PCo Net(z)

Ausgangslage der aktuellen Debatten um den Datenschutz betreffs Google Analytics ist das Speichern nutzerbezogener Daten, also von IP-Adressen in der Analysesoftware und von Cookies auf dem persönlichen Computer, und das Versenden dieser nach Amerika (an Google). 

Datenschützer hatten laut eigenen Angaben Gespräche abgebrochen, womit sie sich nun im Recht sehen, Webmaster, die Google Analytics einsetzen, abmahnen zu können. Das Google Analytics Team dementierte die Abbruchgerüchte und aktualisierte am 14. Januar, dass die Gespräche mit der Datenschutzbehörde andauern und dass derzeit keine Mahnverfahren zu erwarten stehen.

Im aktuellen Verlauf formulierte Golem nach einem Gespräch mit dem Berliner Datenschutzbeauftragten Dix, dass Google Analytics illegal sei, dort heißt es:

"Websites dürfen IP-Adressen nicht ohne Erlaubnis des Nutzers in die USA übermitteln. Daher sei der Einsatz von Google Analytics in der jetzigen Form in aller Regel nach deutschem Recht nicht erlaubt..."

Das aktuelle Fazit

Noch müssen Webmaster keine Schritte unternehmen, sollten allerdings damit rechnen, im weiteren Verlauf von Datenschützern angeschrieben zu werden, obgleich dies laut eigenen Aussagen nicht in direkter Zukunft geschehen soll. Im schlimmsten Fall muss dann der Code von Google Analytics entnommen werden. Denn wie es scheint, reicht der Hinweis in den eigenen Datenschutzhinweisen nicht aus, dass nutzerbezogene IP-Adressen und Cookies gespeichert werden - denn der Nutzer kann diese "nutzerbezogenen Daten" nicht selbst löschen, ebensowenig wie der jeweilige Webmaster oder Inhaber einer Webseite, der Analytics einsetzt, es verhindern kann, dass diese Daten nach Amerika transferiert werden - ungeachtet wechselnder IP-Adressen und der Möglichkeit der meisten Browser, auf dem Rechner abgespeicherte Cookies einsehen und löschen zu können oder gänzlich zu verbieten. Man kann wohl davon ausgehen, dass hier der Maßstab angesetzt wird, dass dem Nutzer ein ungleichmäßig hoher Aufwand entstünde, diese Tätigkeiten in regelmäßigen Abständen eigens auszuführen - diese Möglichkeit der Deaktivierung muss stattdessen nativ vom Dienst selbst bereit gestellt werden.

Google betont im Zuge der Debatte, dass der Einsatz den EU-Datenschutzregeln entspräche:

"Wir sind uns dieser Bedenken bewusst, betonen aber noch einmal, dass Google Analytics dem Datenschutzrecht in der EU entspricht. Google Analytics wird deshalb unter anderem auch auf Webseiten von Datenschutzbehörden in Europa eingesetzt. [...] Für Google stehen die deutschen Nutzer im Mittelpunkt und die Sicherstellung des Datenschutzes aller Google Analytics-Daten hat höchste Priorität."

Weiter heißt es, dass die Datenschutzbehörden offensichtlich eine andere Meinung vertreten, man aber zum Schutz der (insbesondere deutschen) Nutzer zwei Maßnahmen ergriffen habe, wie der Webmaster sich als auch seine Webseiten-Besucher schützen kann.

Zwei Maßnahmen zum Schutz

Möglichkeit Nummer Eins des Schutzes der eigenen Daten ist ein Browseraddon, dass derzeit im Beta-Status für Firefox, Google Chrome und Internet Explorer erhältlich ist. Mit diesem Addon kann der Internetnutzer selbst bestimmen, ob Webseiten, die den Analytics-Code einsetzen, Daten zur Nutzung erheben dürfen. Diese Variante hat noch Makel - wieder ist der Nutzer gefragt und nur drei (wenn auch die Haupt-) Browser werden derzeit unterstützt.

Möglichkeit Nummer Zwei kann der Webmaster aktivieren. Es handelt sich dabei um die  automatisierte Kürzung der  erhobenen und in Analytics gespeicherten IP-Adressen, womit die Daten nicht mehr nutzerspezifisch individualiserbar sind. Auf die IP-Adressen der Nutzer hat der Webmaster ohnehin keinen Zugriff, verwendet werden sie vor allem im Geo-Targeting des Dienstes. Das bedeutet im Umkehrschluß, dass die geografischen Daten der Besucher in der Analyse ungenauer werden, setzt man den empfohlenenden Code ein.

Um die Kürzung vorzunehmen, muss der Webmaster dem eingebundenen Analytics-Code eine Zeile hinzufügen:
beim asynchronen Verfahren (der Standard), zu Beginn des Codes:

var _gaq = _gaq || [];
 _gaq.push(['_setAccount', 'UA-xxxxxx-x']);
_gaq.push (['_gat._anonymizeIp']);
 _gaq.push(['_trackPageview']);
[...]

und beim traditionellen Verfahren (am Ende des Codes):

[...]
try{
var pageTracker = _gat._getTracker("UA-xxxxxx-x");
_gat._anonymizeIp();
pageTracker._trackPageview();
} catch(err) {}</script>

Die eigentliche Gefahr

Die Gefahr für Webmaster, von einem Datenschützer abgemahnt zu werden, scheint momentan noch bei Null zu liegen. Denn die Gespräche laufen weiter und man bestätigte, dass man zunächst beginnen würde, Webmaster, die Analytics einsetzen, über die Rechtswidrigkeit zu informieren.

Die eigentliche Gefahr ist eine andere. Durch das Speichern von IP-Adressen und das Auswerten durch Google könnten theoretisch Nutzerprofile erstellt werden, die das Verfolgen eines bestimmten Surfers ermöglicht. In Verbindung mit anderen Services von Google, wie GoogleMail, Google Text&Tabellen, Klicks auf Google AdWords Werbung usw. wird es möglich, dass der Nutzer ein "offenes Buch" für Google ist. Das ist der Hauptgrund der Debatten, jahrelang bereits das Hauptkriterium von Google-Gegnern und von Google immer wieder (durchaus glaubhaft) bestritten bzw.  werden stets recht zackig Maßnahmen zur Behebung der jeweilig bekannt werdenden Details von Datenschutzlücken umgesetzt.

Dessen ungeachtet: Google-Mitarbeiter sind auch Menschen - und Menschen können korrupt sein. Wer die Möglichkeit des Zugriffs auf solche Daten besitzt, könnte sie theoretisch auch nutzen, verwerten oder verkaufen. Ein Fall aus September 2010: Google-Entwickler David Barksdale wurde entlassen, da er Kinder ausspioniert hatte und damit gegen die internen Datenschutz-Richtlinien Googles handelte.