Mangelhafte Anonymisierung bei Google Analytics

Für das Analyse-Tool Google Analytics gibt es eine weit verbreitete Funktion, mit der jeder Website-Betreiber die IP-Adressen der getrackten Besucher kürzen und damit anonymisieren kann:

ga('set', 'anonymizeIp', true)

Ein edles Vorhaben, um das insbesondere die Hamburger Datenschutzbehörde bereits 2009 mit Google gestritten hat. Mit der dann 2011 eingeführten Funktion hat Google aber anscheinend nicht nur den Hamburger Datenschutzbeauftragten Johannes Caspar, sondern eine Menge ihrer Kunden aufs Glatteis geführt, denn es gibt eine beabsichtigte oder unbeabsichtigte Lücke: die Daten, die beim Laden des Scripts selbst anfallen, werden nicht anonymisiert. Leider hat bisher noch niemand darauf hingewiesen, selbst die Datenschutzbehörden erachten die Option nach wie vor für hilfreich. Die Anonymisierungsfunktion ist so aber aus DSGVO-Perspektive sinnlos.

Der technische Hintergrund: Die übliche Verwendung von Google Analytics geht in zwei Stufen vor: Bei einem Seitenbesuch wird das eingebundene Script durch den Browser eines Besuchers von Googles Server geladen und dann die enthaltenen Javascript-Funktionen ausgeführt. Erst in der Ausführung des Scripts wird die oben genannte Option für die Anonymisierung erkannt und als Parameter aip=1 an die Anfrage für das Zählpixel angehängt. In der Netzwerk-Analyse von Firefox ist das sehr schön sichtbar:

Der Parameter aip=1 löst die Anonymisierung in Zeile 2 und 3 aus – bei der Einbindung des Scriptes in der ersten Zeile fehlt er logischerweise noch.

Google kann also die IP des ersten Aufrufs nicht anonymisieren, zu diesem Zeitpunkt hat Google den Parameter noch nicht erhalten. Wenn der zweite Aufruf mit dem Parameter zur Anonymisierung eintrifft, könnte man nur rückwirkend die bereits verarbeitete IP aus dem ersten Aufruf kürzen – das wäre allerdings technisch schwierig und unpräzise. Die technische Beschreibung lässt keinen Zweifel: die IP-Adressen werden nur „innerhalb des Produktes“ gekürzt, wenn der Parameter aip=1 in der Anfrage gefunden wird – und zwar noch während sie im Arbeitsspeicher ist (also nicht rückwirkend). Daraus folgt, dass der erste Aufruf nicht anonymisiert wird, sondern wie jede andere Einbettung (z.B. von Google Fonts) über die Server-Logs von Google voll ausgewertet werden kann. Daraus folgt auch, dass der Aufruf rechtlich nicht unter die Auftragsverarbeitungsbedingungen von Google Analytics gezählt wird – tatsächlich wird hier ja noch nicht nach den Anweisungen eines vertraglich bekannten Websitebetreibers und auch nicht mit der Analytics-Software selbst getrackt. Die Einbindung des Scripts selbst ist eben noch „außerhalb des Produktes“ – ich kann das Lachen der Google-Manager bis hierhin hören. Das gilt übrigens für alle Varianten wie analytics.js, gtag.js oder ga.js. Gut vorstellbar, dass dieser Interpretationsspielraum auch von anderen Anbietern zentral gehosteter Lösungen für Tracking jenseits der Verträge genutzt wird.

Die datenschutzrechtlichen Folgen sind nicht zu vernachlässigen: Die weit verbreitete Ansicht, dass ein Tracking mit Google Analytics mit diesem Parameter IP-anonym ist und daher weniger Probleme mit der DSGVO macht, ist unter normalen Bedingungen falsch. Natürlich ist die Datenausbeute für Google gering; mehr als die IP-Adresse und den Referrer bekommt Google im ersten Aufruf nicht. Es könnte aber doch sein, dass sich damit ganze User-Journeys durch die Website verfolgen lassen – und die darf Google dann auch für eigene Vermarktungszwecke nutzen. Das ist bei den eigentlichen Analytics-Daten – soweit ich die Nutzungsbedinungen verstehe – untersagt. Die Cache-Zeit ist zwar auf 2h eingestellt, allerdings wurde das Script bei meinem Test für fast jeden Klick auf einer Website neu geladen (das kann aber auch an meinem Browser oder dem Website-Server liegen).

Gravierend ist außerdem, dass das Opt-Out per Plugin (von Anfang an eine bescheuerte Lösung) die Datensammlung durch den ersten Aufruf ebenfalls nicht verhindert – wie man sich aus diesem Hilfetext ebenfalls erschließen kann. Nach obiger Auslegung liegt die Verantwortung hierfür ja weiterhin beim Websitebetreiber: die Einbettung ist schließlich außerhalb des Produktes, außerhalb des Vertrages und daher außerhalb des Opt-Out-Verfahrens. Für Nutzer, die darauf vertraut haben, ist das sicher nicht zum Lachen.

Die Lösung des Problems ist für Websitebetreiber, die noch Vertrauen zu Google haben, relativ einfach: Wenn das Script auf dem eigenen Server platziert wird und von dort aus eingebunden wird, ist das Tracking IP-anonym (zumindest vertraglich garantiert) und damit unter Umständen DSGVO-konform. Technisch funktioniert das und ist erlaubt, Google selbst weist darauf hin. Wenn das Script im professionellen Einsatz immer aktuell sein soll, könnte der Admin das Script auch per Cronjob täglich auf dem Server automatisiert aktualisieren. Für ähnliche Fälle sollte man solche Scripte ebenfalls selbst hosten oder die bei der Einbindung anfallenden Daten explizit in den Auftragsverarbeitungs-Vertrag mit einbeziehen.

Das Fazit mal wieder: Traue den großen IT-Firmen nicht, sie sind immer eine Runde hinterlistiger als man denkt. Das Einbinden fremder Inhalte ist immer ein rechtliches und technisches Risiko – besser von Anfang an selbstgehostete Lösungen wie Matomo wählen, dann erkennen auch die Besucher sofort, dass ihre Daten nicht in fremde Hände fallen.

11 Comments

Oliver Reply

18. Februar 2019 at 19:52

„Wenn das Script auf dem eigenen Server platziert wird und von dort aus eingebunden wird, ist das Tracking IP-anonym“

Nur, wenn der Websitebetreiber seine eigenen Access-Logs anonymisiert.
Kabelsalat Reply

3. Juni 2019 at 15:02

„Natürlich ist die Datenausbeute für Google gering; mehr als die IP-Adresse und den Referrer bekommt Google im ersten Aufruf nicht.“

Ganz so wenig ist es nicht, was schon beim ersten Aufruf bei Google landet. Auch der User-Agent wird übermittelt und dadurch die genaue Version des verwendeten Web-Browsers, was beim Identifizieren helfen kann.
Christoph Reply

20. August 2019 at 23:36

„Das Fazit mal wieder: Traue den großen IT-Firmen nicht“ ist etwas emotional ausgedruckt und impliziert Arglist, was nicht korrekt ist. Technisch ist die IP Adresse für den Datentransport zwingend notwendig und Teil der Transportinfrastruktur. Im Betrieb dieser Transportinfrastruktur wird diese Adresse ohnehin gespeichert und verarbeitet (auch um cyberrisiken zu begegnen), jedoch bei einem opt-out NICHT mit der Personen-Identität assoziiert.
- Matthias Eberl Reply
  
  20. August 2019 at 23:47
  
  Die Arglist liegt darin, dass unabhängig von den technischen Bedingungen die gekürzte Speicherung nur an den IP-Adressen durchgeführt wird, die von dem Script gesendet werden, nicht aber von den IP-Adressen, die die Einbettungen abrufen. Und selbst wenn die IP-Adressen für Sicherheitsmaßnahmen gespeichert werden müssen, könnte man auf vertraglicher Ebene die Nutzung für Marketingzwecke ausschließen. Und das geschieht eben für die Daten aus der Einbettung NICHT.
  - Christoph Reply
    
    21. August 2019 at 8:25
    
    Zu der Aussage dass die IP aus dem Scriptaufruf für Marketingzwecke genutzt werden, fehlt mir leider die Evidenz, zumindest in ihrem Blogbeitrag. Gibts da eine Referenz?
    - Matthias Eberl Reply
      
      21. August 2019 at 9:22
      
      Da die Einbettung (arglistigerweise, muss ich nochmal betonen) nicht unter die speziellen AGBs von Google Analytics fällt, gelten die allgemeinen Datenschutzangaben. Und da ist, wie z.B. auch bei der Einbettung von Google Fonts, eine Verwendung für Marketingzwecke und Personalisierung rechtlich vereinbart.
      https://policies.google.com/privacy?hl=de#whycollect
      Ob und wie Google das kommerziell verwertet, ist unklar und tatsächlich werden IP-Adresse kaum für Usertracking verwendet. Dass der Datensatz aber völlig ungenutzt bleibt, ist kaum vorstellbar. Ein Hinweis bietet die Tatsache, dass Google so viele verschiedene Einbettungen kostenlos zur Verfügung stellt, während andere wenig profitable Dienste bereits eingestellt wurden.
      - Christoph
        
        21. August 2019 at 12:21
        
        Mir scheint der Eindruck, Sie haben sich hier etwas verrannt, was ich aus psychologischer Sicht nachvollziehen kann. Die gesamte Argumentation besteht auf einer grundsätzlich kritischen Grundhaltung. Ich meinerseits kann auch beim schwärzesten Willen keine Arglist erkennen.
      - Matthias Eberl
        
        21. August 2019 at 13:17
        
        Ohne kritische Grundhaltung wäre ich ein schlechter Journalist. Vielleicht versetzen Sie sich aber auch mal in die Lage von den Unternehmen, den Behörden und den Lesern, die seit 2009 denken, dass sie mit anonymizeIP oder dem Opt-Out-Plugin die IP-Adressen bei der Statistikerhebung anonymisieren können. Meinen Sie, die würden das alle einsetzen und für rechtlich sauber bewerten, wenn sie nicht getäuscht wären? Das macht ja alles keinen Sinn, wenn das Script weiterhin bei Google gehostet ist. Ich denke schon, dass z.B. der Datenschützer einer öffentlichen Behörde über diese Sachen ordentlich informiert werden sollte. Die Lösung, die Google anbietet und die die Behörden hier von Google eingefordert haben, hat jedenfalls 10 Jahre lang nicht das geleistet, was sie sollte. Das ist für mich eine Täuschung (und nicht die Dummheit von tausenden Experten, die das nicht zwischen den Zeilen lesen konnten).
Christoph Reply

23. August 2019 at 10:54

Vielen Dank für Ihre Darstellung! Und ja sie sollen kritisch sein! Und genau deshalb verstehen zu versuchen, weshalb das so ist wie es ist. Grund ist die Architektur hinter Diensten in grossen Skalen. Und die zugehörigen Legal Frameworks in Unternehmen. Für Google wäre es ein Kinderspiel, den Abruf für das Script in die Google Analytics AGB zu nehmen. Dass es Google nicht gemacht hat ist nicht Arglist, sondern spricht für die Seriosität. Der Transport von Code von einem CDN zum Kunden ist nämlich nicht dasselbe wie der Dienst, der die Daten vom Kunden empfängt. Dies im Legal Framework zu verknüpfen wäre meines Erachtens eine Täuschung die ihre obergenannte Zielgruppe ruhigstellt. Das ist mein Antrieb für diesen Kommentar. Ich bin übrigens nicht mit Google assoziiert, sondern stehe wie Sie für einen echten Datenschutz ohne Politspiele. Vielen Dank für den Austausch, Herr Eberl
- Matthias Eberl Reply
  
  23. August 2019 at 12:43
  
  Mir ist zwar klar, dass die IP-Anonymisierung bei dem Scriptabruf und auch beim Einsatz von CDNs kaum mehr möglich ist.
  Aber Google hätte zwei andere Optionen:
  1. Kunden und Behörden offen sagen, dass die IP-Anonymisierung nicht bei der Einbettung funktioniert
  2. Vertraglich garantieren, dass die IP-Daten nicht für Marketing verwendet werden. Lasse mich gerne aufklären: Warum geht das nicht – wo doch vermutlich die IP-Daten ohnehin kaum nützlich für Werbetracking sind?
  - Christoph Reply
    
    23. August 2019 at 22:37
    
    Zu Punkt 1) Ich denke nicht dass es sinnvoll ist dass Google die Privacy Policies zur Ausbildung der Kunden nutzt. Internetdienste sollten nicht durch Laien gebaut werden.
    
    Zu Punkt 2) Genau deshalb besteht auch kein echter Bedarf dies zu garantieren. Denn die Analytics Policy lässt es ohnehin nicht zu die IP zum Analytics Datensatz zu korrelieren, egal aus welcher Quelle. Genau genommen darf Google die CDN IP’s zu Marketingzwecken verwenden, jedoch NICHT für Google Analytics. Da bleibt nun aber nichts mehr übrig, da ausser IP und HTTP Header nichts mehr übermittelt wird. Eine explizite Garantie im Vertrag ist überflüssig.

Ohne Titel 30. November 2022
Mein Kumpel hat eine Playstation, aber wenn ich dort hingehe, muss ich mir die Schuhe ausziehen. Jetzt hab ich ein Riesenproblem! OMG pass dich an! Kauf deine eigene Playstation! Gesellschaft is mehr als 1 Buyer-Seller-Verhältnis Kannst du nicht normal über CW-Regeln schreiben?
Ohne Titel 26. November 2022
Golem: Einsatz von Microsoft 365 bleibt datenschutzwidrighttps://www.golem.de/news/datenschutzkonferenz-einsatz-von-microsoft-365-bleibt-datenschutzwidrig-2211-170050.html"Kelber kündigte an, dass die Datenschutzbehörden "in Einzelfällen anschauen müssen, ob es trotzdem gelingt, eine Datenschutzkonformität herzustellen". … Dem Datenschutzbeauftragten zufolge lässt sich der Einsatz möglicherweise empfehlen, wenn eine Mikrovirtualisierung vorgenommen oder ein Proxyserver dazwischen gehängt wird, der verhindert, dass diese Daten zu Microsoft abfließen.
Ohne Titel 23. November 2022
Content warning: Twitter AdsThis ads appeared today in my stream (used an US IP address). Looks like Twitter lost most brands and is publishing mainly low price ads or even clickbait ads. Targeting is only location based, probably because traditional behavioural targeting groups are too small for the available user base?
Ohne Titel 17. November 2022
Sieht irgendwer ein Problem, wenn der Code einer russischen Firma (#Pushwoosh) in allen Apps des NDR drin ist? Und jedes Öffnen der App mit einer appübergreifenden ID an die Firma meldet 🤔 Vielleicht sollte man auch mal diskutieren, ob es wirklich eine gute Idee war, dass die Öffentlich-Rechtlichen nicht einer externen Datenschutzbehörde unterliegen, sondern sich […]
Ohne Titel 15. November 2022
Drüben bei Twitter kommen bei den Kollegen erste Zweifel an der übriggebliebenen Reichweite auf 😁 @dvg https://twitter.com/dvg/status/1592423324013195264
Ohne Titel 12. November 2022
So please don't be the first term student that enters the library and yells at everyone how stupid it is the books aren't in alphabetical order. 😁 It's embarrassing. Just ask, listen and try to understand first. As a journalist, this is even your job.
Ohne Titel 12. November 2022
2. Open Source gives all the tools to change everything into your hands. Even if you aren't able to do it yourself, you can suggest changes: Open Source always has something like an issue tracker where problems are discussed. The Mastodon and toot thing was in discussion several times but it's still possible to ask […]
Ohne Titel 12. November 2022
1. In Open Source & volunteer communities you are not the customer: While you can complain at apple store because there is a reciprocal relationship between you and the store which gives you some power and rights, complaining about open source is not making sense and not making anyone listen. It's like complaining in a […]
Ohne Titel 12. November 2022
Saw several colleagues arriving on this platform and complaining in the first toot and in bold words about missing features or the name "Mastodon". Cringy or unpolite or just Twitter culture? Probably. But it's also stupid and in this thread I try to explain why.
Ohne Titel 10. November 2022
I rarely write on climate change because I still haven't enough expertise on it, but the stupid talkshow host statements ("We will adopt") and questions ("Where do the scienctists know it from?") from Markus #Lanz yesterday really made me angry. I immediately remembered this excellent 1h lecture and thoughts of @wblau on climate literacy in […]

11 Comments

Leave a Reply