.parentNode.insertBefore(ga, s);
})();
</script>
<!– END Google Analytics –>

Wer sich komplett aus Google Analytics ausschliessen lassen will, bitte sehr, musste da hingehen: Google Analytics Opt-out Browser Add-on

Ich bin gespannt, ob die deutschen Datenschutzbehörden sich überhaupt auf eine Meinung zu Google Analytivs einigen können.

Mit anonymizeIp und der optionalen Möglichkeit des Opt-Out (die für viele Nutzer am Arbeitsplatzrechner keine Option ist) erfüllt Google Analytics zentrale Forderungen des Düsseldorfer Kreis (nur als PDF): Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten.

Da steht folgendes:

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.

Meine Meinung: Mal angenommen, dies bezieht sich nur auf Webseitenanalyse mit Google Analytics: Ja, mit dem Opt-Out wird dieser Punkt erfüllt. Kann aber auch alles andere sein, ist leider unklar formuliert.

  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.

Meine Meinung: Das geht leider nicht. Wenn ich Daten anonymisiere kann ich sie nicht auf Wunsch löschen lassen. Wie denn auch? Ich kann die Daten doch gar nicht zuordnen?!!? Generell kann ich keine Daten bei Google Analytics für einzelne User auf Wunsch löschen lassen.

  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.

Meine Meinung: Kein Problem, meine Datenschutzerklärung kann ich umschreiben.

  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.

Meine Meinung: Wird erfüllt. Wenn ich die IP anonymisiere, gibt es keine Personenbezogenen Daten bzgl. Google Analytics. ABER: wenn es um mehr als die IP Adresse geht, ist jegliche Statistik vollkommen tot. Wie soll man sich eine Einwilligung der Nutzer abholen? Völliger Stuss.

  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Meine Meinung: Hier wiederholt man sich. Siehe voriger Punkt.

Schade, dass der Düsseldorfer Kreis generell so unscharf formuliert. Was genau ist ein Nutzungsprofil? Ab wann ist ein Nutzer pseudonymisiert? Ich möchte gerne Datenschutzkonform arbeiten aber leider machen es mir die Aufsichtbehörden nicht leicht.

Das der deutsche Datenschutz bzgl. Webseitenanalyse vollkommen an der Realität vorbei geht und ich sehr gut verstehen kann, dass ein großteil der Webseiten sich einen Dreck um den Datenschutz scheren, ist eine ganz andere Geschichte. Das ist oft ein echter Wettbewerbsnachteil für Anbieter hierzulande und es ist sehr schade, das die gesetzlichen Vorgaben so ungenau sind.

Ich freue mich schon auf die Stellungnahme der deutschen Datenschutzbeauftragen.

Photo by Vicky Brock

One comment

  1. Guter Beitrag! Ja, es ist ein Kreuz mit den Datenschützern – in unserem Blog haben wir auch schon mehrfach dazu berichtet.
    Eine Möglichkeit, sich als Nutzer aktiv vom Tracking mit Google Analytics ausschließen zu lassen, wird auf der Website http://www.opt-me-out.de kostenfrei zur Verfügung gestellt.
    Die Probleme, die mit dem Einsatz des Opt-Out Browser-Add-On einhergehen, wird auch hier beleuchtet: http://blog.webalytics.de/2010/06/deaktivierungs-add-on-fur-browser-von-google-unzureichend/.

    Hoffe, das hilft…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.