Google Analytics entspricht deutschem Datenschutz

Im Januar 2011 überlegten deutsche Datenschützer, den Einsatz von Google Analytics zu bestrafen. Seit heute geht Google Analytics in Deutschland mit dem Datenschutz konform. Die Auflagen des Düsseldorfer Kreises gelten als erfüllt. Gut für Website-Betreiber. Damit hat Google die Voraussetzungen geschaffen, Google Analytics in Deutschland datenschutzkonform einzusetzen. Verantwortlich sind jedoch immer die Website-Betreiber. Begleitende Massnahmen müssen die Erfüllung der Datenschutzforderungen gewährleisten.

Seit Ende 2009 führten Google und der Datenschutzbeauftragte von Hamburg konstruktive Gespräche.  Im Verlauf von fast zwei Jahren gelang es den Parteien, sich auf  zentrale Punkte der Forderungen des Düsseldorfer Kreises zu einigen.

1. Die IP-Adresse der Nutzer wird, auf Anforderung des Website-Betreibers, nach der Übermittlung, im letzten Oktett gelöscht. Damitsoll keine Identifizierung der Nutzer möglich sein. Die Löschung erfolgt innerhalb Europas.
2. Nutzer bekommen die Möglichkeit zum Widerspruch gegen die Datenerfassung. Ein kleines Stück Software, in Form eines Deaktivierungs Add-On, steht für die Webbrowser Firefox, Google Chrome, Internet Explorer, Safari und Opera auf einer Webseite von Google zum Download bereit.
3. Mit Website-Betreibern soll Google einen “Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes”(PDF) abschliessen.

Punkt 1 und 3  erfordern die aktive Mitwirkung der Website-Betreiber. Google ist Anbieter der Software. Die korrekte Einbindung des Codes zur Anonymisierung, die Datenschutzerklärung und andere notwendige Massnahmen sind vom Website-Betreiber zu veranlassen. Eine hilfreiche Anleitung bietet der Hamburger Datenschutzbeauftragte: Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen.

Daten die bisher mit Google Analytics erhoben wurden, müssen gelöscht werden, da sie nach Auffasung des Hamburger Datenschutzbeauftragten Johannes Caspar, unrechtmässig erhoben wurden. Dazu müsste das bisherige Google Analytics Konto geschlossen und ein neues Google-Analytics Konto aktiviert werden.

Webmaster können deutlich aufatmen, da sie nicht mehr durch die Verwendung von Google Analytics in die Illegalität gedrängt werden.

Betrachtungen zum Datenschutz und der Privatsphäre im Internet

Aus meiner Sicht bleibt die Vereinbarung zwischen dem Hamburger Datenschutzbeauftragten und Google ein Kuhhandel. Mitllerweile können Browser der Nutzer zu einem Prozentsatz von deutlich mehr als 90% zuverlässig anhand ihres Browserprofiles erkannt werden.

Die Kombination aus Cookie, Betriebssystem, Sprache, Zeitzone, Plug-Ins, installierte Schriften, Browserversion, Bildschirmauflösung, Farbtiefe und vielen vielen weiteren Daten ergeben einen elektronischen Fingerabdruck, welcher den Browser des Nutzer ziemlich deutlich identifiziert.  Auf der Testseite Panopticlick von EEF wurde mir beispielsweise bescheinigt, dass mein Browser einzigartig ist im Vergleich mit den anderen, mehr als 1,76 Millionen elektronischen Fingerabdrücken, der getesteten Webbrowser.

Aus diesem Grund sind übrigens auch Anonymisierungsdienste nicht in der Lage, den Nutzern tatsächliche Anonymität zu gewähren. Die IP-Adresse ist gar nicht mehr notwendig, um den Browser eines Nutzers zu identifizieren.

Da die IP-Adresse für Google Analytics nur sehr gering gekürzt wird, bleibt sie ein weiteres Hilfsmittel, den Browser der Nutzer zu identifizieren.

Google verfügt über zahlreiche weitere Dienste, die in der Lage sind, Auskunft über Nutzer zu erteilen:

Google Mail, Google Docs, Google Plus, Google Kalender usw. verraten Google ihre Daten.  Da kaum jemand Lust darauf hat, sich ständig neu einzuloggen, bleiben viele Nutzer gleich eingeloggt und sind sich gar nicht mehr bewusst, dass sie für Google beim Besuch sämtlicher Webseiten identifizierbar bleiben.

Das von Doubleclick übernommene Anzeigennetzwerk von Google arbeitet mit verfolgender Werbung.  Der Browser der Nutzer ist immer wieder identifizierbar, wenn andere Seiten des umfassenden Netzwerkes genutzt werden.

Mit Google AdSense, der Google Werbung auf Webseiten, verfügt Google über ein weiteres effektives Instrument, Nutzer per Browser zu indentifizieren, Nutzerprofile zu erstellen.

Buttons und andere Fremdelemente auf Webseiten

Es geht längst nicht mehr nur um Google. Jeder Button der von einem Fremdanbieter auf der Website eingebunden wird, ist in der Lage, die Nutzerprofile der Besucher nach hause zu funken. Facebook Like, Google Plus und Twitter Share Button sind nur prominente Vertreter.

Wegen der großen Zahl sozialer Netzwerke haben sich zahlreiche Anbieter wie AddThis und AddToAny spezialisiert, für Website-Betreiber Sammlungen sozialer Bookmark.Buttons anzubieten. Welche Informationen diese Anbieter sammeln sehen wir besipielsweise anhand der Analytics Funktion von Addthis.

Die gängige Methode solche Codes einzubinden basiert auf JavaScript des Anbieters. Sobald JavaScript für den eingebundenen Code verwendet wird, erweitert sich deutlich die Palette auszulesender Browser-Informationen. Beispielsweise wird es dann auch möglich bis zu 5 MB grosse “Supercookies” zu speichern (Quelle IP-Check). Per JavaScript können die Mausbewegungen und das Tippverhalten der Nutzer verfolgt werden!

Ich behaupte nicht, dass Anbieter diese Möglichkeiten ausschöpfen. Niemand weiss genau welcher Anbieter welche Möglichkeiten nutzt, die sich aus der Einbindung fremden Codes ergibt. Jeder fremde Code ist jedoch in der Lage, zahlreiche Informationen über die Besucher der Website zu sammeln. Dazu gehört auch Werbung  jeder Art aus Werbenetzwerken, sogenannte Widgets – die für bekannte CMS (Content Management Systeme) angeboten werden -, Videos von YouTube und anderen Hosting-Plattformen  und sicherlich noch viele andere Fremdelemente, die in eine Webseite eingebunden werden können.

Der Schutz der Privatsphäre, eine Anonymisierung ist nach jetzigem Stand der Technik möglich nur theoretisch möglich. Praktisch gibt es nur ganz wenige Nutzer die ohne aktiviertem JavaScript unterwegs sind.

Die technischen Möglichkeiten haben den Datenschutz längst eingeholt. Während der Datenschutz zwei Jahre benötigt, einige Zugeständnisse von einem bekannten Anbieter abzuringen, ist die technische Entwicklung längst weiter gerast. Super Cookies werden (wurden) bereits von Microsoft eingesetzt. Super Cookies stellen alle bisherigen Möglichkeiten der Gewinnung von Nutzerdaten in den Schatten. “Unlöschba”r, da sie sich nach der Löschung selbst wieder herstellen Mit einer eindeutigen Kennzahl für jeden einzelnen Rechner.

Datenschützer sind im Internet die modernen Don Quijotes im  Kampf gegen die Windmühlen

Der Kampf für ein bisschen Privatsphäre ist vielleicht noch nicht verloren. Falls sich genügend Menschen finden, gegen die  vorauseilende Volksüberwachung ihre Stimme zu erheben.