Google Analytics erhält Caspars Segen

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, teilt heute mit, dass es möglich ist, den Dienst Google Analytics in eine Website zu integrieren, ohne gegen deutsches Datenschutzrecht zu verstoßen.

Wie die dazugehörige Anleitung zeigt, ist das kinderleicht und ohne viel Aufwand erledigt. Man muss einfach nur…

  1. mit Google schriftlich einen Vertrag zur Auftragsdatenverarbeitung abschließen
  2. in einer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und eine Widerspruchsmöglichkeit bieten, vorzugsweise, indem man auf ein Browserplugin verlinkt, das Google Analytics blockiert.
  3. Google Analytics so umstellen, dass es IP-Adressen nur gekürzt speichert. Das geht auch sehr einfach: Man muss nur kurz von Hand den Tracking-Code um die Funktion „_anonymizeIp()“ ergänzen.
  4. seine davor evtl. erhobenen Altdaten löschen, indem man seinen Account kündigt, und dann einen neuen eröffnet.

Schon fertig!

Money Quote: „Insbesondere ist zu berücksichtigen, dass nicht Google, sondern die Websitebetreiber, die das Produkt einsetzen, für den datenschutzgerechten Einsatz verantwortlich sind.“

Man fragt sich wirklich, wie Caspar ein solches Ergebnis seiner 2-jährigen Verhandlungen mit Google als Erfolg verkaufen möchte. Google ist ihm offensichtlich kein Fußbreit entgegengekommen und folgt der Facebook-Taktik, Datenschutz-Einstellungen möglichst so umständlich und unübersichtlich zu gestalten, dass sie niemand nutzt, dabei wäre es problemlos möglich, zumindest den technischen Teil automatisch für deutsche Nutzer umzusetzen.

Aber dann würde die Lösung ja auch tatsächlich von jemandem genutzt werden.

Update: Thomas Stadler hält die Anweisungen der Hamburger Datenschützer obendrein für rechtlich widersprüchlich.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

23 Ergänzungen

    1. Piwik mit GoogleAnalytics (GA) zu vergleichen ist in zweierlei Weise falsch:

      1) Piwik hat nicht annähernd den Funktionsrahmen von GA. Wer nur nachträglich wissen will wieviele Besuche auf der Webseite waren (zB um damit seine Wand zu tapezieren…) der kommt mit Piwik aus. Wer aber spezielle Reports und Aussagen treffen möchte um ein Webangebot (zB Inhalte, deren Auffindbarkeit, Webseiten-Prozesse/Funktionen) zu optimieren, der benötigt weitaus mehr Konifgurationen an den speziellen Reports und Analysen.

      2) Nur weil Piwik OpenSource ist, heisst das nicht, dass es deswegen datenschutzrechtlich „legal“ ist. Man kann Piwik nämlich auch -grade weil es OpenSource ist!- so anpassen und umbiegen, dass es sämtlichen Datenschutz umgeht und die schönsten User Profile erstellt.

    1. Vorschnell den Kommentar geschrieben? Vielleicht erstmal lesen und den dämlichen Kommentar dann korrigieren?

      1. Erst mal alles lesen und dann bitte den Kopf einschalten, wenn möglich. Für Kurz-Denker: Maskierte IP genügt, keine weiteren Schritte notwendig. Lesen heißt verstehen – manchmal zumindest.

      2. Seit wann kümmert sich denn jetzt auf einmal Thomas Stadler um die Datenschutzvorgaben und nicht mehr die Datenschutzbehörden?

        Ich bin ja echt erleichtert, dass sich der Caspar da 2 Jahre mit auseinandersetzt, dann diesen Leitfaden rausbringt, und dann ein „Gedanken Schreiber“ mit Deppen Leerzeichen daher kommt und hier in der Trollgrube die Leute zurechtweist, die das zitieren und kommentieren.

    1. Das Problem ist aber, dass einige Website-Betreiber, die nur eine kleine Website hobbymäßig betreiben, diese Website bei einem Anbieter betreiben, der einem gar keinen Zugriff auf die Server-Struktur lässt. Man kann zwar seine Seite bearbeiten, Piwik kann man darauf aber nicht installieren. Beispiele dafür wären Blogger, 1&1 Homepage, Jimdo, etc.

      Bei diesen Websites hat man nur die Möglichkeit, den Tracking-Code einzubinden. Ohne eigenen Server hilft Piwik da einem also nicht viel.

      1. Solche Leute brauchen auch keine Statistik. Abgesehen davon, dass es im Regelfall eine vom Provider selbst gibt, und wenns nur ein ganz simples Webalizer-Ding ist.

    1. Ich weiß auch nicht, welches Problem dadurch gelöst wurde. Immerhin werden meine persönlichen Daten bzw. mein Surf-Verlauf immer noch an Google überliefert, die sehen immer noch mit, was im im Internet so mache. Die Daten werden ja immer noch an einen Dritten weitergegeben, auch wenn der sie angeblich kürzt, aber dann isses zu spät.

      Und, btw, das Browserplugin gibt’s auch nur für ausgewählte Browser, ich krieg’s bspw. nicht …

      1. Man sollte sich schon mit den Details auseinandersetzen. Die Kürzung findet nicht bei GA statt, sondern bereits im JavaScript auf dem lokalen Rechner des Nutzers, also vor der Übermittlung an Google. Das Problem ist, dass die meisten Betreiber das JavaScript selber noch von GA laden und durch diesen Ladevorgang die vollständige IP doch an GA übermittelt wird. Das kann man natürlich leicht lösen (auf Betreiberseite) indem man das JavaScript lokal cachet oder proxyt (ah, sorry).

  1. Seitwann ist es Gesetzesgrundlage, wenn ein vermeintlicher Datenschützter aus Hamburg seinen Segen erteilt??

    Es soll noch ein sogenanntes Bundesgebiet geben, eine Bundesregierung, einen Bundestag, einen Bundesrat, Gesetzesvorhaben und Gesetzesvorlagen.

    Geht ein Hamburger also hin, teilt fröhlich mit, es ist alles in Ordnung, wenn es nach diesen und jenen Vorgaben gehändelt wird und fertig ist der Lack?

    Wo leben wir eigentlich? Nichts ist in Ordnung, nichts ist Gesetz.

  2. Nachtrag:

    Warum verhandelt eigentlich ZWEI Jahre lang ein deutscher Politiker mit einem Ami-Unternehmen namens Google, wenn doch klar ist, daß deren Praxis in Deutschland grundgesetzwidrig ist?

    Und wer zum Teufel nutzt irgendein Angebot von Google? Sind es, um es zynisch auszudrücken, doch nur diejenigen, die es nicht besser verdient haben (die Vollpfosten)? Wie dem auch sei: Google Analytics handelt wider meines im Grundgesetz verankerten Recht auf informationelle Selbstbestimmung.

    Das diskutiere ich nicht!

      1. @Nachfrage

        Ich liebe so kurze Nachfragen, die nur aus einem Fragezeichen bestehen. Nun gut.

        Eine IP-Nummer kann bis zum Einwahlknoten, also bis zum Wohnort verfolgt werden. Informationelle Selbstbestimmung? Fehlanzeige.

        Rechnerdaten in jeder Hinsicht sind jedem Seitenbetreiber offensichtlich. Selbstbestimmung? Nein!

        Es wird gesendet ohne Ende. Daten meines Rechners, die höchstpersönlich sind. Immer rüber in die USA oder auch gerne an die Werber! Erlaubnis? Nein, warum auch, geht ja „voll locker automatisch“ und wenn nicht, dann werden weitere Tools bemüht. Nein, mein Freund, so nicht!

        Meine 127 Unterlassungsklagen in diesem Jahr sind jedenfalls erfolgreich gewesen. Warum? Weil die Seitenbereiber wissen, daß sie gesetzeswidrig handeln, aber auch deshalb, weil sie kein Geld haben, ihren Mistladen diesbezüglich zu verteidigen. Das schlechte Gewissen ist es jedenfalls nicht, was Seitenbetreiber zum Einlenken bringt. Es ist nur die eiskalte Drohung und das Einschreiben, was sich in kurzer Zeit im Briefkasten befindet. Und das finde ich gut, angemessen und notwendig.

        Jedes Geld geht an Tierschutzorganisationen raus. Dort ist es gut angelegt. Ich bin stolz darauf und freue mich. Die deutsche Justiz kennt Herrn Caspar nicht und möchte ihn auch nicht kennenlernen. Um es mal deutlich zu schreiben: Hamburger haben wir zum Fressen „gerne“.

        In diesem Sinne.

  3. Es ist tatsächlich ein Durchbruch, dass Google Analytics jetzt auch legal – und mit vergleichsweise geringem Modifikationsaufwand – eingesetzt werden kann.
    Fast lächerlich mutet dagegen der „Lagerkampf“ an, der selbst durch diese „Einigung“ scheinbar erneut angefacht worden ist.

    1. Mag sein, daß die Lagerkämpfe nerven, aber ich sehe nur eines, meine Grundrechte. Und die möchte ich gewahrt sehen. Google geht mir sowieso am Rechner vorbei, aber gerade deshalb verbitte ich es mir, daß Seitenbetreiber mit meinen Daten schnackeln. Da geht die Gemeinde auch schnell hin und erstattet Strafanzeige oder läßt abmahnen. Egal, was dabei herumkommt, der Seitenbetreiber hat Stress und schaltet das miese Tool meistens freiwillig ab, um einem weiteren Rechtsstreit aus dem Wege zu gehen. Denn der kostet Geld, Nerven und Zeit.

      Ich habe Geld, Nerven, leider kaum Zeit, dennoch streite ich lustig mit, wenn es darum geht, Seitenbetreibern die Gesetzeslage zu erläutern.

  4. Ps. Und wenn Herr Caspar als gottgleicher Papst irgendeinen Segen erteilt, interessiert es die deutsche Justiz nicht die Bohne.

    Sie urteilt im Sinne des Grundgesetzes. Und das ist auch gut so. Wo kein Kläger, da kein Richter. Es wird also Zeit für ein Grundsatzurteil bis hin zum Bundesverfassungsgericht. Kommt noch. Warteschleife.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.