Schon lange wurde in Internetkreisen darüber gemunkelt: Google Analytics widerspricht angeblich dem deutschen Recht, da Benutzer über die IP eindeutig zu identifizieren sind. Diese wird bei Google Analytics gespeichert um das Verhalten der Besucher auf der Webseite zu verfolgen und zu analysieren. Verstößt diese gängige Praxis gegen deutsche Gesetze?
Laut dem Telemediengesetzes (TMG) handelt es sich bei IP-Adresse um so genannten “Personenbezogenen Daten”, die nur mit Zustimmung des Webseitenbesuchers und auch nur unter strengen Auflagen gespeichert werden dürfen. Dies soll vor allem verhindern, dass ausführliche Benutzerprofile erstellt werden können. Übertrieben? Der allgegenwärte Big Brother Google verfügt über eine Vielzahl Services (Google Analytics, Google APIS, Doubleclick, Google Adsense…etc…) bei denen möglicherweise die IP getrackt wird. Schützen kann man sich dagegen nur bedingt (z.B: mit dem Firefox Plugin No-Script) da viele Funktionen ohne den aktiven Javascript Code nicht genutzt werden können. Ein weiterer Kritikpunkt ist, dass die Daten der Webseitenbesucher in den USA landen, wo deutlich schwächere Gesetzte zum Schutz von persönlichen Daten gelten.
Sollte diese Rechtsansicht in der Praxis Bestand haben, hätte dies extrem weitreichende Auswirkungen. So werden die meisten Webseiten im Internet mit Hilfe des Apache Webservers ausgeliefert. In den Log-Dateien finden sich ebenfalls die IP Adressen der Besucher wieder. Nicht nur das Auswerten der Benutzerdaten würde dadurch extrem erschwert, sondern auch viele sicherheitsrelevanten Applikationen dürften fortan nicht mehr benutzt werden. Der Staat würde damit ein IP-Adressen-Kontroll-Monopol bekommen, auch wenn die Daten aus der Vorratsspeicherung bislang noch nicht genutzt werden dürfen. Der unbedarfte Webseitenbetreiber könnte sich schon jetzt strafbar machen.
Es ist aber durchaus möglich, dass sich Webseitenbetreiber demnächst eine Alternative zu Google Analytics (und Adwords und Doubleclick und und und…) suchen müssen. Schwierig, aber nicht unmöglich. So haben einige (deutsche) User der Applikation Piwik , die sich als Open Source Alternative zu Google Analytics versteht, ein Plugin für Piwik entwickelt, welches verhindert, dass die IP-Adressen überhaupt gespeichert werden. Die Identifikation der Besucher ist nämlich theoretisch auch über andere Variablen (Betriebssystem, Sprache, Browser, etc…) möglich. Allerdings befindet sich das Projekt noch in den Kinderschuhen und wird laut Antwort der Hauptentwickler vorerst nicht in den Core von Piwik integriert werden.
Was also tun? Vor allem nicht in Panik verfallen. Die Zeit wird zeigen in wieweit die nun spezifizierten Regeln überhaupt realistisch sind. Aus meiner Perspektive ist ein deutscher Alleingang völlig unakzeptabel und wird sich (in Zeiten der globalen Vernetzung) schnell als Lachnummer herausstellen. Datenschutz – ja – gerne – aber doch nicht auf diese völlig weltfremde Art und Weise.
I’ll keep you posted…
Strategie, 
{ 5 comments… read them below or add one }
Aber warum wird das erst jetzt ein Thema, Analytics gab es doch schon lange?
Was ich viel schlimmer finde, ist die neue Funktion von Google, wo die Personen bezogene webgeschickt gespeichert wird, damit, Google laut eigener ansagen, ein besseres such Ergebnis liefern kann?
Das Größte Problem bei dieser neuer „dienst“ ist das der nutzer MUSS aktiv was tun, sprich er muss dieser dienst auf INAKTIV setzen, um zu vermeiden das Google Ihnen in der Zukunft ein Personen bezogene such Ergebnisse liefert – wenn der nutzer Aktiv was machen mussten um diesen zu aktivieren wäre das OK, aber so wie das jetzt ist, glaube und hoffe ich das die Daten Schützern was gegen dieser dienst unternehmen wird.
Der dienst ist sicher gut für einige läute, die sich nicht mit dem Internet auskenne, aber das läute nicht wissen das dieser dienst im Hintergrund läuft ist meiner Meinung nach ein faules spiel.
Hallo Morton,
vielen Dank für dein Kommentar.
Ich bin auch deiner Meinung, dass hier mit zweierlei Maß gemessen wird, allerdings sehe ich als Webseitenbetreiber auch die praktischen Probleme. Google hat durch seine Größe die Narrenfreiheit einfach jede Funktion in integrieren, während der “kleine” Webseitenbetreiber sich peinlichst genau an die (völlig konfuse und nicht nachvollziehbare) Auslegung von Pseudo-Experten halten muss, die anscheinend noch nie etwas von IPv6 gehört haben. Eigentlich müsste man ja das Internet generell verbieten…
Datenschutz ist sicher wichtig, aber wenn das die Abschaffung des Internets bedeutet (okay zugegeben, das ist etwas übertrieben) – wofür brauchen wir dann noch den (Internet-)Datenschutz? Das Problem wird sich von selber erledigen, wenn deutsche Provider demnächst keine Verbindungen mehr zu Apache-Webserver herstellen dürften (die ja im log-File die IP speichern). Wäre doch in schönes Szenario für die (bisher unbenutzt herumliegende Technik des) Zugangserschwerungsgesetz (http://de.wikipedia.org/wiki/Zugangserschwerungsgesetz).
Uebrigens wenn ich deine Foto sehe, weiss ich wie ich auf deine seite gekommen bist, du hast auf irgend eine blog kommentare abgeben, dein antwort hat mich gefallen deswegen habe ich natürlich deine Seite besucht
Gruss Morten
Dazu fällt einem doch echt nichts mehr ein … aber bevor man nun große Wellen erzeugt sollte man doch erstmal abwarten um zu sehen was da überhaupt bei raus kommt … viel Rauch um nichts und sowas gabs ja schon öfter …
Gruß
jan
Wäre das dann nicht auch die Idee von behavioural marketing? Entweder Datenschutz, oder persönliche, an das Nutzerverhalten angepasste Werbung…
G/ FRiTZ