Google Analytics neuerdings datenschutzkonform?
Der Hamburgische Datenschutzbeauftragte hat heute eine, zumindest für mich, überraschende Pressemitteilung herausggegeben, in der er erklärt, dass Webseitenbetreibern ab sofort ein beanstandungsfreier Einsatz von Google Analytics möglich sei. Parallel hat auch Google Deutschland eine Mitteilung seines betrieblichen Datenschutzbeauftragten dazu veröffentlicht.
Das ist zwar für Nutzer von Google Analytics im Ergebnis erfreulich, zeigt allerdings bei näherer inhaltlicher Betrachtung, dass Deutschland nunmehr endgültig zum datenschutzrechtlichen Schilda geworden ist.
Der Hamburger Datenschutzbeauftragte teilt u.a. mit, dass Google das Verfahren nunmehr dahingehend geändert habe, dass auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Gleichzeitig verlangt er aber, dass der Webseitenbetreiber mit Google einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließen soll.
Diese Ausführungen sind datenschutzrechtlich widersprüchlich und auch widersinnig. Wenn tatsächlich eine Anonymisierung der IP-Adressen der Nutzer vor einer Übermittlung an Google stattfindet, dann bedeutet dies nichts anderes, als dass an Google keine personenbezogenen Daten mehr übermittelt werden.
Damit entfällt aber nach dem Gesetz die Pflicht des § 13 TMG, über die Datenerhebung und -verwendung zu informieren und insoweit dann auch die Notwendigkeit einer Datenschutzerklärung. Eine Vereinbarung über eine Auftragsdatenverarbeitung kann dann ebenfalls nicht mehr geboten sein, weil diese ja gerade eine (externe) Verarbeitung personenbezogener Daten voraussetzt.
Die Forderung nach einer schriftlichen Vereinbarung zwischen dem Webseitenbetreiber und Google i.S.v. § 11 BDSG ist aber auch deshalb fragwürdig, weil die inhaltlichen Anforderungen des § 11 BDSG in dieser Konstellation schwerlich erfüllbar sind. Erforderlich wäre es nämlich, dass Google an die Weisungen des Webseitenbetreibers gebunden ist (§ 11 Abs. 3 BDSG) und, dass Google dem Webseitenbetreiber umfangreiche Prüf- und Kontrollmöglichkeiten einräumt.
Google hält insoweit auch schon eine standardisierte Vereinbarung bereit, die Google sogar unterschreiben und zurückschicken will. Diese Vereinbarung genügt m.E. aber den inhaltlichen Anforderungen des § 11 BDSG, insbesondere, was die Kontrollrechte angeht, nicht. Denn die Kontrollmöglichkeit wird von Google darauf beschränkt, dass der Webseitenbetreiber als Auftraggeber einen Prüfbericht eines Wirtschaftsprüfers einsehen kann.
Auch die Konstruktion erscheint unklar. Offenbar soll diese Vereinbarung nach der Ansicht Googles mit Google Deutschland getroffen werden, während die Datenverarbeitung aber in den USA stattfindet. Die Auftragsdatenverarbeitung in Ländern außerhalb des EWR unterfällt aber letztlich nicht der Vorschrift des § 11 BDSG.
Machen wir es also nicht komplizierter als es ist. Wenn mittels Google Analytics, bei Einsatz des sog. IP-Masking, keine personenbezogenen Daten mehr übermittelt werden – und genau das besagt die Pressemitteilung des Hamburger Datenschutzbeauftragten – dann sind insoweit auch keinerlei datenschutzrechtliche Anforderungen mehr zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG).
Die bayerische Aufsichtsbehörde hat mir übrigens bereits zu Beginn des Jahres, im Rahmen einer Mandatsbearbeitung, mitgteteilt, dass gegen den Einsatz von Google Analytics keine Einwände bestünden, wenn das von Google bereitgestellte Zusatztool zum sog. IP-Masking verwendet und zusätzlich eine ausreichende Datenschutzerklärung vorgehalten wird.
Ergänzend noch ein paar Links zum Thema:
Datenschutztheater (von Kris Köhntopp)
Google Analytics ist amtlich datenschutzkonform (Heise)
Die Diskussion zu meinem Post auf Google+
GOOGLE ANALYTICS IST DATENSCHUTZKONFORM NUTZBAR!? (von Laurent Meister)
Ja, die Bürokratie. In kleinen Dosen ist sie ja durchaus nützlich, ab einer gewissen Größe des Apparates wird es dann zwangsläufig zur Groteske. Du hast wieder ein schönes Beispiel herausgehoben. ;-)
Comment by kopflast — 15.09, 2011 @ 12:52
Bin nicht so tief eingestiegen, aber das Masking ist nur ein Befehl an den Server. Die IP wird an Google -Server auch beim masking übertragen. Erst dann erfolgt die Anonymisierung.
Comment by Christoph Kappes — 15.09, 2011 @ 13:00
Ganz besonders vielen Dank für diesen Beitrag und insbesondere für die letzten beiden Absätze. Dies trägt zumindest zu meiner „Entwirrung“ bei.
Comment by Joerg Hof — 15.09, 2011 @ 13:06
@Christoph Kappes: Das war auch mein bisheriger Kenntnisstand. Der Hamburger Datenschutzbeauftragte sagt aber nun, es würde eine Löschung innerhalb Europas erfolgen. Es stellt sich also die Frage, was Google da verändert haben will.
Comment by Stadler — 15.09, 2011 @ 13:23
@4: Google Analytics überträgt Daten an Google (etwa durch Laden von einem Bild, einem Javascript oder anderem Zeugs). Das bedeutet, daß eine Verbindung vom Browser zu einem Server von Google aufgebaut wird, das ist nicht zu vermeiden.
Dadurch erhält Google auch zwangsläufig Kenntnis von der vollständigen IP-Adresse des Browsers. Das ist auch nicht zu vermeiden: Wenn ich will, daß ein Paket ankommt, muß ich es schon korrekt und vollständig adressieren.
Die Maskierung der IP-Adressen (der fragliche Code im GA Javascript) ist ein Befehl an die Server von Google, diese Informationen in einem weiteren Verarbeitungsschritt (beim Logging oder beim Log Processing) zu verkürzen. Wenn es beim Logging selbst passiert, wird die Information niemals persistent (geht auf keine Platte), wenn es beim Log Processing passiert, wird sie persistent, aber dann im ersten Aggregationsschritt verkürzt. Es ist (mir) unklar, in welcher Phase Google die Verkürzung ausführt.
Wegen http://www.wiwo.de/politik-weltwirtschaft/google-server-in-europa-vor-us-regierung-nicht-sicher-476338/ ist es aber nicht weiter relevant, wann es passiert oder wo sich die Server, die das tun, physikalisch befinden, weil diese Operationen in allen Fällen, in dem es einem betroffenen wichtig wären, auf Anordnung der zuständigen Behörden nicht durchgeführt werden.
Während sich Caspar also vorbildlich um die Verarbeitung meiner IP-Adressen durch Google gekümmert hat, und auch mit der IVM massiv aufgeräumt hat (http://blog.koehntopp.de/archives/3126-IVW-jetzt-datenschutzkonform-Updated.html), ist das Abschnorcheln meiner innerdeutschen Überweisungen durch amerikanische Bedarfsträger weiterhin datenschutzrechtlich unbedenklich und rechtlich nicht zu beanstanden (http://de.wikipedia.org/wiki/SWIFT-Abkommen).
Das ist doch mal eine Ansage von Prioritäten.
Comment by Kristian Köhntopp — 15.09, 2011 @ 13:38
Mullah Weichert scheint sich mit seinen fundamentalistischen Wirtschaftsfeldzügen gegen Google und Facebook nicht durchzusetzen. So wie es aussieht hat Google kein Interesse daran, personenbezogene Daten zu sammeln. Mich würde interessieren, ob irgendjemand ausser des permanenten Verdachts die Spur eines Beweises dazu hat. Die Verhandlungen mit den Amok laufenden, die Bürger verwirrenden Datenschützern sieht nicht danach aus. Die abenteuerlichen Konstruktionen nun, sehen nicht nach klarem und wahrem Rechtsvollzug aus, sondern nach Anarchie, wie wir es vom Datenschutz kennen, die weder die Vereinbarungen EU-USA (Safe Harbor anerkennen) noch die Vereinbarungen vom BMI mit Facebook. Die willkürliche, von Stadler und vielen anderen nicht nachvollziehbare Auslegung von TMG und BDSG ist abenteuerlich. Wenn das durchgeht, wird Mullah Weichert auch Datenschutzvereinbarungen nach §11 BDSG fordern, wenn es elektronisch sein soll, dann auch mit nicht vorhandener Qualsignatur, wenn man einen Like-it-Button einbaut. Bürokratie-Gau at its best.
Ich möchte noch einmal darauf hinweisen, dass der Gesetzgeber in der Abgabenordnung, §146, Abs 2a, einen anderen Duktus verfolgt, als die DSB-Scharlatane vorgaukeln. Dort wurde die elektronische Buchführung erleichtert und die Beschränkung auf EU und EWR fallen gelassen mit Genehmigungsvorbehalt. Man kann seine Buchfürhung weltweit machen, auch mit personenbezogenen Daten nach HGB und AO (Geschäftsbriefe, Belege, etc.).
Zu dem ständig zitierten Patriot Act, der manchen scheinbar den Weltuntergang ahnen lässt, sind zwei Dinge zu ergänzen:
1.) Auch die deutschen Dienste dürfen ohne Benachrichtigung der Betroffenen beliebige Personenbezogene Daten einsehen.
2.) Beim Partiot Act geht es um Terrorismusbekämpfung. 1986 belauschte die NSA völlig rechtswidrig die Datenleitungen der DDR-Aussenbank. Mit Hilfe dieser Daten wurden die libyschen Mörder identifiziert, die 1986 das Restaurant „La Belle“ in Berlin-Friedenau in die Luft sprengten und mehrere Menschen töteten. Mit dem Patriot Act haben die USA nun gesetzliche Grundlagen für die Terrorfahndung geschaffen. Anders als in Deutschland haben sich die Betroffenen ein Auskunftsrecht erstritten. Bei kann man die Dienste nicht befragen, wenn sie in meinen Daten schnüffeln.
Bei mancher Zitierung des Patriot Actes habe ich den Eindruck, dass bei manchen Menschen scheinbar Datenschutz Vorrang haben soll vor Terrorbekämpfung und Schutz des Lebens. Dies würde ich für eine falsche Güterabwägung halten und es eher vorziehen, dass Dienste gesetzlos terroristische Mörder unschädlich machen wie beim La Belle.
Comment by Jan Dark — 15.09, 2011 @ 14:45
‚Die Auftragsdatenverarbeitung in Ländern außerhalb des EWR unterfällt aber letztlich nicht der…‘
unterliegt wäre anstelle unterfällt sicher angebrachter.
Ansonsten ist zu dieser Vereinbarung zu sagen, das es mal wieder typisch deutsch ist:
Erst den großen an die Karre pi..en wollen, und dann den kleinen Webseitenbetreiber die Verpflichtungen aufhalsen!
Da frage ich mich doch allen ernstes, wer mit Analytics die Kohle scheffelt: Google oder wir?
Letzteres denke ich eher weniger!
Comment by Marcus — 15.09, 2011 @ 16:54
Was Kris sagt. Wäre eine Lachnummer, wenn es nicht so traurig wär.
Comment by vera — 15.09, 2011 @ 18:32
@6: der Patriot Act erlaubt seit 10 Jahren Abhören und Ausforschen von Bürgern und die heimliche Durchsuchung von Wohnungen und Geschäftsräumen. Von 2006 bis 2009 sollen auf der Gundlage des Patriot Act 1618 Mal Wohnungen wegen Betäubungsmitteldelikten durchsucht worden sein, 122 Mail wegen Betrug und 15 Mal wegen Terrorismusverdacht. Wer angesichts solcher Zahlen das hohe Lied des Patriot Act singt und Kritikern unterstellt, sie würden dem Datenschutz zuviel und der Terrorismusbekämpfung zu wenig Bedeutung beimessen, muss die eigenen Scheuklappen schon sehr, sehr eng einstellen.
Comment by M. Boettcher — 15.09, 2011 @ 18:41
@9
Ja, das leben kann grauenhaft sein. Aber: es fehlt erstens eine Quelle. Zweitens: das Hohe Lied des Patriot Acts wird wegen Europa gesungen. Das heisst wir sprechen bei den Zahlen über ca. 600 Millionen Menschen und davon keine 2.000 Betroffene in drei Jahren. Auf Basis eines Gesetzes. Und wir haben eine nicht benannte Quelle für Statistiken.
Noch mal: vor dem Patriot Act hat die NSA auch massiv rechtswidrig gelauscht. Echolon ist ein schönes Stichwort. Die Identifizierung der La Belle Mörder nannte ich.
Beim Lauschangriff heisst es bei uns in wikipedia:
„2005 ordneten Gerichte in sieben Verfahren eine akustische Wohnraumüberwachung an, 2006 in drei Fällen, 2007 in zehn Fällen und 2008 in sieben Fällen. Vor 2005 lag die Zahl bei rund 30 Genehmigungen pro Jahr. Den Rückgang hat größtenteils das oben erwähnte Urteil des Bundesverfassungsgerichts zur Eingrenzung des großen Lauschangriffs verursacht.“
http://de.wikipedia.org/wiki/Gro%C3%9Fer_Lauschangriff#Nutzungsh.C3.A4ufigkeit
Wobei der Stern wesentlich höhere Zahlen für 2008 veröffentlichte:
„Die Strafverfolger haben im vergangenen Jahr deutlich mehr Telefone von mutmaßlichen Schwerkriminellen abgehört. Nach einer am Mittwoch vom Bundesamt für Justiz veröffentlichten Übersicht wurden bei 5348 Strafverfahren Telefone von Verdächtigen überwacht. Im Vorjahr waren es 4806 Verfahren. Insgesamt ordneten die Gerichte 16.463 Überwachungen an. “
http://www.stern.de/panorama/lauschangriff-ermittler-hoeren-vermehrt-telefone-ab-1510534.html
Wieviele Zugriffen haben den nun BND, BfV, MAD auf personenbezogene Daten in deutscehn Rechenzentren gemacht, ohen dass die Betroffenen ein Auskunftsrecht gehabt hätten?
Ich halte den ständigen Hinweis auf den Patriot-Act für eine Werbekampagne deutsche Cloud-Anbeieter, der es ohne deutsche zahlen der Dienste an Substanz mangelt. Und das Rechtsproblem, das ein ausländischer Dienst auf deutschem Gebiet sich in einem Gesetz rechte einräumt, scheint mir aufgrund Deiner Zahlen ein kleines. Da ist vom Schadensausmass das deutsche Urheberrecht wesentlich schlimmer, wo unter scheinheiligen Strafanzeigen, Adressdaten für zivilrechtliche Forderungen mit Staatshilfe ausspioniert werden.
Was ist Deine Aussage: Sollen wir den Datenschutz höher priorisieren als den Schutz vor Terror?
Comment by Jan Dark — 15.09, 2011 @ 19:16
Quelle anbei:
http://nymag.com/news/9-11/10th-anniversary/patriot-act/
Comment by M. Boettcher — 15.09, 2011 @ 19:55
@11
„No one has data for any of the graph used.
That’s why the author didn’t include a source.“
Echte Quellen gibt es hier:
http://www.justice.gov/dag/patriotact213report.pdf
Von 2004. Da geht es zum Beispiel um Drogenhandel mit 220 kg Rauschgift.
Organisierte Kriminalität also.
Für das Financial Year 2008 sind es gesamt 1.291:
http://big.assets.huffingtonpost.com/SneakAndPeakReport.pdf
Und Vergleichszahl in Deutschland? Mit richterlicher Anordnung? Ohne richterliche Anordnung? Einsichtnahme von Daten durch Dienste (BND, BfV, MAD)?
Ich glaube, die Zahlen aus den USA, die nach dem Patriot Act ausgewiesen werden sind viel zu niedrig. Mit so wenig Pillepalle wäre die NSA arbeitslos mit geschätzten 38.000 Mitarbeitern.
Comment by Jan Dark — 15.09, 2011 @ 22:11
Ich verstehe den Zusammenhang der hier Kommentare zum Beitrag nicht. Und ich verstand auch das formulierte Problem im Beitrag zu G-Analytics nicht, also den Datenschutzmann. Die Kommentare zumindest aber entwirrten das jetzt. Im Beitrag geht es doch um das Nutzen von Google-Analytics von Webseitenbetreibern. Mich selbst etwa. Und nicht etwa darum, welche Daten bei Google ankommen. Denn bei denen müssen zwangsläufig alle Daten ankommen, denn ansonsten ist es denen nicht möglich Internetkontakte herzustellen – wenn die das nicht könnten, dann gäbe es diese Suchmaschine nicht mehr.
Ich hingegen kann keine IPs sehen. Die sind für mich auch ziemlich uninteressant. Und Goolge bringt es auch der Kritik zu Analytics auf den Punkt: auch wenn niemand Analytics nutzte können die ohnehin alles sehen. Es geht also darum, was ich sehen kann wenn ich den Tracking-Code in meine Seite einbaue. IPs sehe ich nicht. Für mich sind die Netzwerke und die Städteangaben die wichtigste Information (die freilich daraus resultieren). Diese sind aber auch nur mit Erfahrung richtig auszuwerten. Das Maß der richtigen Deutung hängt dann vom Netzwerk des Besuchers ab (sofern das überhaupt zu sehen ist).
Insofern, da die Datenschutzleute auf den Gebrauch abzielen der nicht bei Google, sondern beim einzelnen Nutzer durch den Gebrauch von Analytics passiert, kann ich die ganze Diskussion um die IP-Adressen nicht nachvollziehen: da ist nichts. Das muss auf Missverständnissen beruhen.
Die Sache, wo ich zum Gebrauch von Analytics, und das führt dann wieder zu Missverständnissen, denen bei Google (über das Tool!, also wenn ich das brauche, ansonsten kann ich das ja nicht) mitteilen kann welche Daten von mir wohin geschickt werden (die über das Tool ermittelt werden), betrifft also nicht das was bei mir ankommt, sondern was von mir bei anderen ankommt, und meint auch nicht Google als Dienstleistende Suchmaschine an sich, sondern die mit diesem Tool verbundenen Daten die ansonsten weitergegeben werden. Und auch die sehen meine IP wiederum auf keine Fall. Ich kann für Google an sich nicht meine Daten unterbinden, dann reißt die Verbindung zu denen ab. Das kann aber sonst auch niemand, egal welchen Dienst wer benutzt. Außer jetzt man geht ganz andere Wege, die gibt es natürlich, aber das hat mit Analytcs nichts mehr zu tun.
Comment by Michael Pliester — 16.09, 2011 @ 00:28
Die „Anonymisierung“ der IP-Adresse findet erst NACH der Übermittlung statt (aber Google verspricht, dass sie vor der endgültigen Speicherung stattfindet). Ausserdem werden neben der IP-Adresse noch eine ganze Reihe weiterer Daten übermittelt (man sollte sich nicht nur auf die IP-Adresse fixieren, als Illustration siehe Panopticlick).
Das liegt am verwendeten technischen Prinzip, Goggle Analytics clientseitig über ein JavaScript einzubinden.
Um die übermittelten Daten vor Übermittlung filtern zu können, müßte stattdessen der Webserver Google Analytics aufrufen (über ein serverseitiges Skript, z.B. in PHP). Das sieht Google Analytics AFAIK aber nicht vor.
Comment by Anonymous — 16.09, 2011 @ 08:44
Auch wenn die Anonymisierung nachträglich erfolgt, so soll sie doch in Europa stattfinden, also vor einer Übermittlung in die USA, und auch vor einer (endgültigen) Speicherung. Abgesehen von der Frage, ob das technisch ohne erheblichen Zusatzaufwand machbar ist, verbleibt die Frage, welche Auftragsdatenverarbeitung vor diesem Hintergrund dann überhaupt noch stattfindet.
Egal wie man es dreht oder wendet, die Position des Hamburger Datenschutzbeauftragten bleibt inkonsistent.
Comment by Stadler — 16.09, 2011 @ 09:56
„Egal wie man es dreht oder wendet, die Position des Hamburger Datenschutzbeauftragten bleibt inkonsistent.“
Es ist einem normalen Bürger nicht mehr vermittelbar, dass man erst die IP-Adresse „anonymisiert“ (also jedweden Personenbezug, wenn er denn überhaupt je bestanden hat, was für die Mehrzahl der Fälle nicht gilt) und dann sagt, dass für die Daten ohne Personenbezug eine Vereinbarung nach §11 BDSG (Auftragsdatenverarbeitung Personendaten) geschlossen werden soll.
Es verdichtet sich der Eindruck, dass unsere 17 Datenschützer immer mehr der Realität fliehen und man Angst um ihre seelische Gesundheit haben muss. Siehe auch die Diskussion um den Bericht des sachsen-anhaltinischen Datenschutzbeauftragen bei Heise:
http://www.heise.de/newsticker/meldung/Datenschutzbeauftragter-warnt-vor-neuen-Gefahren-durch-das-Internet-1342685.html
http://www.heise.de/newsticker/foren/S-Verblueffend/forum-209558/msg-20785603/read/showthread-1/
Auch meine Aussage, dass hinter Mullah Weichert weder Richter noch Parlamentarier stehen wurde heute erhärtet:
http://www.shz.de/nachrichten/top-thema/article/111/landtag-rechnet-nicht-mit-klagen.html
„Ein Datenschützer soll beraten, nicht bestrafen. Gegen Thilo Weichert hagelte es Kritik im Landtag. Dort wurde sein Vorgehen gegen Facebook-Dienste debattiert.“
http://akdigitalegesellschaft.de/2011/Facebook+DatenschutzMedienkompetenzundTransparenzschtzendieNutzer/
Ich denke, wir werden nicht umhin kommen, die derzeitigen 17 Datenschützer zu evaluieren, den Datenschutz von Scratch neu gesetzlich aufbauen und endlich einen effektiven und effizienten Datenschutz aufzubauen.
Die Nebelbomben hinsichtlich des Partiots-Act durch die deutsche Cloud-Anbieter-Industrie sind nur noch peinlich, wenn man sich den versagenden Datenschutz in Sachsen ansieht: Gestern die Rcihterschelte in Sachsen (durch die gleichen Personen, die eine klare Aufklärung der Nuttenkorruption der sächsischen Justiz und Polizei beim Freificken für Beamte im Leipziger Rathaus verhindert haben.
Heute dann möglicherweise rechtswidrige Belauschung von demonstrierenden Bürgern durch das Bundesamt für Verfassungsschutz mit IMSI-Catchern, die ob ihrer Verdeckt nicht in die öffentliche Statistik eingehen sollte (wie sie beim Patriot Act wenigstes schameshalber für einen Bruchteil gibt):
https://www.taz.de/Handyaffaere-geht-weiter/!78238/
„Neues in der Dresdner Handyaffäre: Es gibt Hinweise darauf, dass auch der Verfassungsschutz an der Überwachung während der Nazi-Demonstration beteiligt war.“
Bedenkt man die Sturheit des Hern Schäuble trotz Problemen beim NPD-Verbot IMs des BfV in der NPD auf Staatskosten zu belassen, taucht die Frage auf, auf welcher Seite die BfV-MAs geIMSIt haben: für den Staat oder die Nazis?
Comment by Jan Dark — 16.09, 2011 @ 19:57
GA bekommt die vollständigen IPs übermittelt – die als personenbezogen gewertet werden – und verarbeitet sie. Als erster Verarbeitungsschritt findet die Maskierung statt. Für wen werden die Daten verarbeitet? Für den Webseitenbetreiber, der sich statistische Erkenntnisse aus den Daten erhofft. Also ganz klarer Fall von Auftragsdatenverarbeitung. QED.
Comment by ein Mensch — 16.09, 2011 @ 20:45
@ein Mensch: Wer oder was ist denn GA? Ein Dienst der Google Inc. Siehe die TOS. Bei der Google Inc. kommen aber keine personenbezogenen Daten mehr an. Ergo liegt auch kein Fall von § 11 BDSG vor.
Comment by Stadler — 16.09, 2011 @ 20:53
Im Prinzip jain. Ich habe mir eben den Code auf gulli.com angeschaut, wie dort GA eingebunden ist. Dort wird u.a. ein JavaScript mit folgender URL geladen:
http://www.google-analytics.com/ga.js
Meine vollständige unmaskierte IP wird also zwangsläufig, ohne dass Google verhindern kann, an den Server übermittelt, der sich hinter der http://www.google-analytics.com verbirgt.
Die URL wird von meinem Standort innerhalb D auf eine der IPs 74.125.77.101, .102, oder .100 aufgelöst. Diese IPs sind bei ARIN auf Google, Inc. (USA) registriert.
Nun wird es kompliziert. Ein traceroute zu der 74.125.77.101 zeigt nämlich, dass die Pakete von der DTAG anscheinend direkt ins google Netz gehen:
…
b-ea6-i.B.DE.NET.DTAG.DE (62.154.47.69)
194.25.211.30
209.85.249.182
Das Netz 194.25.211.30/24 ist beim RIPE auf die DTAG (D) registriert. Das Netz 209.85.128.0/24 ist bei ARIN auf Google, Inc. (USA) registriert.
Wo sich die entsprechenden Router wirklich physikalisch befinden, kann ich leider nicht herausfinden und auch nicht anhand der Paketroute erraten. Die Datenverarbeitung kann also bei Google (EU) oder Google (USA) sein.
Comment by ein Mensch — 16.09, 2011 @ 21:28
Nachtrag: gulli.com könnte z.B. das JavaScript auf der gulli.com Seite selbst hinterlegen, bzw. über den eigenen Server per Proxy an google-analytics.com durchreichen, anstatt es direkt von google-analytics.com zu laden.
Dann könnte das JavaScript maskieren, ohne dass meine IP übermittelt wird.
Comment by ein Mensch — 16.09, 2011 @ 21:32
Noch ein Nachtrag: Ich habe mir den Spass gemacht, zu schauen, wie google-analytics.com von verschiedenen DNS Servern aufgelöst wird. Spannenderweise lösen US-basierte DNS Server den Namen tatsächlich auf ganz andere IPs auf, als der von mir verwendete Server. Ebenfalls spannend ist, dass so mancher australische DNS ebenfalls die oben angegebenen IPs herausbekommt. Zwei weitere in D lokalisierte DNS bekommen aber wieder ganz andere IPs heraus, nämlich aus dem Netz 173.194.32.0/xx, für das das oben gesagte allerdings genauso gilt.
Daraus schliesse ich nun, dass der Ort an den meine IP übermittelt wird, auch von dem von mir verwendeten DNS Server abhängt. Damit ist vollkommen unkalkulierbar, wo die Datenverarbeitung am Ende stattfindet.
Comment by ein Mensch — 16.09, 2011 @ 21:49
Diese Diskussion um Google und Facebook wird immer entarteter. Das formale Recht führt bei seiner Materialisierung, dass der Bürger immer weiter durch die Datenschützer verunsichert wird. Zudem wird eine Diskussion geführt, dass irgendwas schädlich sein könnte, aber kein Schaden benannt. Absurd. Das wurde letzte Woche auch auf bei der Heinricht-Böll-Stiftung diskutiert:
Open or walled gardens
http://www.youtube.com/cp/vjVQa1PpcFNUJo_8b1e5RJXtPB52FX-YFyyYGbK826M=
Die Arroganz, die dort von ULD-Mitarbeiter Jan Schallaböck zum Ausdruck gebracht wird,
ist weder demokratisch (eine Behörde wie das ULD bestimmt wie im Sozialismus was die 20 Mio
Facebook Benutzer glücklich machen soll, ohne dass die Nutzer gefragt würden, wie es nach den
datenschutzrechtlichen Bestimmungen des TMG die Sitte wäre) noch wird sie von Justiz und Parlamenten getragen.
http://www.heise.de/newsticker/foren/S-Hinter-Mullah-Weichert-steht-kein-Richter-und-kein-Parlamentarier/forum-209716/msg-20798297/read/
http://www.heise.de/newsticker/meldung/Politiker-kritisieren-Datenschuetzer-Haltung-zu-Facebook-1344525.html
Dieser Dschihad gegen Google und Facebook wird in sich zusammenklappen
Comment by Jan Dark — 17.09, 2011 @ 18:32
Das IP Masking Tool verhindert eben nicht die Übertragung der vollst. IP-Adresse im Vorfeld:
vgl. http://www.datenschutz.rlp.de/downloads/vortraege/20110128_-_Eiermann_-_EUDSTag_-_Profilneurosen.pdf
Comment by Dr. Christoph Ohrmann — 18.09, 2011 @ 18:39
@Dr. Christoph Ohrmann
Der DSB RLP geht rechtsfehlerhaft davon aus, dass alle IP-Adressen personenbezogen seien. Damit blendet er die Realität in großen Bereichen aus. Surfer hinter Proxies (wie in allen mittleren und großen Betrieben und Behörden)sind anhand der IP-Adresse nicht indentifizierbar. Gleiches gilt für Surfer hinter Routern, die in Wohnungen mehrere Personen in einer IP-Adresse bündeln. Einige Gerichte haben die Identifizierbarkeit über die IP-Adresse bestritten. Der BGH hat deshalb extra die Störerhaftung erfunden wegen der mangelnden Identifizierbarkeit.
Derzeit sieht es nicht so aus, dass von Justiz und Politik die Interpretationen der DSB nicht mitgetragen werden. Womöglich werden deshalb wegen der absurden Extremisteninterpretationen der DSBs Erheblichkeitsschwellen zur Auftragsdatenverarbeitung eingezogen werden, damit nicht weiter durch DSBs Bürger mit Bußgelddrohungen von 50.000 € erpresst werden.
Zudem wird man bei der Bestallung der DSB eine Sachkundeprüfung einziehen müssen, um nicht weiter so erratische Behauptungen wie den IP-Adressen in Umlauf zu bringen und die Bürger vor mangelhafter Sachkunde zu schützen.
Comment by Jan Dark — 18.09, 2011 @ 20:27
@Stadler & @all:
„Auch wenn die Anonymisierung nachträglich erfolgt, so soll sie doch in Europa stattfinden, also vor einer Übermittlung in die USA, und auch vor einer (endgültigen) Speicherung. Abgesehen von der Frage, ob das technisch ohne erheblichen Zusatzaufwand machbar ist, verbleibt die Frage, welche Auftragsdatenverarbeitung vor diesem Hintergrund dann überhaupt noch stattfindet. “
Ich würde sagen, das (die Serverseitige Anonymisierung) ist schon sehr sehr lange Stand der Technik und kaum irgendwelcher nennenswerter Aufwand.
Nehmen wir mal WordPress als Beispiel:
Das neue Passwort eines Admins wird bei der Installation als Klartext an den Server übermittelt, aber anders als viele denken, nicht gleich gespeichert, denn vorher durchläuft es die Verschlüsselungsroutine mit „Salz und Pfeffer“ und erst das verschlüsselte Passwort kommt in die Datenbank.
Wo blieb der Klartext? Im Cache vom Programm, genauer gesagt in einer Variablen die nach Beendigung des Programms im Äther verschwindet oder im Null-Device http://de.wikipedia.org/wiki//dev/null
Google bekommt also die IP aber „sieht“ sie nicht, weil Server keine Augen haben und auch der Google-Mitarbeiter der vielleicht an einer Konsole sitzt, „sieht“ keine IP, sondern das Programm bekommt die IP, macht daraus einen unique-Key oder einen einfacheren Hashwert und speichert diesen dann in der Datenbank. Nebenbei wird noch die Lokalisierung abgeglichen, also woher aus welchem Land kam die IP.
Die ganze IP selbst landet nie in irgendeiner Datenbank, sie ist nur kurz im flüchtigen Speicher vorhanden.
Wir machen das bei unseren Portalen ebenso, IPs werden nie im Klartext gespeichert sondern grundsätzlich anonymisiert. Man kann aus dem verschlüsselten Code nicht die IP zurück entschlüsseln, das ist eine Einweg-Verschlüsselung.
Nur Hacker die den Server hacken und direkt an das Programm kommen und es verändern können, die könnten in dem Fall dass sie die Usereingabe und Verschlüsselung in akzeptabler Zeit finden würden (gute Dokumentation und logischer Aufbau vorausgesetzt), eine Zwischenfunktion einbauen die eine IP schon bei der Eingangs-Variablen mit Klartext abfangen würde und z.B. als Textdatei abrufbar irgendwo auf dem Server speichern oder gleich per Email an den Hacker versenden.
Wie kann dann Google Analytics trotzdem noch sinnvoll Statistik betreiben?
Ganz einfach: Die Einwegverschlüsselung funktioniert ganz gut in eine Richtung, also jedesmal wenn die gleiche IP bei Google landet, wird der gleiche „anonyme“ Code erzeugt und der wird mit der Datenbank verglichen. So weiß Google zwar immer noch nichts von der IP aber kann eine Statistik darüber führen, wie oft jener Code in der Datenbank aktualisiert wurde.
Natürlich ist die Sache erheblich komplexer für die Statistik-Auswertung aber im Prinzip ist es eine einfach Sache.
Und da sich die Datenschützer auf die IP festgebissen haben, die IP ist nicht so wichtig wie man sich nun vorstellen kann, lediglich die GEO-Lokalisation funktioniert darüber ganz gut (das wird für die Werbeeinblendungen vorwiegend verwendet, z.B. wenn man auf amerikanischen Seiten trotzdem deutsche Werbung sieht), noch etwas zu Cookies und Javascript:
Natürlich wird Google zumindest ein Cookie setzen, um „Wiederkehrende Besucher“ und „Echte Besucher“ von Clicks unterscheiden zu können und „Verweildauer“ messen zu können. Und sicher wird auch mit Javascript alles Mögliche was der Browser hergibt, ausgelesen und für die Statistik verwendet, denn erst damit erkennt man nicht nur den Router hinter dem vielleicht 20 PCs stecken sondern tatsächlich den einzelnen PC selbst.
Und mit den individuellen Profileinstellungen in den Betriebssystemen und Browsern ist es eventuell sogar möglich, den tatsächlich angemeldeten User am PC wieder zu erkennen.
Besser gehts kaum.
Erinnert an Hase und Igel? :-)
@16 „Es ist einem normalen Bürger nicht mehr vermittelbar, dass man erst die IP-Adresse “anonymisiert” “
Ein normaler Bürger kann auch mit einer „Vollumfänglichen Datenschutzerklärung“ absolut nichts anfangen, selbst viele Programmierer die nicht selbst in dem Gebiet extrem fit sind, können nicht alle Aspekte verstehen.
@14 „Die “Anonymisierung” der IP-Adresse findet erst NACH der Übermittlung statt (aber Google verspricht, dass sie vor der endgültigen Speicherung stattfindet).“
Ja und das muss so sein, weil Javascript selbst die IP gar nicht übermittelt sondern der Browser bzw. das Betriebssystem und Javascript auf dem jeweiligen Computer des Besuchers (Client) abläuft und somit mit einigem Programmierwissen zur Laufzeit verändert werden kann. Erst das serverseitige Programm ist vor Zugriff geschützt (solange Anonymus die Finger davon lässt :-) ) und nur diese Methode schützt vor Klickbetrug. Klickbetrug ist nämlich ein altes und sehr beliebtes Spiel um die angeblichen Besucherzahlen in die Höhe zu treiben und die Werbekunden damit abzocken zu können.
Und anders als „nach“ der Übermittlung geht es auch gar nicht, weil der Google Sever in jedem Fall angerufen wird, also immer die IP bekommt. Javascript hat damit nichts zu tun.
Man muss Google glauben, dass sie vor der Speicherung die Anonymisierung durchführen, ansonsten könnten sich Probleme ergeben die wir lieber nicht hätten und den Datenschutz völlig absurd ins Verkehrte drehen würde.
Kurzum, für den echten Datenschutz hat es vermutlich nichts gebracht, aber es wurde was gemacht und fast alle sind zufrieden.
Auf die Idee, dass Scriptblocker oder Javascript im Browser abschalten wesentlich effektiver sind, kommen scheinbar manche Fachleute nicht. Ledigliche das Pixelbildchen ist dann noch ein Problem, aber das ist in Google Analytics nicht drin.
Aber selbst dagegen gibt es Blocker, und zwar schon seit langem, sie nannten sich bisher Ad-Blocker.
Würde man die maroden deutsche Gesetze einhalten müssen, müssten wir das Internet abschalten und was neues erfinden.
Das traut sich aber keiner zu sagen, weil es politisch unbequem ist.
Comment by Frank — 19.09, 2011 @ 13:45
@ ein Mensch
„GA bekommt die vollständigen IPs übermittelt – die als personenbezogen gewertet werden – und verarbeitet sie. Als erster Verarbeitungsschritt findet die Maskierung statt. Für wen werden die Daten verarbeitet? Für den Webseitenbetreiber, der sich statistische Erkenntnisse aus den Daten erhofft. Also ganz klarer Fall von Auftragsdatenverarbeitung. QED.“
Das Internet hat es mit dem TCP/IP Protokoll so mit sich, dass IPs übermittelt werden und daran wird sich so schnell nichts ändern, wenn überhaupt jemals, denn fast die ganze Internet-Welt funktioniert so.
Um zu wissen ob es sich bei der IP-Übermittlung um eine Auftragsdatenverarbeitung handelt, müsste man zuerst wissen, was mit diesem Begriff im Sinne des Gesetzes gemeint ist.
Eine Datenverarbeitung im Auftrag des Webseitenbetreibers ist es in jedem Fall, aber…
„“Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag”
…es werden keine personenbezogene Daten erhoben, denn zur Erhebung müsste die IP irgendwo gespeichert sein (sofern eine IP ein personenbezogenes Datum ist).
Wenn keine personenbezogenen Daten gespeichert werden, können sie auch nicht verarbeitet werden.
Wo nichts personenbezogenes Vearbeitet wird, kann es auch nicht genutzt werden.
Und die anonyme Verabeitung und Nutzung ist mit dem Begriff „Auftragsdatenverarbeitung“ nicht gemeint.
Ganz anders bei Facebook, wenn dort ein User erlaubt, dass Facebook sich über die „Freunde finden“-Funktionen zum Beispiel der Email-Adressen des eigenen Email-Accounts bemächtigt und die Email-Adressen der „Freunde“ ausliest und in Facebook speichert.
Auch Skype ist meiner Ansicht nach nicht besser und viele andere Social-Media Dinge, ganz zu schweigen von den aufkommenden Clouds.
Wer von Datenschutz redet, sollte wissen wovon er spricht. Dummerweise (oder weil sie es nicht besser konnten) haben sich die Datenschützer auf Google-Analytics und die unumgängliche IP eingeschossen, dabei sind die echten Probleme schon lange ganz woanders.
Das ist nicht nur Hase und Igel rennen sondern (Hase+Igel)² .
Comment by Frank — 19.09, 2011 @ 14:07
Seit der Pressemitteilung vom 15.09., wurde diese mit unzähligen Blogposts, Kommentaren, Tweets etc. sehr positiv aufgenommen. Die Diskussion ist damit für die meisten vom Tisch, was sehr schade ist.
Alle sprachen immer von dem Schutz der Daten der Websitebesucher, IP-Masking, Zusammenführung zu einem personenbezogenem Profil, etc…
Aber, was mich und was viele Website-Betreiber noch mehr interessieren sollte, wie sieht es für mich als Betreiber einer Seite aus? Google ist mein Hauptlieferant, was Werbung betrifft…und eben diesem eröffne ich meine kompletten Geschäftszahlen…Was war Googles Geschäftsmodell doch gleich? Ich glaub für den Einzelnen ist diese Fragestellung irrelevant, zusammengenommen erklärt es Googles Erfolgsstory.
Aber genug der Hetze :)
Zum Schluss noch vielen Dank, die in diesem Blog steckt.
Grüße aus dem Internet
Comment by Anonymous — 19.09, 2011 @ 16:43
Die Landesdatenschützer wollten das Thema denke ich endlich zu den Akten legen. Es gibt weitaus wichtigere Datenschutz-Themen, als die Personbeziehbarkeit von IP-Adressen. Und die ganze Cookie-Diskussion steht ja noch aus.
@Anonymous: du musst ja keine Google Analytics verwenden – es gibt genügend andere Tools, über die Google *keine* Websitedaten erhält. Für Websitebetreiber ist es schon interessant, dass sie sich bei der Verwendung von Google Analytics nicht mehr in einer rechtlichen Grauzone bewegen.
Comment by Markus Vollmert — 19.09, 2011 @ 17:25
@18/Stadler:
Die Google Inc. kann die IP-Adresse im Auftrag eines Website-Betreibers in Deutschland bzw. in der EU anonymisieren und sich dann den anonymisierten Teil in die USA weiterleiten.
Die Auftragsdatenverarbeitung (§11) wird über § 3 Nr. 8 privilegiert. So ist der Auftragnehmer kein Dritter und es muss keine Übermittlung gerechtfertigt werden – soweit die Verarbeitung im Inland stattfindet. Es ist also egal, ob die Google Inc. in den USA ihren Sitz hat oder nicht, wenn die Verarbeitung in der EU stattfindet, kann auch die Google Inc. wirksam per ADV Verarbeitungsschritte durchführen.
Da es technisch – wie die anderen Kommentare auch schon sagen – im derzeitigen Modell von Google Analytics überhaupt nicht anders möglich ist, als dass Google durch dem Browser des Nutzers dessen volle IP-Adresse bekommt, ist eine ADV daher auch nicht so abwegig.
Auch wenn die IP vor einer Speicherung auf dem Google Server anonymisiert wird, ist dieser Schritt eine Verarbeitung personenbezogener Daten (wenn man die IP als solche wertet, was im Falle von Google und in Verbindung mit den anderen Daten, die im HTTP-Protokoll so übertragen werden, gar nicht mal so falsch klingt).
Ein Punkt, der mich an der ADV stört ist der, dass die IP nur „in der Regel“ in der EU anonymisiert werden soll. So (oder so ähnlich) steht es nämlich in der ADV.
Comment by Alex — 3.10, 2011 @ 11:45
I think this is one of the most important information
for me. And i’m glad reading your article. But want to remark on few general things, The web site style
is great, the articles is really excellent : D. Good job,
cheers
Comment by dogs pictures — 27.02, 2014 @ 15:31