Zusammengefasst: Datenschutz-Kritik an Google Analytics

Alexander Dix, Berliner Datenschutzabgeordneter, hat im Gespräch mit Golem.de die juristischen Kritikpunkte an Google Analytics zusammengefasst:

  1. IP-Adressen seien personenbezogene Daten, und dürften daher nicht ohne Erlaubnis der Nutzer an Google USA übertragen werden
  2. Google erstellt mit diesen Daten Nutzerprofile, dagegen müssten die Nutzer nach deutschem Recht eine Widerspruchsmöglichkeit haben

Weiterhin biete Google Analytics auch den Website-Betreibern keine Option die Daten zu löschen – denn die aggregierten Nutzerdaten beinhalten ja auch Informationen über den Betreiber.

Dass Google sich das Recht vorbehalte, die Daten mit denen von Google Mail zusammenzuführen, sieht er als weiteres Problem (Anmerkung: Bei einer Veranstaltung von Google Deutschland wurde mit das ausdrücklich anders berichtet, ich habe aber Googles Datenschutzbestimmungen noch nicht bis zum Ende durchgelesen)

Im Gespräch äußerte er auch datenschutzrechtliche Bedenken bzgl. Facebook-Apps & Cloud-Services, und nennt ausgerechnet StudiVZ als positives Beispiel für gute Datenschutz-Einstellungen (wohlgemerkt).

15 Ergänzungen

  1. Wird nicht sowieso bei jedem HTTP Aufruf die IP mitgeschickt? ;-) Dann müsste man eher das Loggen an sich verbieten!

    Den zweiten Punkt kann ich aber nur nachvollziehen. Ich habe auf einem Online-Shop gesurft, dort ein paar Produkte angesehen und dann auf einer völlig anderen Seite mit Google Ads drauf Werbung für die anderen Produkte angezeigt bekommen.

    1. @Robert

      Was du meinst ist Google Remarketing, also behavioural targeting, es hat nichts mit Analytics zu tun, sondern ist Feature von Google AdWords. Durch ein Code-Snipet wird beim Besuch der Seite ein Cookie gesetzt. Die einzigen Daten von dir, die hier miteinander verknüpft werden sind dein Cookie und die AdWords/AdSense Anzeigen. Einfach mal Cookies bereinigen und schon kriegst du keine solche Werbung mehr angezeigt.

  2. @ Robert (erster Absatz): Bei einer Standard-Webserver-Installation per default ja. ABER dafür gibt es ja auch Gründe. Zum Beispiel die wöchentliche „wer hat wie versucht, mich zu hacken“-Lektüre ;-)

    Wenn ich aber meine Server-Logs nehme, und sie an jemand anderen gebe, dann verstoße ich wohl nach Dix gegen das Gebot des Datenschutzes – und das so zu sehen, hat auch gute Gründe. Vergleiche es mit dem Anrufe-Log deines Mobiltelefons.

    Dazu muss man noch sagen, dass Google Analytics nicht nur IP-Adressen sammelt, sondern auch Nutzungsverhalten (Verweildauer auf der Seite, wohin klickt Nutzer als nächstes, etc.) das ich aus normalen Serverlogs nur deduzieren, aber nicht perfekt erschließen kann (Klick auf einen externen Link wird natürlich in MEINEN Server-Logs nicht registriert – bei GA aber per Javascript protokolliert).

    Disclaimer: Privat bin ich übrigens Analytics-Nutzer :-P

  3. Eine IP-Adresse ist eine kryptische Nummer, mit der eine Einwahl ins Internet gekennzeichnet wird, Punkt. Nur die Netzanbieter könnten anhand der IP eine Person identifizieren. Darum muss die Vorratsdatenspeicherung bei den Netzanbietern unbedingt verhindert werden. Alles andere ist aber ein Kampf gegen Windmühlen. Internet funktioniert nun mal mit IP-Adresse und wer das nicht will, soll offline gehen.

  4. Analytics fingiert ja als Dienstanbieter, deshalb widerspricht es sicher nicht wenn ich dem Dienstanbieter auch die IPs (oder BSpl. Logdateien gebe). Funktioniert ja bei anderen Trackinganbietern auch so.
    Problem ist sicher Punkt 2, das ich bei beenden des Dienstes etc. die Daten nicht mehr löschen kann.

  5. Ich bin schon lange von Google Analytics umgestiegen auf Piwik, bietet fast die gleichen Funktionen aber man hat selbst die Kontrolle über die erfassten Daten.

  6. Aber gibt es Nicht 1000 andere counter Dienste die auch alle die IP speichern bzw. den kompletten Weg über die Unterseiten nach IPs gruppieren?

  7. @Dahaniel:

    Doch, aber keiner kann es so gut mit einem Suchprofil nutzen und keiner wird so viel verwendet, dass eine nahezu lückenlose Nutzerverfolgung über eine Session möglich wäre. Weiterhin sind viele Dienste außerhalb der USA angesiedelt und unterliegen deswegen anderen Datenschutzgesetzen (trotzdem ist das Einverständnis der User eigentlich einzuholen). Da ich die Hinweise auf diese Trackingtools in den Datenschutzhinweisen, sofern überhaupt welche da sind, eigentlich nie finde und man auch nirgends der Verwendung widersprechen kann, geschweige denn vor der eigentlichen Erhebung die Zustimmung verweigern kann, benutze ich dafür ghostery.

    Damit rennt man aber lediglich der Entwicklung hinterher und imho sind diese Tracker mit Trojanern vergleichbar: sie erheben ungefragt personenbezogene Daten und ich muss als User zusehen wie ich mein System dicht bekomme.

    Eigentlich unglaublich, was sich offizielle Unternehmen alles erlauben können. Eine öffentliche Kritik ist das wenigste, was man erwarten kann – ein Verbot wäre der einzig richtige Weg.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.