Google Analytics: Datenkrake oder nützliches Werkzeug?

Datenschützer sehen Google Analytics kritisch, da das Statistiktool fleißig Daten sammelt und diese automatisch an Google übermittelt. Ob es sich aber um personenbezogene und damit zu schützende Daten handelt, ist umstritten.

Schätzungsweise die Hälfte aller kommerziellen Websites setzt Google Analytics ein. Genaue Zahlen zur Verbreitung und zur tatsächlichen Nutzung gibt es allerdings nicht. Mit der zunehmenden Verbreitung und vor dem Hintergrund der zahlreichen Missbrauchsfälle bei Datenerhebung und -nutzung im Internet steigt aber die Zahl der Menschen, die das Gratistool skeptisch sehen. Ausdruck dieser abwehrenden Haltung ist etwa die Kritik einiger Datenschutzbeauftragter^[1] oder der Verzicht des nordrhein-westfälischen Landtags auf Google Analytics.

Viele Internetnutzer sind daher verunsichert. Denn es mangelt an Informationen darüber, was für Daten über sie gesammelt werden und was mit diesen geschieht. Aber auch Websitebetreibern ist unklar, wie sie Statistikwerkzeuge richtig einsetzen. Dies rührt daher, dass die geltenden Gesetze nicht auf die aktuellen technischen Entwicklungen zugeschnitten sind und unterschiedlich interpretiert werden können.

Bis die Gesetze konkretisiert oder vor Gericht Präzedenzfälle entschieden werden, verbleiben Unklarheiten. ZDNet sprach mit Philipp Ebneter, Senior Project Manager beim Dienstleister Namics^[2], und Matthias Ebneter, Rechtsanwalt bei Rentsch & Partner in Zürich^[3], darüber, wie Website-Betreiber und Internetnutzer mit der Situation umgehen können.

ZDNet:Welche Daten sammelt Google?

Philipp Ebneter: Bei Google Analytics werden – genauso wie bei anderen Statistiktools auch – hauptsächlich Informationen zu Besucherverhalten, der technischen Ausstattung des Computers und über die Herkunft der Besucher ausgewertet. Dies geschieht meist auf einem hochaggregierten Level und vollkommen anonym, denn für viele Analysen sind nicht die einzelnen Besucher relevant, sondern generelle Nutzungsmuster.

ZDNet: Und wie werden die Daten erfasst?

Philipp Ebneter: Dies geschieht im Fall von sogenannten "client-basierten" Systemen (zu denen auch Google Analytics gehört) durch einen in die Website eingebetteten Code, der ohne Zutun des Besuchers automatisch ausgeführt wird. Er sorgt dafür, dass die Nutzungsdaten zu Google gesendet und anschließend vom Website-Betreiber ausgewertet werden können. Um die Aussagekraft der Auswertungen zu verbessern, versucht man, einen Besucher auch über zeitlich auseinanderliegende Besuche hinweg verfolgen zu können.

Der naheliegendste Weg wäre die Identifikation anhand der IP-Adresse. Da aber die meisten Besucher von Websites nicht über eine statische IP-Adresse^[4] verfügen und zum Beispiel Router mit NAT^[5] die Wiedererkennung eines Nutzers erschweren, versucht man, die Resultate mittels Cookies^[6] zu verbessern. Auf dem Computer des Besuchers wird also eine kleine Textdatei - im Falle von Google Analytics mit dem Namen "utma" - mit einer Zufallsnummer abgelegt, anhand derer sich ein einzelner Besucher relativ gut von anderen unterscheiden und somit als wiederkehrender Besucher erkennen lässt.

ZDNet: Beim Aufruf einer Website schreiben doch nahezu alle Webserver ein Logfile, das sich auslesen und statistisch auswerten lässt. Wie unterscheidet sich Google Analytics davon?

Philipp Ebneter: Bei der klassischen Logfile-Analyse werden die Daten direkt auf dem Webserver gesammelt und bleiben in der Regel auch dort. Wird Google Analytics eingesetzt, werden die Daten auch an Google gesendet und dort weiterbearbeitet. Zusätzlich setzt Google Analytics die eben erwähnte Identifizierung mittels Cookie ein, um wiederkehrende Besucher leichter zu erkennen.

Weil extrem viele Websites Google Analytics verwenden, laufen bei Google große Mengen an Nutzungsdaten zusammen. Würde Google die Daten all dieser verschiedenen Websites verknüpfen, könnten sie einen Besucher über mehrere Websites - die Google Analytics verwenden - verfolgen und somit eine Art "anonymes Nutzerprofil" erstellen. Nutzt ein Besucher zusätzlich personalisierte Dienste von Google, für die sein Name und weitere Daten erfasst werden, verfügt Google über sehr viele Datenbestandteile, um theoretisch die Anonymität des Nutzerprofils aufzuheben und das Profil einem konkreten Nutzer zuzuordnen.

ZDNet: Ab wann ist denn die Anonymität, juristisch gesehen, aufgehoben? Welche Rolle spielt hier die IP-Adresse?

Matthias Ebneter: Spätestens dann, wenn an sich anonyme Daten oder Nutzerprofile mit einer konkreten Person verknüpft werden, sind diese Daten nicht länger anonym, sondern personenbezogen. In der Rechtsprechung und von Datenschützern wird jedoch die – umstrittene – Auffassung vertreten, dass es sich bereits bei der IP-Adresse um eine personenbezogene Information handle. Denn die IP-Adresse erlaube - wenn auch nur mittelbar - den Rückschluss auf die Person, die unter ihr Zugang zum Internet hatte. Google Analytics setzt zusätzlich das besagte "utma"-Cookie ein, um wiederkehrende Besucher erkennen und identifizieren zu können.

Interessanterweise verpflichtet sich Google in den aktuellen Nutzungsbedingungen^[8] auch nur, die IP-Adresse eines Besuchers nicht mit anderen Daten von Google in Verbindung zu bringen. Über das "utma"-Cookie - und die darin gespeicherte eindeutige Identifikationsnummer oder "unique visitor id" - wird dort jedoch nichts gesagt.

ZDNet: Ein weiterer Kritikpunkt ist doch, dass die Daten nach den Angaben von Google auf Servern von Google und verbundenen Unternehmen ins Ausland übermittelt, dort analysiert und gespeichert werden. Gerade die USA verfügen aus europäischer Sicht aber doch nicht über einen angemessenen gesetzlichen Schutz von Personendaten.

Matthias Ebneter: Das stimmt zwar grundsätzlich. Allerdings geht man davon aus, dass Firmen in den USA, die dem "Safe Harbour^[9]"-Abkommen beigetreten und in der entsprechenden Liste des U.S. Department of Commerce verzeichnet sind, einen angemessenen Schutz bieten. "Safe Harbor" ist eine besondere Datenschutzvereinbarung zwischen der Europäischen Union und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Google ist laut seiner aktuellen Datenschutzerklärung beim "Safe Harbor"-Programm des US-Handelsministeriums registriert.

ZDNet: Ist der Missbrauch nun nur ein rein theoretisches Szenario oder verbirgt sich dahinter eine reale Gefahr?

Matthias Ebneter: Die Diskussionen um Google Analytics gründen zu einem großen Teil auf der potenziellen Missbrauchsgefahr und setzen – wie erwähnt – im Grundsatz voraus, dass es sich bei den über Google Analytics gesammelten Daten um personenbezogene Daten handelt. Ein erhebliches Problem besteht darin, dass Nutzer nicht genügend über die Datenerhebung mit Google Analytics informiert werden.

Jede Person hat gemäß dem Grundrecht auf informationelle Selbstbestimmung^[10] die Befugnis, selbst darüber zu bestimmen, ob und welche persönlichen Informationen über sie gesammelt, verarbeitet, gespeichert und weitergegeben werden. Entsprechend ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das Bundesdatenschutzgesetz^[11] oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Eine vergleichbare Regelung findet sich im Telemediengesetz^[12]. Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist vor der Datenerhebung auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen und die Nutzung der Daten darf nur in dem vom Bundesdatenschutzgesetz und anderen Rechtsvorschriften beschränken Rahmen erfolgen. Unter anderem muss gewährleistet sein, dass der Betroffene seine Rechte wahrnehmen kann.

ZDNet: Das klingt doch machbar. Was muss ein Website-Betreiber beachten, der Google Analytics nutzen will?

Matthias Ebneter: Einer der wesentlichen Grundsätze des Datenschutzes ist, dass personenbezogene Daten nur zu dem Zweck bearbeitet werden dürfen, der bei der Erhebung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Zudem müssen die Erhebung von solchen Daten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar, also transparent sein.

Der Besucher einer mit Google Analytics ausgewerteten Website muss also klar, verständlich und transparent darüber informiert werden, dass über ihn bestimmte Daten erhoben werden und was mit diesen geschieht - und zwar vor der Datenerhebung. Er muss ferner auch die Möglichkeit haben, der Datenerhebung zu widersprechen und eine einmal erteilte Einwilligung jederzeit zu widerrufen. Hinzu kommen die unabdingbaren Rechte des Betroffenen auf Auskunft und auf Berichtigung, Löschung oder Sperrung ihrer personenbezogenen Daten.

ZDNet: Da ja mehrere Parteien mit der Datenerhebung und -auswertung befasst sind, stellt sich doch die Frage, wer letztlich eigentlich dafür verantwortlich ist?

Matthias Ebneter: Als verantwortliche Stelle nach dem Bundesdatenschutzgesetz gilt jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist die verantwortliche Stelle für die Einhaltung der Vorschriften des Bundesdatenschutzgesetz und anderer Vorschriften über den Datenschutz verantwortlich. Damit steht gegenüber dem Besucher einer Website jedenfalls auch der Betreiber in der Pflicht.

In den aktuellen Nutzungsbedingungen überträgt Google den Anwender von Google Analytics sogar vollumfänglich die Pflicht, sämtliche auf die Nutzung von Google Analytics und die Erhebung von Daten über Besucher der Websites anwendbaren Datenschutz- und Persönlichkeitsrechtsbestimmungen einzuhalten. Google sieht sich also selbst nur als Dienstleistungserbringer und damit als "Gehilfe" des Anwenders von Google Analytics. Allerdings dürfte Google für die Datenerhebung mit Google Analytics durch Website-Betreiber zumindest auch verantwortlich sein.

ZDNet: Dieser Verpflichtung sind sich die meisten Betreiber von Websites als Anwender von Google Analytics vermutlich nicht bewusst.

Matthias Ebneter: Website-Betreiber, die Google Analytics nutzen, sollten mindestens die Erklärung gemäß Ziffer 8.1 der aktuellen Nutzungsbedingungen von Google Analytics in die eigene Datenschutzerklärung auf der Website einfügen. Damit wird einem Besucher zumindest transparent gezeigt, dass im Hintergrund Nutzungsdaten gesammelt und an Google Inc. übermittelt werden. Außerdem sollten sie sicherstellen, dass jeder Nutzer über die Datenerhebung mit Google Analytics informiert wird und sich damit einverstanden erklärt – und zwar vor der Datenerhebung.

In der Praxis kann man dies beispielsweise erreichen, indem jeder Besucher die Datenschutzerklärung lesen und durch Anklicken einer Checkbox ausdrücklich bestätigen muss. Ferner sollte der Nutzer die Möglichkeit haben, den Inhalt seiner Einwilligung jederzeit abzurufen und – wenn er das will – zu widerrufen. Detaillierte Vorschriften dazu finden sich auch im Telemediengesetz.

ZDNet: Wie hat so eine Einwilligung auszusehen?

Matthias Ebneter: Gemäß Telemediengesetz kann die Einwilligung elektronisch erklärt werden, wenn der Betreiber der Website sicherstellt, dass der Nutzer seine Einwilligung bewusst - also nach Kenntnisnahme der Datenschutzerklärung - und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und dass der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

ZDNet: Wie sieht das Einholen der Zustimmung des Nutzers dann in der Praxis aus? Ist das etwa durch ein Pop-up zu erreichen, in dem der Nutzer etwas anklicken muss?

Philipp Ebneter: Wenn man es ernst nimmt, muss man jeden Besucher dazu auffordern, die Nutzungsbedingungen beziehungsweise die Datenschutzerklärung der Website zu akzeptieren, zum Beispiel mit einer Checkbox, die man beim ersten Aufruf der Website aktiviert. Realistisch gesehen wird dies aber kaum jemand umsetzen wollen, weil es für die Nutzer – obwohl letztlich zu ihrem Schutz – recht störend wäre. Es ist mir in dieser Form auch noch nirgends begegnet. Eher würde man vermutlich ganz auf den Einsatz von Google Analytics verzichten.

ZDNet: Und wie gehe ich als Website-Betreiber damit um, Besucher zu haben, deren Daten ich auswerten darf, und solche, bei denen dies nicht erlaubt ist?

Philipp Ebneter: Wenn man sich das Beispiel Google Analytics anschaut, wäre es schon möglich, je nach Besuchertyp den Google Code zu aktivieren oder zu deaktivieren. Mir ist aber kein Beispiel bekannt, wo dies tatsächlich angewendet wird. Und zudem wären auch noch ein paar technische Herausforderungen zu lösen.

ZDNet: Wie haben bis jetzt über gewerblich genutzte Sites gesprochen. Wie sieht es bei privat betriebenen Sites aus? Liegt da überhaupt ein berechtigtes Interesse vor, die Daten zu sammeln?

Matthias Ebneter: Die Rechtsfolgen der Erhebung und Verarbeitung von personenbezogene Daten über Besucher einer Website hängen rechtlich betrachtet nicht davon ab, ob die Website gewerblich betrieben wird oder für rein private Zwecke. Auch private Betreiber von Websites, die Google Analytics nutzen wollen, müssen den Datenschutz beachten. Insofern gelten hier dieselben Spielregeln wie bei gewerblich genutzten Websites. Eine Ausnahme kann man sich nur dort vorstellen, wo die Datenerhebung ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Allein schon die Übermittlung von Daten über Besucher an Google Inc. dürfte über eine rein persönliche oder familiäre Nutzung hinausgehen.

ZDNet: Was können Nutzer unternehmen, die möglichst wenig Spuren bei Google Analytics hinterlassen wollen?

Philipp Ebneter: Grundsätzlich sollten diese Nutzer keine personenbezogen Google-Services verwenden, etwa Google Mail. Zudem sollten sie im Internet sehr zurückhaltend mit der Preisgabe persönlicher Informationen sein, sei dies auf Websites, in Foren, Blogs oder auf Social Community Sites. Technische Maßnahmen, um die Übertragung von Daten an Google zu unterbinden, sind meist kompliziert zu bedienen oder hinderlich bei der normalen Nutzung von Internetangeboten. Der einfachste Weg ist der Einsatz der Browsererweiterung Customizegoogle^[14] für Firefox. Dieses Tool ermöglicht es, die Google-Analytics-Cookies mit einem Klick zu blockieren. Auf diese Weise werden zwar nicht weniger Daten übertragen, aber die Erstellung von Langzeitprofilen wird deutlich erschwert.

Im Bemühen um mehr Transparenz hat Google zudem kürzlich ein Dashboard^[15] für die Benutzerkonten eingeführt^[16]. Dort sieht man alle Informationen, die man bei verschiedenen Google-Diensten eingegeben hat und die zu einem Account gespeichert sind. Allerdings^[17] hat man auch dort keine Möglichkeit, seine bei Google Analytics hinterlassenen "Spuren" zu löschen.

URLs in diesem Artikel:
[1] = https://www.datenschutzzentrum.de/tracking/
[2] = http://www.namics.com/
[3] = http://www.rentschpartner.ch/
[4] = http://de.wikipedia.org/wiki/IP-Adresse
[5] = http://de.wikipedia.org/wiki/Network_Address_Translation
[6] = http://de.wikipedia.org/wiki/Cookie
[7] = http://www.zdnet.de/galerie/39197638/google-tools-zum-ausspionieren-des-nutzerverhaltens.htm#sid=41522992
[8] = http://www.google.de/analytics/tos.html
[9] = http://www.de.wikipedia.org/wiki/Safe_Harbour
[10] = http://www.datenschutz.de/recht/grundlagen/
[11] = http://www.zdnet.de/it_business_strategische_planung_was_sich_durch_das_neue_bundesdatenschutzgesetz_aendert_story-11000015-41502020-1.htm
[12] = http://www.gesetze-im-internet.de/tmg/
[13] = http://www.zdnet.de/galerie/41006194/online-nutzer-fuerchten-online-datensammler.htm#sid=41522992
[14] = http://www.zdnet.de/kostenloses_netzwerk_customizegoogle_download-39002345-22058-1.htm
[15] = https://www.google.com/dashboard/
[16] = http://www.zdnet.de/news/digitale_wirtschaft_internet_ebusiness_neuer_google_dienst_hilft_bei_verwaltung_persoenlicher_daten_story-39002364-41522385-1.htm
[17] = http://www.zdnet.de/it_business_bizz_talk_wissen__was_google_weiss_wenigstens_teilweise_story-39002398-41522414-1.htm