Datenschutzprobleme bei Google Analytics Nutzung – wie man sie umgehen kann

Das Telemediengesetz (TMG) §12, Abs. 1 sieht vor, dass Daten nicht ohne Einwilligung an Dritte weitergegeben werden dürfen. Dieses haben schon mehrfach Datenschützer bei Nutzung von Google Analytics moniert und immer wieder auf dieses Problem hingewiesen. Google ist auf diese Problemstellung eingegangen und hat reagiert, die Funktion _anonymizeIp() wurde eingebaut. Infos hierzu finden sich bei Google unter http://code.google.com/intl/de-DE/apis/analytics/docs/gaJS/gaJSApi_gat.html.
Der Aufruf der Funktion wird in den Code der Webseite eingebaut und weist die Google Server an, die Daten anonymisiert zu behandeln und zu speichern.



Hier kommt aber ein nicht unerhebliches Problem zum Tragen: Man kann von „außen“ (also Besucher der Seite) sehen, ob diese Funktion auf der Seite genutzt wird oder halt auch nicht. Als Webseitenbetreiber hat man nun ein Problem. Sollte jemand durch Rechtsklick und „Anzeige des Seitenquelltextes“ auf die Idee kommen, den Code zur Einbindung von Google Analytics zu untersuchen und hier feststellen, dass die Anonymisierungsfunktion nicht eingebaut ist, kann dieses folgenreich werden. Schließlich verstöße dieses gegen das Telemediengesetz. Hat der Besucher also den Hang und Drang, dieses zu verfolgen könnte es für den Webseitenbetreiber im schlimmsten Falle recht zeitnah anwaltliche Post geben.

Man wäre also sehr gut beraten,

  • die Anonymisierungs-Funktion schnell einzubauen oder
  • einen Dienst zu nutzen, der die Daten nicht auf Server von Dritten weitergibt oder
  • seine Impressums-/ Datenschutzhinweisseiten überarbeiten und den Hinweis auf Google Analytics zu geben

Hierzu hatte ich schon einmal auf Piwik verwiesen, welches ebenfalls Analyseinformationen zur Verfügung stellt. Allerdings mit dem Vorteil, dass die Daten nicht an Dritte (also z.B. Google) weitergegeben werden. Man hält sich als Webseitenbetreiber somit an die rechtlichen Vorgaben des TMG und ist auf der sicheren Seite.


Woran erkennt man „von außen“ den Aufruf/ die Nutzung der Funktion?
Eine schnelle Kontrolle des Google Analytics Codes kann man sich durch Ansicht des Seitenquelltextes einholen. Wird Google Analytics genutzt, so muss dort die Funktion im Quelltext mit eingebunden sein. Diese sollte bei der Ansicht des Seitenquelltextes innerhalb der „Java script“ Bereiche ungefähr so aussehen:

var _gaq = _gaq || [];
_gaq.push([‚_setAccount‘, ‚UA-XXXXXXXXX-X‘]);
_gaq.push([‚_gat._anonymizeIp‘]);
_gaq.push([‚_trackPageview‘]);(function() {
var ga = document.createElement(’script’); ga.type = ‘text/javascript’; ga.async = true;
ga.src = (‘https:’ == document.location.protocol ? ‘https://ssl’ : ‘http://www’) + ‘.google-analytics.com/ga.js’;
var s = document.getElementsByTagName(’script’)[0]; s.parentNode.insertBefore(ga, s);
})();
(Beispiel für den aktuellen Tracking Code für asynchrones Tracking

Ein Beispiel für einen etwas älteren Einbettungscode wäre

var gaJsHost = ((“https:” == document.location.protocol) ? “https://ssl.” : “http://www.”);
document.write(unescape(“%3Cscript src=’” + gaJsHost + “google-analytics.com/ga.js’ type=’text/javascript’%3E%3C/script%3E”));
try {
var pageTracker = _gat._getTracker(“UA-XXXXXXXX-X”);
_gat._anonymizeIp();
pageTracker._trackPageview();
} catch(err) {}

Hier würde ebenfalls die Funktion eingebunden sein. Der Bereich „UA-XXXX“ wäre im Original natürlich mit dem Tracker-ID-Username gefüllt und ist hier nur zur Anschauung mit ‚X‘ aufgeführt.


Wird diese Funktion konsequent eingebaut und genutzt?
Wir überlegen einmal ein wenig und suchen uns irgendeine Webseite aus dem (Finanz-)Nachrichtenwesen raus. Diese Seite hat drei Buchstaben und wird in Deutschland von einem großen Verlag betreut. Schauen wir einmal in den Seitenquelltext der Seite und prüfen, ob dort die Anonymisierung aktiviert wurde:

var gaJsHost = ((„https:“ == document.location.protocol) ? „https://ssl.“ : „http://www.“);
document.write(unescape(„%3Cscript src='“ + gaJsHost + „google-analytics.com/ga.js‘ type=’text/javascript’%3E%3C/script%3E“));
try {
google_analytics_domain_name=“.XXX.de“;
var pageTracker = _gat._getTracker(„UA-XXXXXXXXXXX“);
pageTracker._setDomainName(„.XXX.de“);
pageTracker._trackPageview();
} catch(err) {}

Die erste Sichtung zeigt: Hier fehlt der Aufruf zur Nutzung der Anonymisierungsfunktion. Macht man sich danach auf der besuchten Webseite ein wenig auf die Suche so findet man im Bereich „Datenschutz“ einen entsprechenden Hinweis auf die Nutzung und Weitergabe der IP Adresse an Dritte. Aber wer liest sich das schon durch?


Sollte man sich an das TMG halten?
Grundsätzlich ist es einem selber überlassen, ob man nun die Anonymisierung nutzt und sich an das TMG hält oder auch nicht. Die Folgen, sollten denn welche kommen, sind auch nicht wirklich bekannt bisher. Kommt nur eine Abmahnung? Kommt etwas mehr?
Aber, und das sollte man im Hinterkopf behalten, es kann, muss aber nichts passieren.
Und immer sollte man sich überlegen, ob die eigenen Daten als Besucher einer Seite an Dritte weitergegeben werden darf/ soll/ kann und wie man mit dieser Situation leben könnte.


Wie kann man sich als Besucher vor der Weitergabe seiner personenbezogenen Daten (IP Adresse) „schützen“?
Ich habe in meinem Blog-Post über die freie Alternative Piwik schon ein paar Tipps gegeben. Man kann beispielsweise den Zugriff auf die Server von Google-Analytics unterbinden, man nutzt verschiedene Privacy-Plugins im Browser usw. Damit kann man sich selber ein wenig gegen die Weitergabe absichern.
Wobei man sich natürlich auch immer selber fragen sollte: Was bringt einem dieses unterbinden und wie könnte die ach so gefährliche Weitergabe auf einen wirken, welche Folgen hätte dieses für einen? Eigentlich wohl eher keinen….


rechtlicher Hinweis:
Ebenfalls, wie auch bei all meinen technischen Infos, Hinweisen, Anleitungen, Vorschlägen usw. gilt auch hier, dass dieses keinerlei (rechtliche) Beratung darstellt. Alles geschieht auf eigene Gefahr. Ich übernehme auch hier keine Gewähr auf Funktion oder auf Richtigkeit.
Ob die von mir aufgeführten Vorgaben zur Nutzung der Anonymisierungsfunktion soweit zu 100% richtig sind, muss jeder selber prüfen. Die Daten sollten nach Aktivierung der Funktion nicht mehr auf einen einzelnen Host zurückführbar sein, sondern nur noch ein /24er Netz (also letztes Oktet mit 0) ausgeben.


Ein paar Links
Telemediengesetz (TMG) §12 http://bundesrecht.juris.de/tmg/__12.html
Piwik als Alternative zu Google Analytics
GA Code Informationen http://code.google.com/intl/de-DE/apis/analytics/docs/gaJS/gaJSApi_gat.html
http://www.gruenderszene.de/recht/google-und-datenschutz-google-analytics-erfullt-zentrale-forderung-der-datenschutz-aufsichtsbehorden/

Dieser Beitrag wurde unter Allgemeines, Dokus und Tipps abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert