Einsatz von Google Analytics in Zeiten das Datenschutzes

Nachdem die ersten meiner Kunden von den Datenschutzbehörden ihres Landes überrascht wurden, indem sie dazu aufgefordert wurden, Google Analytics von ihrer Website zu nehmen, läßt sich das Thema “wie weiter bei Webanalytics” nicht mehr ignorieren.

Der Kern des Problems ist die IP-Adresse, aus Rheinland-Pfalz hören wir dazu folgende Worte:

Die obersten Aufsichtsbehörden für den Datenschutz des Bundes und der Länder, haben
in ihrer Sitzung am 26./27.11.2009 einen Beschluss über die datenschutzkonforme Ausgestaltung
derartiger Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten
gefasst und einen entsprechenden Anforderungskatalog formuliert
(hier zu finden…).
Danach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden.
Die IP-Adresse ist dabei kein Pseudonym im Sinne des Telemediengesetzes.

(Quelle: Hinweise zum Einsatz von Google Analytics bei Internet Angeboten – Landesbeauftragter für den Datenschutz Rheinland-Pfalz)

Zurück zu Google Analytics – was macht Google mit den IP-Adressen? Wir können davon ausgehen, dass Google eine sehr vollständige Übersicht über IP-Adressen und der lokale Zuordnung besitzt. Wir sollten aber auch davon ausgehen, dass Google noch nicht die Möglichkeit der Zuordnung der IP-Adressen zu Personen Zugriff hat. Dies sollte im Moment im Endbenutzer Segment nur den Anbietern von Verbindungsdiensten möglich sein (DSL, HotSpots, ISDN-Einwahl, …). Dort liegen die Einwahldaten der Verbraucher und sollten nur über einen Gerichtsbeschluss durch dritte zugänglich werden.

Der Rechtssprechung reicht bei der IP-Adresse allerdings die theoretische Möglichkeit, dass Google mit Kenntnis der IP-Adresse und einem Zugang zu den Verbindungsdaten der großen Zugangsanbietern, aus der IP-Adresse einen Namen ermitteln könnte. Dieser Gedanke ist abwegig – ein anderer ist es nicht. Ein Nutzer von Gmail gibt Google seine IP-Adresse in Verbindung mit einer Emailadresse bekannt. Andere, wie auch ich, nutzern Google Anlaytics selbst oder sind gar in Googles lokalem Branchenbuch eingetragen.

Google selbst sagt, dass alles was mit Analytics gemacht wird, den EU Datenschutzrichtlinien entspricht. Eine Aussage, die dem Düsseldorfer Kreis nicht aussreichen wird. Dem Anwender von Google Anlytics damit auch nicht hilft. Was also werde ich meinen Kunde raten?

Als Anwender von Google Anlaytics sollte man kein Grundsatzurteil provozieren und im Falle eine Anfrage der Datenschützer Anlaytics von einer Site entfernen. Das entstehende Problem, dann Online Marketing im Blindflug zu betreiben, läßt sich eventuell mit eine Piwik Installation mildern.

Mit großer Spannung sollten wir in jedem Fall auf den Showdown in dieser Sache warten. Dieser wird sicher vor einem EU Gerichtshof ausgetragen.

Leave a Reply