Ist Google Analytics illegal? Die IP-Nummer und die deutschen Datenschutzbeauftragten
Die ganze Verlogenheit einiger Entwicklungen beim Thema "Datenschutz" wird diese Woche einmal wieder überdeutlich. Während - vorbei an jeder öffentlichen Debatte - Europäische und US-Behörden sich das Recht abnicken lassen, ALLE noch so persönlichen Daten von Banküberweisungen einsehen zu dürfen und jeder Form der Rasterfahndung zu unterziehen, wollen nahezu zeitgleich die Landesdatenschutzbeauftragten ernsthaft beschließen, dass bei einem Besuch einer Website die IP-Nummer des Besuchers nicht gespeichert werden darf. Diese Herren sind im so genannten "Düsseldorfer Kreis" zusammengeschlossen. Der Text der aktuellen Beschlussvorlage des Düsseldorfer Kreises ist hier zu finden.
Als Begründung dafür muss herhalten, dass die IP-Nummer ein "personenbezogenes" Datum sei, das nur mit ausdrücklicher Genehmigung des Nutzers gespeichert werden darf.
Ich würde das mal als ziemlich weit her geholt betrachten, oder - salopper formuliert: selten so gelacht. Dazu einmal ein paar Fakten: IP-Nummern, wie sie die meisten Web-Server ständig in ihre Log-Files schreiben, sind
- nicht einer Person sondern einem Internet-Knoten zugewiesen
- ändern sich bei der überwiegenden Mehrheit der privaten Anschlüsse regelmäßig (werden zufällig neu vergeben)
- werden typischerweise bei mehreren Nutzern in einem Haushalt oder einer Firma gemeinsam genutzt (können also nicht einer Person zugeordnet werden)
Worum es tatsächlich geht, ist dass dieser Gruppe der Landesdatenschutzbeauftragten die Arbeit von Google, speziell auch Google Analytics und ähnlichen Services ein Dorn im Auge ist (aus nachvollziehbaren Gründen, die ich allerdings surreal finde). Indem sie die IP-Nummer als "personenbezogen" deklarieren - was ich für absurd halte und in juristischen Kreisen stark umstritten ist - bauen sie bewusst eine Popanz auf, um ihre Sicht der Dinge ohne tatsächliche gesetzliche Grundlage durchzusetzen.
Alle diejenigen, die sich mit dem wachsenden Erfolg des Unternehmens auf das Feindbild Google eingeschossen haben, und sich nun vielleicht freuen, dass endlich jemand dem "Bösen Google Einhalt gebietet", sollten bedenken:
- Das Vorgehen, das die Datenschutzbeauftragten nun kriminalisieren wollen, ist Grundlage fast aller Analysedienste, die "Besuche" (Visits) auswerten. Das betrifft nicht allein Google Analytics sondern nahezu alle in diesem Umfeld genutzen Systeme - auch die großen kommerziellen Produkte wie Webtrends, Omniture und Konsorten, genauso wie die "kleine" Lösungen á la eTracker und Konsorten.
- Einige dieser Lösungen erlauben es zwar, alternativ mit gekürzten IP-Nummern oder Hashes zu arbeiten. Sobald dabei aber (vor der Kürzung oder ver-hashung), die IP-Nummern in einer Art und Weise verwendet werden, die der Düsseldorfer Kreis für "personenbezogen" hält, ist das nur mit vorheriger, expliziter Zustimmung der Nutzer zulässig. Eine Auswertung, aus welchen Regionen Deutschlands oder der Welt die Besucher kommen, ist damit zum Beispiel quasi illegal. (Dieses Beispiel steht explizit im Entwurf für den Beschluss des Düsseldorfer Kreises.)
- Im Grund muss sich jeder Betreiber eine Website (egal ob er diese Daten mit einem Analytics Package untersucht oder nicht) ansehen, was seine Webserver loggen. Wenn da die IP-Adresse dabei ist, müsste dieser Websitebetreiber in den nächsten Monaten eine Strafbefehl des Landesdatenschutzbeauftragten bekommen.
- Wer meint, diese Einschränkungen ja zur Not mit Hilfe von Cookies umgehen zu können ... lese bitte hier über die aktuellen Bestrebungen auf EU-Ebene, Cookies faktisch zu verbieten.
Zusammengefasst: Worum es dem Düsseldorfer Kreis wirklich geht, ist es, letztendlich jede tiefergehende Analyse zur Gewinnung von Daten über reale Attribute der Besucher sowie die Korrelation von Daten über mehrere Besuche hinweg zu kriminalisieren! Dies wird nur für deutsche Website-Betreiber gelten. US-Websites und Websites in anderen Ländern können selbstverständlich weiterhin solche Analysen durchführen, diese zur Verbesserung ihrer Conversion-Rates nutzen und daraus abgeleitete personalisierte Services für ihre Besucher bieten.
Irrsinn!
