Google Analytics und Facebook-Like ohne Datenschutz-Risiko

Datenschutz in Deutschland ist erfreulich strikt, aber unerfreulich realitätsfremd. Vor allem aus Sicht von Betreibern kleinerer Websites stellt der Datenschutz fast unüberwindliche Hürden auf.Das Hauptproblem besteht darin: Bei der zentralen Frage, ob IP-Adressen personenbezogene Daten darstellen, gibt es keinerlei Rechtssicherheit und erst recht keine praktikable Hilfestellung der Datenschützer. Websitebetreiber gehen daher permanent das Risiko einer Abmahnung ein, deren Kosten gerade für kleine Websites bereits das Aus bedeuten können.Wer sich zumindest einigermaßen schützen will, kann aber trotzdem einiges tun. Dieser Workshop zeigt, wie Sie bei Google Analytics und dem Facebook-Like-Button dem deutschen Datenschutz-Ideal zumindest deutlich näher kommen. Denn beides ist, realistisch betrachtet, für kleinere Websites essenziell, nach strenger Auslegung des deutschen Datenschutzrechtes aber zumindest problematisch.

Google Analytics

Google Analytics ist die einzige kostenlose Traffic-Analyse, die auch bei den meisten potenziellen Werbekunden anerkannt ist. Zwar gibt es mit Open Web Analytics (www.openwebanalytics.com ) und Piwik (piwik.org ) zwei Open-Source-Alternativen, die aber aufwändiger in der Anwendung und deren Zahlen schon wegen individueller Konfigurationsmöglichkeiten deutlich weniger glaubwürdig sind als die standardisierten Google-Analytics-Auswertungen. Gesetzeskonforme - oder zumindest als solches zertifizierte - Anbieter sind dagegen für viele Websitebetreiber einfach zu teuer.

IP-Adresse kürzen

Der Knackpunkt bei Google Analytics ist hauptsächlich die Speicherung der IP-Adresse der Besucher von Websites, die mit Analytics-Code getrackt werden. Google bietet hier eine wenig bekannte Erweiterung für den Analytics-Tracking-Code an, der eine Kürzung und damit eine Anonymisierung der IP-Adresse veranlasst (code.google.com/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp ).Für die meisten Websites macht das für die Qualität der Analytics-Zahlen keinen Unterschied, lediglich die Präzision bei der örtlichen Herkunft der Besucher kann darunter minimal leiden. Der Datenschutz-Vorteil überwiegt und daher sollte man diese zusätzliche Code-Zeile auf jeden Fall verwenden. Dazu fügt man in den Analytics-JavaScript-Code einfach eine Code-Zeile hinzu:

Wer noch das alte Analytics-Code-Snippet ga.js verwendet, muss ebenfalls nur eine einzige zusätzliche Codezeile einfügen - oder die Gelegenheit nutzen und gleich auf den neuen Snippet-Code zur asynchronen Erfassung umsteigen, wie von Google Analytics empfohlen.

Datenschutz-Puristen argumentieren allerdings, dass selbst diese Lösung nicht sauber sei, weil die IP-Adresse erst anonymisiert wird, nachdem sie an Google übermittelt wurde. Es findet also eine strenggenommen unzulässige Übermittlung datenschutzrechtlich relevanter Daten (die volle IP-Adresse) statt, bevor sie durch Kürzung der IP-Adresse anonymisiert werden.In jeden Fall ist zu empfehlen, der Datenschutzerklärung der eigenen Website einen Absatz zum Thema Google Analytics hinzuzufügen. Die Nutzungsbedingungen von Google Analytics (www.google.com/intl/de/analytics/tos.html ) enthalten in Absatz 8.1 dazu bereits einen vorformulierten Text, den man am besten direkt in die eigene Datenschutzerklärung übernimmt. Das ist auch dann sinnvoll, wenn man mit der Option zum Kürzen der IP-Adresse agiert.