Für das Analyse-Tool Google Analytics gibt es eine weit verbreitete Funktion, mit der jeder Website-Betreiber die IP-Adressen der getrackten Besucher kürzen und damit anonymisieren kann:

ga('set', 'anonymizeIp', true)

Ein edles Vorhaben, um das insbesondere die Hamburger Datenschutzbehörde bereits 2009 mit Google gestritten hat. Mit der dann 2011 eingeführten Funktion hat Google aber anscheinend nicht nur den Hamburger Datenschutzbeauftragten Johannes Caspar, sondern eine Menge ihrer Kunden aufs Glatteis geführt, denn es gibt eine beabsichtigte oder unbeabsichtigte Lücke: die Daten, die beim Laden des Scripts selbst anfallen, werden nicht anonymisiert. Leider hat bisher noch niemand darauf hingewiesen, selbst die Datenschutzbehörden erachten die Option nach wie vor für hilfreich. Die Anonymisierungsfunktion ist so aber aus DSGVO-Perspektive sinnlos.

Der technische Hintergrund: Die übliche Verwendung von Google Analytics geht in zwei Stufen vor: Bei einem Seitenbesuch wird das eingebundene Script durch den Browser eines Besuchers von Googles Server geladen und dann die enthaltenen Javascript-Funktionen ausgeführt. Erst in der Ausführung des Scripts wird die oben genannte Option für die Anonymisierung erkannt und als Parameter aip=1 an die Anfrage für das Zählpixel angehängt. In der Netzwerk-Analyse von Firefox ist das sehr schön sichtbar:

Google kann also die IP des ersten Aufrufs nicht anonymisieren, zu diesem Zeitpunkt hat Google den Parameter noch nicht erhalten. Wenn der zweite Aufruf mit dem Parameter zur Anonymisierung eintrifft, könnte man nur rückwirkend die bereits verarbeitete IP aus dem ersten Aufruf kürzen – das wäre allerdings technisch schwierig und unpräzise. Die technische Beschreibung lässt keinen Zweifel: die IP-Adressen werden nur „innerhalb des Produktes“ gekürzt, wenn der Parameter aip=1 in der Anfrage gefunden wird – und zwar noch während sie im Arbeitsspeicher ist (also nicht rückwirkend). Daraus folgt, dass der erste Aufruf nicht anonymisiert wird, sondern wie jede andere Einbettung (z.B. von Google Fonts) über die Server-Logs von Google voll ausgewertet werden kann. Daraus folgt auch, dass der Aufruf rechtlich nicht unter die Auftragsverarbeitungsbedingungen von Google Analytics gezählt wird – tatsächlich wird hier ja noch nicht nach den Anweisungen eines vertraglich bekannten Websitebetreibers und auch nicht mit der Analytics-Software selbst getrackt. Die Einbindung des Scripts selbst ist eben noch „außerhalb des Produktes“ – ich kann das Lachen der Google-Manager bis hierhin hören. Das gilt übrigens für alle Varianten wie analytics.js, gtag.js oder ga.js. Gut vorstellbar, dass dieser Interpretationsspielraum auch von anderen Anbietern zentral gehosteter Lösungen für Tracking jenseits der Verträge genutzt wird.

Die datenschutzrechtlichen Folgen sind nicht zu vernachlässigen: Die weit verbreitete Ansicht, dass ein Tracking mit Google Analytics mit diesem Parameter IP-anonym ist und daher weniger Probleme mit der DSGVO macht, ist unter normalen Bedingungen falsch. Natürlich ist die Datenausbeute für Google gering; mehr als die IP-Adresse und den Referrer bekommt Google im ersten Aufruf nicht. Es könnte aber doch sein, dass sich damit ganze User-Journeys durch die Website verfolgen lassen – und die darf Google dann auch für eigene Vermarktungszwecke nutzen. Das ist bei den eigentlichen Analytics-Daten – soweit ich die Nutzungsbedinungen verstehe – untersagt. Die Cache-Zeit ist zwar auf 2h eingestellt, allerdings wurde das Script bei meinem Test für fast jeden Klick auf einer Website neu geladen (das kann aber auch an meinem Browser oder dem Website-Server liegen).

Gravierend ist außerdem, dass das Opt-Out per Plugin (von Anfang an eine bescheuerte Lösung) die Datensammlung durch den ersten Aufruf ebenfalls nicht verhindert – wie man sich aus diesem Hilfetext ebenfalls erschließen kann. Nach obiger Auslegung liegt die Verantwortung hierfür ja weiterhin beim Websitebetreiber: die Einbettung ist schließlich außerhalb des Produktes, außerhalb des Vertrages und daher außerhalb des Opt-Out-Verfahrens. Für Nutzer, die darauf vertraut haben, ist das sicher nicht zum Lachen.

Die Lösung des Problems ist für Websitebetreiber, die noch Vertrauen zu Google haben, relativ einfach: Wenn das Script auf dem eigenen Server platziert wird und von dort aus eingebunden wird, ist das Tracking IP-anonym (zumindest vertraglich garantiert) und damit unter Umständen DSGVO-konform. Technisch funktioniert das und ist erlaubt, Google selbst weist darauf hin. Wenn das Script im professionellen Einsatz immer aktuell sein soll, könnte der Admin das Script auch per Cronjob täglich auf dem Server automatisiert aktualisieren. Für ähnliche Fälle sollte man solche Scripte ebenfalls selbst hosten oder die bei der Einbindung anfallenden Daten explizit in den Auftragsverarbeitungs-Vertrag mit einbeziehen.

Das Fazit mal wieder: Traue den großen IT-Firmen nicht, sie sind immer eine Runde hinterlistiger als man denkt. Das Einbinden fremder Inhalte ist immer ein rechtliches und technisches Risiko – besser von Anfang an selbstgehostete Lösungen wie Matomo wählen, dann erkennen auch die Besucher sofort, dass ihre Daten nicht in fremde Hände fallen.