Mangelhafte Anonymisierung bei Google Analytics

Für das Analyse-Tool Google Analytics gibt es eine weit verbreitete Funktion, mit der jeder Website-Betreiber die IP-Adressen der getrackten Besucher kürzen und damit anonymisieren kann:

ga('set', 'anonymizeIp', true)

Ein edles Vorhaben, um das insbesondere die Hamburger Datenschutzbehörde bereits 2009 mit Google gestritten hat. Mit der dann 2011 eingeführten Funktion hat Google aber anscheinend nicht nur den Hamburger Datenschutzbeauftragten Johannes Caspar, sondern eine Menge ihrer Kunden aufs Glatteis geführt, denn es gibt eine beabsichtigte oder unbeabsichtigte Lücke: die Daten, die beim Laden des Scripts selbst anfallen, werden nicht anonymisiert. Leider hat bisher noch niemand darauf hingewiesen, selbst die Datenschutzbehörden erachten die Option nach wie vor für hilfreich. Die Anonymisierungsfunktion ist so aber aus DSGVO-Perspektive sinnlos.

Der technische Hintergrund: Die übliche Verwendung von Google Analytics geht in zwei Stufen vor: Bei einem Seitenbesuch wird das eingebundene Script durch den Browser eines Besuchers von Googles Server geladen und dann die enthaltenen Javascript-Funktionen ausgeführt. Erst in der Ausführung des Scripts wird die oben genannte Option für die Anonymisierung erkannt und als Parameter aip=1 an die Anfrage für das Zählpixel angehängt. In der Netzwerk-Analyse von Firefox ist das sehr schön sichtbar:

Der Parameter aip=1 löst die Anonymisierung in Zeile 2 und 3 aus – bei der Einbindung des Scriptes in der ersten Zeile fehlt er logischerweise noch.

Google kann also die IP des ersten Aufrufs nicht anonymisieren, zu diesem Zeitpunkt hat Google den Parameter noch nicht erhalten. Wenn der zweite Aufruf mit dem Parameter zur Anonymisierung eintrifft, könnte man nur rückwirkend die bereits verarbeitete IP aus dem ersten Aufruf kürzen – das wäre allerdings technisch schwierig und unpräzise. Die technische Beschreibung lässt keinen Zweifel: die IP-Adressen werden nur „innerhalb des Produktes“ gekürzt, wenn der Parameter aip=1 in der Anfrage gefunden wird – und zwar noch während sie im Arbeitsspeicher ist (also nicht rückwirkend). Daraus folgt, dass der erste Aufruf nicht anonymisiert wird, sondern wie jede andere Einbettung (z.B. von Google Fonts) über die Server-Logs von Google voll ausgewertet werden kann. Daraus folgt auch, dass der Aufruf rechtlich nicht unter die Auftragsverarbeitungsbedingungen von Google Analytics gezählt wird – tatsächlich wird hier ja noch nicht nach den Anweisungen eines vertraglich bekannten Websitebetreibers und auch nicht mit der Analytics-Software selbst getrackt. Die Einbindung des Scripts selbst ist eben noch „außerhalb des Produktes“ – ich kann das Lachen der Google-Manager bis hierhin hören. Das gilt übrigens für alle Varianten wie analytics.js, gtag.js oder ga.js. Gut vorstellbar, dass dieser Interpretationsspielraum auch von anderen Anbietern zentral gehosteter Lösungen für Tracking jenseits der Verträge genutzt wird.

Die datenschutzrechtlichen Folgen sind nicht zu vernachlässigen: Die weit verbreitete Ansicht, dass ein Tracking mit Google Analytics mit diesem Parameter IP-anonym ist und daher weniger Probleme mit der DSGVO macht, ist unter normalen Bedingungen falsch. Natürlich ist die Datenausbeute für Google gering; mehr als die IP-Adresse und den Referrer bekommt Google im ersten Aufruf nicht. Es könnte aber doch sein, dass sich damit ganze User-Journeys durch die Website verfolgen lassen – und die darf Google dann auch für eigene Vermarktungszwecke nutzen. Das ist bei den eigentlichen Analytics-Daten – soweit ich die Nutzungsbedinungen verstehe – untersagt. Die Cache-Zeit ist zwar auf 2h eingestellt, allerdings wurde das Script bei meinem Test für fast jeden Klick auf einer Website neu geladen (das kann aber auch an meinem Browser oder dem Website-Server liegen).

Gravierend ist außerdem, dass das Opt-Out per Plugin (von Anfang an eine bescheuerte Lösung) die Datensammlung durch den ersten Aufruf ebenfalls nicht verhindert – wie man sich aus diesem Hilfetext ebenfalls erschließen kann. Nach obiger Auslegung liegt die Verantwortung hierfür ja weiterhin beim Websitebetreiber: die Einbettung ist schließlich außerhalb des Produktes, außerhalb des Vertrages und daher außerhalb des Opt-Out-Verfahrens. Für Nutzer, die darauf vertraut haben, ist das sicher nicht zum Lachen.

Die Lösung des Problems ist für Websitebetreiber, die noch Vertrauen zu Google haben, relativ einfach: Wenn das Script auf dem eigenen Server platziert wird und von dort aus eingebunden wird, ist das Tracking IP-anonym (zumindest vertraglich garantiert) und damit unter Umständen DSGVO-konform. Technisch funktioniert das und ist erlaubt, Google selbst weist darauf hin. Wenn das Script im professionellen Einsatz immer aktuell sein soll, könnte der Admin das Script auch per Cronjob täglich auf dem Server automatisiert aktualisieren. Für ähnliche Fälle sollte man solche Scripte ebenfalls selbst hosten oder die bei der Einbindung anfallenden Daten explizit in den Auftragsverarbeitungs-Vertrag mit einbeziehen.

Das Fazit mal wieder: Traue den großen IT-Firmen nicht, sie sind immer eine Runde hinterlistiger als man denkt. Das Einbinden fremder Inhalte ist immer ein rechtliches und technisches Risiko – besser von Anfang an selbstgehostete Lösungen wie Matomo wählen, dann erkennen auch die Besucher sofort, dass ihre Daten nicht in fremde Hände fallen.

11 Comments

Oliver Reply

18. Februar 2019 at 19:52

„Wenn das Script auf dem eigenen Server platziert wird und von dort aus eingebunden wird, ist das Tracking IP-anonym“

Nur, wenn der Websitebetreiber seine eigenen Access-Logs anonymisiert.
Kabelsalat Reply

3. Juni 2019 at 15:02

„Natürlich ist die Datenausbeute für Google gering; mehr als die IP-Adresse und den Referrer bekommt Google im ersten Aufruf nicht.“

Ganz so wenig ist es nicht, was schon beim ersten Aufruf bei Google landet. Auch der User-Agent wird übermittelt und dadurch die genaue Version des verwendeten Web-Browsers, was beim Identifizieren helfen kann.
Christoph Reply

20. August 2019 at 23:36

„Das Fazit mal wieder: Traue den großen IT-Firmen nicht“ ist etwas emotional ausgedruckt und impliziert Arglist, was nicht korrekt ist. Technisch ist die IP Adresse für den Datentransport zwingend notwendig und Teil der Transportinfrastruktur. Im Betrieb dieser Transportinfrastruktur wird diese Adresse ohnehin gespeichert und verarbeitet (auch um cyberrisiken zu begegnen), jedoch bei einem opt-out NICHT mit der Personen-Identität assoziiert.
- Matthias Eberl Reply
  
  20. August 2019 at 23:47
  
  Die Arglist liegt darin, dass unabhängig von den technischen Bedingungen die gekürzte Speicherung nur an den IP-Adressen durchgeführt wird, die von dem Script gesendet werden, nicht aber von den IP-Adressen, die die Einbettungen abrufen. Und selbst wenn die IP-Adressen für Sicherheitsmaßnahmen gespeichert werden müssen, könnte man auf vertraglicher Ebene die Nutzung für Marketingzwecke ausschließen. Und das geschieht eben für die Daten aus der Einbettung NICHT.
  - Christoph Reply
    
    21. August 2019 at 8:25
    
    Zu der Aussage dass die IP aus dem Scriptaufruf für Marketingzwecke genutzt werden, fehlt mir leider die Evidenz, zumindest in ihrem Blogbeitrag. Gibts da eine Referenz?
    - Matthias Eberl Reply
      
      21. August 2019 at 9:22
      
      Da die Einbettung (arglistigerweise, muss ich nochmal betonen) nicht unter die speziellen AGBs von Google Analytics fällt, gelten die allgemeinen Datenschutzangaben. Und da ist, wie z.B. auch bei der Einbettung von Google Fonts, eine Verwendung für Marketingzwecke und Personalisierung rechtlich vereinbart.
      https://policies.google.com/privacy?hl=de#whycollect
      Ob und wie Google das kommerziell verwertet, ist unklar und tatsächlich werden IP-Adresse kaum für Usertracking verwendet. Dass der Datensatz aber völlig ungenutzt bleibt, ist kaum vorstellbar. Ein Hinweis bietet die Tatsache, dass Google so viele verschiedene Einbettungen kostenlos zur Verfügung stellt, während andere wenig profitable Dienste bereits eingestellt wurden.
      - Christoph
        
        21. August 2019 at 12:21
        
        Mir scheint der Eindruck, Sie haben sich hier etwas verrannt, was ich aus psychologischer Sicht nachvollziehen kann. Die gesamte Argumentation besteht auf einer grundsätzlich kritischen Grundhaltung. Ich meinerseits kann auch beim schwärzesten Willen keine Arglist erkennen.
      - Matthias Eberl
        
        21. August 2019 at 13:17
        
        Ohne kritische Grundhaltung wäre ich ein schlechter Journalist. Vielleicht versetzen Sie sich aber auch mal in die Lage von den Unternehmen, den Behörden und den Lesern, die seit 2009 denken, dass sie mit anonymizeIP oder dem Opt-Out-Plugin die IP-Adressen bei der Statistikerhebung anonymisieren können. Meinen Sie, die würden das alle einsetzen und für rechtlich sauber bewerten, wenn sie nicht getäuscht wären? Das macht ja alles keinen Sinn, wenn das Script weiterhin bei Google gehostet ist. Ich denke schon, dass z.B. der Datenschützer einer öffentlichen Behörde über diese Sachen ordentlich informiert werden sollte. Die Lösung, die Google anbietet und die die Behörden hier von Google eingefordert haben, hat jedenfalls 10 Jahre lang nicht das geleistet, was sie sollte. Das ist für mich eine Täuschung (und nicht die Dummheit von tausenden Experten, die das nicht zwischen den Zeilen lesen konnten).
Christoph Reply

23. August 2019 at 10:54

Vielen Dank für Ihre Darstellung! Und ja sie sollen kritisch sein! Und genau deshalb verstehen zu versuchen, weshalb das so ist wie es ist. Grund ist die Architektur hinter Diensten in grossen Skalen. Und die zugehörigen Legal Frameworks in Unternehmen. Für Google wäre es ein Kinderspiel, den Abruf für das Script in die Google Analytics AGB zu nehmen. Dass es Google nicht gemacht hat ist nicht Arglist, sondern spricht für die Seriosität. Der Transport von Code von einem CDN zum Kunden ist nämlich nicht dasselbe wie der Dienst, der die Daten vom Kunden empfängt. Dies im Legal Framework zu verknüpfen wäre meines Erachtens eine Täuschung die ihre obergenannte Zielgruppe ruhigstellt. Das ist mein Antrieb für diesen Kommentar. Ich bin übrigens nicht mit Google assoziiert, sondern stehe wie Sie für einen echten Datenschutz ohne Politspiele. Vielen Dank für den Austausch, Herr Eberl
- Matthias Eberl Reply
  
  23. August 2019 at 12:43
  
  Mir ist zwar klar, dass die IP-Anonymisierung bei dem Scriptabruf und auch beim Einsatz von CDNs kaum mehr möglich ist.
  Aber Google hätte zwei andere Optionen:
  1. Kunden und Behörden offen sagen, dass die IP-Anonymisierung nicht bei der Einbettung funktioniert
  2. Vertraglich garantieren, dass die IP-Daten nicht für Marketing verwendet werden. Lasse mich gerne aufklären: Warum geht das nicht – wo doch vermutlich die IP-Daten ohnehin kaum nützlich für Werbetracking sind?
  - Christoph Reply
    
    23. August 2019 at 22:37
    
    Zu Punkt 1) Ich denke nicht dass es sinnvoll ist dass Google die Privacy Policies zur Ausbildung der Kunden nutzt. Internetdienste sollten nicht durch Laien gebaut werden.
    
    Zu Punkt 2) Genau deshalb besteht auch kein echter Bedarf dies zu garantieren. Denn die Analytics Policy lässt es ohnehin nicht zu die IP zum Analytics Datensatz zu korrelieren, egal aus welcher Quelle. Genau genommen darf Google die CDN IP’s zu Marketingzwecken verwenden, jedoch NICHT für Google Analytics. Da bleibt nun aber nichts mehr übrig, da ausser IP und HTTP Header nichts mehr übermittelt wird. Eine explizite Garantie im Vertrag ist überflüssig.

rufposten: “🚜-✉️ Release v0.2.3: …” 5. August 2020
🚜-✉️ Release v0.2.3: Der "Träcktor" fährt für dich jetzt auch Seiten platt, die folgende Tracker ohne Einwilligung einsetzen:🔹Google Ad Sense und Ad Manager🔹Adobe Experience Cloud🔹Microsoft Universal Event Trackinghttps://träcktor.de/Danke an @tsmr für die neuen Generierungs-Features, z.B. Unterstützung für Tracker mit CNAME-Cloaking!
rufposten: “Zur Transparenz: Mein Toot übe…” 5. August 2020
Zur Transparenz: Mein Toot über die Streichung der Pseudonymrechte in TMG §13 war falsch, habe ihn daher gelöscht. Danke an "AlexAmtmann" für den Hinweis. Der Entwurf ersetzt den gestrichenen Paragraphen, ich hatte das übersehen. https://twitter.com/AlexAmtmann/status/1290966157613301762
rufposten: “✅ OK: Ein Unternehmen tritt al…” 2. August 2020
✅ OK: Ein Unternehmen tritt als Sponsor einer Konferenz auf und bekommt einen kleinen Stand um sich als Sponsor (!) zu präsentieren❌Nicht OK: Sponsor hält im regulären Programm einen WorkshopMeine Meinung. #DJV #besseronline #Googlehttps://social.tchncs.de/web/statuses/104618813663584325besser-online.info/
rufposten: “Der eigene Alltagsrassismus, i…” 1. August 2020
Der eigene Alltagsrassismus, in den man hineingeworfen wurde, den man zu lange mitgetragen hat, aus dem man sich nun tolpatschig und beschämt befreien möchte. Mir sowas von aus der Seele geschriebener, langer Text von meinem Kollegen Friedemann Karig. https://sz.de/1.4985973 (€) oder am Kiosk. Ich wollte so etwas schon länger mal schreiben, aber hätte das sensible […]
rufposten: “War's das schon? Im Mai hatte …” 31. Juli 2020
War's das schon? Im Mai hatte der BGH mit seinem Urteil die Rechte der Verbraucher gestärkt und Profilbildung für Marketing ohne Einwilligung untersagt. Und wenn ich das richtig verstehe, will die Regierung nach diesem geleakten Entwurf TMG § 15 wieder streichen, damit "funktionierende Geschäftsmodelle nicht beeinträchtigt werden"?Leak des Referentenentwurfs:https://drive.google.com/file/d/14ofJvyxYWf6TfY-vX_lzSS_rFrNf7icP/view(Via https://twitter.com/MatzkiH/status/1289212490954485761)
rufposten: “I've seen a lot of dark patter…” 31. Juli 2020
I've seen a lot of dark patterns that force users into "consent", but ad tech company Adjust surely is the winner for this month. (FYI: No, it's not legal)
rufposten: “Der SWR sucht für seine Innova…” 28. Juli 2020
Der SWR sucht für seine Innovationsplattform "SWR X Lab" Leute aus dem Bereich digitale Medienforschung, Medienproduktion und Projektmanagement. Die neue Chefin des Projekts, Vanessa Wormer, ist super, ich hab mit ihr bei der SZ mal zusammengearbeitet. https://www.swr.de/unternehmen/projektmanager-junior-100.html
rufposten: “Bayerns Kultusminister ließ El…” 26. Juli 2020
Bayerns Kultusminister ließ Eltern im großen Stil fragen, ob sie in die gesetzwidrige Verwendung von Microsoft Office und Teams durch ihre Kinder einwilligen. Hier erklärt der Rechtsanwalt Peter Hense, was er davon hält. https://www.sueddeutsche.de/bildung/digitales-lernen-unterfinanziert-unterbesetzt-unterkompetent-1.4979575
rufposten: “Die Woche nebenher geprüft und…” 25. Juli 2020
Die Woche nebenher geprüft und keine Tracker gefunden: - @wetell (faires Mobilfunk-Startup)- posteo.de (datenschutzfreundlicher E-Mailanbieter) #vorbildlich #DSGVOFast perfekt:- stiftung-warentest.de- commerzbank.deKeine Tracker, aber Scripteinbindung von Google (IP und URL kann von Google für Werbeprofile verwendet werden)- perakabel.de kein einziger Tracker, allerdings wird Paypal eingebunden, bevor man die Bezahlmethode wählt.
rufposten: “Die Branche tut nichts gegen d…” 23. Juli 2020
Die Branche tut nichts gegen den Etikettenschwindel. Unternehmen, die Werbung schalten wollen, können nicht garantieren, dass ihre Werbung nicht im gleichen Topf des gleichen Zwischenhändlers landet wie die Werbeeinnahmen von Breitbart. Auch Werbebetrug ist denkbar.Die anspruchsvolle Recherche konzentriert sich auf US-Beispiele. Aber auch deutschsprachige Seiten wie kurier.at, rtl.de oder t-online.de teilen falsch etikettierte Werbe-Konten mit […]

11 Comments

Leave a Reply