Google Analytics jetzt Oberstadt-Kind?

Google Analytics „ging“ bis dato (aus datenschutzrechtlicher Sicht) gar nicht, das hatte zuletzt sehr vehement der Düsseldorfer Kreis festgestellt. Der Landesbeauftragten für den Datenschutz Rheinland-Pfalz:

Noch im April sorgte eine Studie des IT-Beratungsunternehmen Xamit für Wellen, die aufzeigte, dass lediglich das Webcontrolling-Tool von etracker (sowie mit Individualverträgen auch Econda und stats4free) in Deutschland gesetzeskonform eingesetzt werden können, alle anderen (getesteten) Softwaren verstießen laut Xamit gegen die BRD-Datenschutzgesetze! Die sehr interessante Studie wurde zuletzt im Mai noch erweitert und aktualisiert.

Nun hat Google zusammen mit dem „Opt-out-Skript“ für Surfer auch eine Anonymisierungs-Option für den Einsatz von Google Analytics „_anonymizeIp()“ eingeführt, die dafür sorgt, dass beim Erfassen der Website-Nutzungsdaten die letzten Ziffern der jeweilig zugreifenden IP beschnitten werden. Somit sind noch regionale Auswertungen möglich, aber die IP ist kein persönliches Datum mehr.

Dieses Verfahren zur Pseudonymisierung der IP-Daten wird bereits seit längerem von etracker eingesetzt und ist datenschutzrechtlich anerkannt. Ist Google Analytics damit dem „Schmuddelkind-Status“ entwachsen?

Ja, sagt RA Dr. Sebastian Kraska in einem Artikel bei der IT-Recht-Kanzlei:

Dieser „3-Punkte-Katalog“ lautet:

1. IP-Pseudonymisierungs-Option aktivieren,
2. Datenschutzbelehrung anpassen und
3. die weitere Diskussion der Aufsichtsbehörden um die Umsetzung der Widerspruchsmöglichkeit genauestens verfolgen.

Denn das „Opt-out-Skript“ von Google hat seine Tücken:

Erstens verhindert die Browser-Erweiterung laut Heise.de nicht komplett, dass Google Kenntnis des Webseitenbesuches bekommt:

Zweitens gibt es die Erweiterung noch nicht für alle Browser. Insofern kann von einem flächendeckenden (für jeden) wirksamen Opt-out-Mechanismus keine Rede sein. Olaf Groß gibt aus diesem Grund in seinem Artikel im Shopbetreiber-Blog auch „keine Entwarnung“.

Andererseits gibt es tatsächlich einen für alle Browser wirksamen Schutz vor Erfassung, nämlich das bei Heise angesprochene Blockieren des Google Analytics-Skriptes via Skriptblocker. So habe ich im Firefox per No-Script-Plugin das Analytics-Skript flächendeckend „verboten“, was wunderbar funktioniert. Denn Google Analytics ist für die Datenerfassung zwingend darauf angewiesen, dass im Browser des Surfers beides aktiviert ist: Cookies und Javascript. Eine Zählung auch von Besuchern mit deaktiviertem JS und/oder Cookie-Ablehnung, wie es professionelle Tools wie etracker bewerkstelligen, schafft Google Analytics nicht.

Aber auch, wenn die Skript-Blockade als alternativer Opt-out-Mechanismus angesehen werden könnte: Wer Google Analytics einsetzen möchte, müsste dann die genaue Vorgehensweise hierzu allen seinen Nutzern genau erklären! Da dürfte auch aus Datenschutzsicht ein „für jederDAU bewerkstelligbarer“ Deaktivierungs-Mechanismus „per Klick“ wie beispielsweise hier (Link unter dem Wort „widersprochen“) vorzuziehen sein.

Komplett vernachlässigt: die andere Datenschutz-Seite

Bei der Sicht auf die deut6sche Datenschutzgesetze bleibt allerdings auch in der aktuellen Debatte der Blick auf die „andere Seite“ aus: Der Datenschutz der Shopbetreiber.

Denn Analytics wird – anders als bei profesionellen Webcontrolling-Tools – nicht von einem neutralen Dritten betrieben. Alle sensiblen Geschäftsdaten landen (absolut „un-anonym“) bei genau DEM Unternehmen, von dem der jeweilige Shop meist nicht nur komplett abhängig ist, sondern (z.B. mit Adwords-Werbung) gleichzeitig auch „lebensnotwendige“ Dienste teuer einkauft.

Das ist in etwa so, als würde es nur einen Supermarkt für mich geben, der zudem die Preise für meine Einkäufe an der Kasse jeweils „on-the-fly“ definiert – und ich habe nicht nur meinen aktuellen Kontostand auf die Stirn geschrieben, sondern es liegen auch Listen meiner Einkommenhistorie der letzten Jahre an der dort vor.

Herzlich aus Hürth
Nicola Straub