Home · Impressum

Google Analytics und der Datenschutz


Mit Google-Analytics wird eine Dienstleistung von Google bezeichnet mit der Besucherzahlen statistisch erfasst werden können. Auch für diese Seite ist ein Tool im Einsatz und das heißt AwStats. Und im folgenden geht es einfach um die Frage: Was können solche Systeme leisten bzw. was sollen sie leisten und wie arbeiten diese.

Was sollen Auswertesysteme für Webseiten nicht leisten?

Beginnen wir einmal mit der nichterwünschten Leistung um diese besser abgrenzen zu können von der erwünschten. Es ist weder erwünscht noch beabsichtigt aus der Tatsache heraus, dass Sie lieber Besucher bei mir als “Erwin Müller” oder wie auch immer bekannt werden und dass ich Ihnen irgendwann zusätzliche Werbung sende oder wenn Sie außerhalb meines Wirkbereichs wohnen einem Kollegen in Ihrer Nähe einen Tip und Ihre Adresse.

So etwas wäre nur möglich wenn es mir entweder gelänge, auf Grund Ihrer IP-Adresse bei Ihrem Provider anzufragen und wenn dieser mir Ihre Adresse vermitteln würde oder aber wenn Sie zum Beipsiel das Kontaktformular ausfüllen würden und mir eine Nachricht zusenden würden, wenn diese darüber hinaus noch eine gültige E-Mail-Adresse enthielte und sie dann auch noch antworten würden.

Fazit: Eine IP, die einem Server übermittelt wird, die besagt nur eines. Sie enthält die Information darüber an welchen Client die dann folgende Seite auszuliefern ist. Sie enthält keine Information darüber wer vor dem Rechner sitzt.

Nur zwei Personen können diese Beziehung herstellen und das sind

  1. Ihr Provider
  2. Sie selbst

Wann Ihr Provider die Daten weitergeben kann und darf das ist Bestandteil des Vertrages mit Ihrem Provider. Und ob Sie diese Anonymität durchbrechen wollen nun das ist Ihre private Entscheidung.

Die Anonymität eines Besuchers kann und soll auch nicht zerbrochen werden durch Besucherzählsysteme. Das war nie ihre Aufgabe, das ist sie nicht und das wird sie auch nie sein.

Was sollen diese Auswertesysteme leisten?

Folgende Aufgabengebiete sind hier klar zu nennen:

  1. Es sollen statistische Zahlen ermittelt werden über Besucherzahl, Seiten pro Besucher und durchschnittliche Verweilzeiten.
  2. Bei unterschiedlichen Technologien – eine Information wird als Flash-Film eingestellt und die andere als reiner Text – möchte man etwas wissen darüber was in welchem Umfang akzeptiert ist.
  3. Durch Nachstellen eines einzelnen Besuchers – Der Besucher hat und behält den Namen 12.15.46.125, eine Zuweisung zu “Erwin Müller” ist in dem Fall ausgeschlossen! – möchte man wissen ob dieser auf Grund seines Suchbegriffes auf der richtigen Seite war und die entsprechenden Informationen auch gefunden hat.
  4. Falls irgenwo ein Script oder ein Server durchdreht, dann möchte man das Problem schnell lokalisieren und den Verantwortlichen Ansprechen können.

Fazit: Diese Auswertesysteme sollen unter Bewahrung der Besucheranonymität zu einer statistischen Seitenbewertung führen, die es ermöglicht, die Nachfrage – was suchen Sie eigentlich auf dieser Seite – zu ergründen, die Seitenqualität zu verbessern und im Falle eines technischen Problems auch eingreifen zu können.

Was haben diese Auswertesysteme mit dem Datenschutz zu tun.

Bis vor kurzem war das alles eigentlich gar kein Problem. Doch es gab vor kurzem einen Vorfall nach dem jemand eine Webseite des Bundeskriminalamtes mehrfach besuchte und sich über ein Fahndungsplakat informierte. Die Beamten ermittelten beim Provider die IP und haben den Betroffenen gefragt und das führte zu einer gerichtlichen Auseinandersetzung mit der anschließenden Beurteilung, dass diese IPs nun als personenbezogene Daten einzustufen sind, eben weil die besagte Zusammenführung offenbar doch möglich ist. Diese Entscheidung ist eine Amtsgerichtsentscheidung, wobei anzunehmen ist, dass diese fachlich und inhaltlich in den nächsten Wochen und Monaten noch ausgefüllt wird durch weitere Gerichtsentscheidungen – oder was viel besser wäre – durch ein klarstellendes Gesetz.

AwStats benötigt zur Zeit noch die IPs in den Logfiles, zeigt aber in den Auswertungen bereits nur noch die Hostnames an und diese sind nur in wenigen Fällen noch personenbezogene Daten. Ein kompletter Verzicht auf die IPs ist zwar möglich aber programmiertechnisch keineswegs trivial. Der ideal-theoretische Ansatz zur zeitgleichen Hasch-Verschlüsselung der Zugriffsdaten würde von der Rechenzeit her praktisch jeden Server bei mittlerer Belastung lahm legen.

Es kommt hinzu, dass dieses hier genannte Problem zunächst einmal nur ein rein deutsches Problem ist und demzufolge der Entwicklungsdruck für diese Auswertesysteme auf internationaler Ebene nicht vorhanden ist. Die realitätsnahe Lösung ist das AAL-Prinzip (Aufzeichnen-Auswerten-Löschen) und das praktiziere ich eben hier.

Der Unterschied zwischen Google-Analytics und AwStats

Ich habe Google-Analytics einmal in meinem privaten Blog in der Webseite installiert und ein paar Erfahrungen machen können mit beidem.

AwStats ist eine Software, die auf dem Server installiert ist und die Serverlogdateien auswertet. Das bedeutet: Ich bekomme Informationen darüber, wie oft eine Seite an welche IP gesendet wurde.

Google-Analytics ist eine Software, die als Java-Script in eine Webseite integriert wird und als Code auf dem Browser des Besuchers ausgeführt wird. Mit diesem Code meldet IHR Browser eben Google die Daten, des benötigt werden, um die Google-Analytics-Auswertung durchzuführen.

Das führt zu signifikanten Unterschieden in der Auswertung. Eine google-fremde Suchmaschine zum Beispiel, die meine Seite besucht, die würde den GA-Code niemals ausführen und diese taucht also in den Logfiles von Google auch nicht auf.

Auf der anderen Seite sehe ich vom Server aus ein komplettes Firmensubnetz nur als eine IP. Der GA-Code wird aber auf 15 unterschiedlichen Browsern gestartet und damit sehe ich hinter einer IP auch mehrere Besucher.

Noch einmal: In diesem Augenblick sehe ich immer noch nicht welcher Besucher es war. Wer es war ist nur lokalisierbar wenn man auf den Arbeitgeber zugeht und die Daten offen legt und wenn dieser die Logfiles noch gespeichert hat.

Des weiteren ist es so, dass Google Analytics seine Möglichkeiten bei weitem noch nicht ausgeschöpft hat. So könnte man auch eine Exit-Zählung integrieren und vieles andere mehr. Und die Kombination von Serverdaten und Browserinformation bietet auch einiges an Potenzial.

Das alles sind aber statistische Auswertungen. An Ihre Personendaten kommt man nur heran, wenn entweder Sie diese irgendwo eintippen oder ihr Provider diese mitteilt.

AwStats und der Datenschutz

Diese Daten sind praktisch in der Verantwortung des Seitenbetreibers bzw. des Providers. Konkret auf dieser Seite hier habe ich die Kontrolle über die Daten und kann und werde diese Löschen, sobald das Logsystem des Servers wieder eine Datei freigegeben hat. Eine meiner anderen Seiten liegt derzeit bei 1und1. Sie führt ein Schattendasein und ich beabsichtige einen Umzug. Der Grund – einer der Gründe, es gibt noch ein paar andere – ist Folgender: Dort kann ich die Logfiles gar nicht löschen. Ich habe zwar Leserechte, mehr aber auch nicht. Das ist aber ein Problem von 1und1 und nicht meines.

Fazit: Der normale Seitenbetreiber muss überhaupt erst einmal mit seinem Provider klären, wie eigentlich die Logfiles durch den Provider behandelt werden.

Google-Analytics und der Datenschutz

Google ist eine US-Firma und in den USA sind Fragen des Datenschutzes fast bedeutungslos. Das bedeutet: Von Rechtswegen dürften keine personenbezogenen Daten in die USA übermittelt werden zumindest nicht automatisch. Allerdings ist Google einem Abkommen beigetreten, dass als Safe Harbour bezeichnet wird. Und Safe Harbour ist ein privates rechtsverbindliches Statement einer US-Firma einen Datenschutz zu garantieren, der mit europäischen Rechtsvorstellungen übereinstimmt. Das kann im Detail französisches oder Spanisches Datenschutzrecht sein. Es ist in jedem Fall eine Rechtsumsetzung die in Europa akzeptiert wird und die einen Einsatz von GA möglich macht.

Und in diesem Zusammenhang ein Zitat aus den Nutzungsbestimmungen von Google.

Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten der Google in Verbindung bringen.

Weiterhin gibt Google hier an, welche personenbezogenen Daten erhoben werden und für welche Zwecke. Dort wird Google-Analytics nicht genannt!

Damit ist aus der Sicht eines Webseitenbetreibers eigentlich alles getan um Google-Analytics einsetzen zu können. Er muss es nicht, er kann es aber. Und wenn er es kann, dann sollte er den Text in seine Datenschutzerklärung integrieren, den Google vorgibt.

Und wenn der Besucher trotzdem kein Google-Analytics möchte?

Nun in einem solchen Fall empfehle ich den Browser Firefox – natürlich die jeweils aktuelle Version – und das Plugin NoScript. Dieses identifiziert die einzelnen Scripte und Sie können alles abschalten was Sie stört und zwar individuell.

Niemand ist daran interessiert Sie als Besucher zu zählen, wenn Sie nicht gezählt werden wollen. Nur müssen Sie sich dann auch darüber klar sein, dass es praktisch keinerlei Feedback mehr gibt zwischen einem Seitenbesuch und dem Seitenverantwortlichen. Verbesserungen und durchaus auch für Sie hilfreiche Umstrukturierungen einer Seite sind nur mit diesen aus dem Besucherverhalten gewonnenen Daten möglich. Und niemand wird Geld oder Zeit in die Hand nehmen und eine Seite verbessern wollen, wenn er noch nicht einmal eine statistische Zahl in die Hand bekommt, die ihm Auskunft gibt über Erfolg oder Misserfolg.

Noscript.net ist bezogen auf diese Auswertetools ein sehr gutes Hilfsmittel damit der Blogautor das Vergiften seiner Auswertung durch seine eigenen Besuche vermeidet.