Allgemein

Mangelhafte Anonymisierung bei Google Analytics

Für das Analyse-Tool Google Analytics gibt es eine weit verbreitete Funktion, mit der jeder Website-Betreiber die IP-Adressen der getrackten Besucher kürzen und damit anonymisieren kann:

ga('set', 'anonymizeIp', true)

Ein edles Vorhaben, um das insbesondere die Hamburger Datenschutzbehörde bereits 2009 mit Google gestritten hat. Mit der dann 2011 eingeführten Funktion hat Google aber anscheinend nicht nur den Hamburger Datenschutzbeauftragten Johannes Caspar, sondern eine Menge ihrer Kunden aufs Glatteis geführt, denn es gibt eine beabsichtigte oder unbeabsichtigte Lücke: die Daten, die beim Laden des Scripts selbst anfallen, werden nicht anonymisiert. Leider hat bisher noch niemand darauf hingewiesen, selbst die Datenschutzbehörden erachten die Option nach wie vor für hilfreich. Die Anonymisierungsfunktion ist so aber aus DSGVO-Perspektive sinnlos.

Der technische Hintergrund: Die übliche Verwendung von Google Analytics geht in zwei Stufen vor: Bei einem Seitenbesuch wird das eingebundene Script durch den Browser eines Besuchers von Googles Server geladen und dann die enthaltenen Javascript-Funktionen ausgeführt. Erst in der Ausführung des Scripts wird die oben genannte Option für die Anonymisierung erkannt und als Parameter aip=1 an die Anfrage für das Zählpixel angehängt. In der Netzwerk-Analyse von Firefox ist das sehr schön sichtbar:

Der Parameter aip=1 löst die Anonymisierung in Zeile 2 und 3 aus – bei der Einbindung des Scriptes in der ersten Zeile fehlt er logischerweise noch.

Google kann also die IP des ersten Aufrufs nicht anonymisieren, zu diesem Zeitpunkt hat Google den Parameter noch nicht erhalten. Wenn der zweite Aufruf mit dem Parameter zur Anonymisierung eintrifft, könnte man nur rückwirkend die bereits verarbeitete IP aus dem ersten Aufruf kürzen – das wäre allerdings technisch schwierig und unpräzise. Die technische Beschreibung lässt keinen Zweifel: die IP-Adressen werden nur „innerhalb des Produktes“ gekürzt, wenn der Parameter aip=1 in der Anfrage gefunden wird – und zwar noch während sie im Arbeitsspeicher ist (also nicht rückwirkend). Daraus folgt, dass der erste Aufruf nicht anonymisiert wird, sondern wie jede andere Einbettung (z.B. von Google Fonts) über die Server-Logs von Google voll ausgewertet werden kann. Daraus folgt auch, dass der Aufruf rechtlich nicht unter die Auftragsverarbeitungsbedingungen von Google Analytics gezählt wird – tatsächlich wird hier ja noch nicht nach den Anweisungen eines vertraglich bekannten Websitebetreibers und auch nicht mit der Analytics-Software selbst getrackt. Die Einbindung des Scripts selbst ist eben noch „außerhalb des Produktes“ – ich kann das Lachen der Google-Manager bis hierhin hören. Das gilt übrigens für alle Varianten wie analytics.js, gtag.js oder ga.js. Gut vorstellbar, dass dieser Interpretationsspielraum auch von anderen Anbietern zentral gehosteter Lösungen für Tracking jenseits der Verträge genutzt wird.

Die datenschutzrechtlichen Folgen sind nicht zu vernachlässigen: Die weit verbreitete Ansicht, dass ein Tracking mit Google Analytics mit diesem Parameter IP-anonym ist und daher weniger Probleme mit der DSGVO macht, ist unter normalen Bedingungen falsch. Natürlich ist die Datenausbeute für Google gering; mehr als die IP-Adresse und den Referrer bekommt Google im ersten Aufruf nicht. Es könnte aber doch sein, dass sich damit ganze User-Journeys durch die Website verfolgen lassen – und die darf Google dann auch für eigene Vermarktungszwecke nutzen. Das ist bei den eigentlichen Analytics-Daten – soweit ich die Nutzungsbedinungen verstehe – untersagt. Die Cache-Zeit ist zwar auf 2h eingestellt, allerdings wurde das Script bei meinem Test für fast jeden Klick auf einer Website neu geladen (das kann aber auch an meinem Browser oder dem Website-Server liegen).

Gravierend ist außerdem, dass das Opt-Out per Plugin (von Anfang an eine bescheuerte Lösung) die Datensammlung durch den ersten Aufruf ebenfalls nicht verhindert – wie man sich aus diesem Hilfetext ebenfalls erschließen kann. Nach obiger Auslegung liegt die Verantwortung hierfür ja weiterhin beim Websitebetreiber: die Einbettung ist schließlich außerhalb des Produktes, außerhalb des Vertrages und daher außerhalb des Opt-Out-Verfahrens. Für Nutzer, die darauf vertraut haben, ist das sicher nicht zum Lachen.

Die Lösung des Problems ist für Websitebetreiber, die noch Vertrauen zu Google haben, relativ einfach: Wenn das Script auf dem eigenen Server platziert wird und von dort aus eingebunden wird, ist das Tracking IP-anonym (zumindest vertraglich garantiert) und damit unter Umständen DSGVO-konform. Technisch funktioniert das und ist erlaubt, Google selbst weist darauf hin. Wenn das Script im professionellen Einsatz immer aktuell sein soll, könnte der Admin das Script auch per Cronjob täglich auf dem Server automatisiert aktualisieren. Für ähnliche Fälle sollte man solche Scripte ebenfalls selbst hosten oder die bei der Einbindung anfallenden Daten explizit in den Auftragsverarbeitungs-Vertrag mit einbeziehen.

Das Fazit mal wieder: Traue den großen IT-Firmen nicht, sie sind immer eine Runde hinterlistiger als man denkt. Das Einbinden fremder Inhalte ist immer ein rechtliches und technisches Risiko – besser von Anfang an selbstgehostete Lösungen wie Matomo wählen, dann erkennen auch die Besucher sofort, dass ihre Daten nicht in fremde Hände fallen.

11 Comments

  1. Oliver Reply
    18. Februar 2019 at 19:52

    „Wenn das Script auf dem eigenen Server platziert wird und von dort aus eingebunden wird, ist das Tracking IP-anonym“

    Nur, wenn der Websitebetreiber seine eigenen Access-Logs anonymisiert.

  2. Kabelsalat Reply
    3. Juni 2019 at 15:02

    „Natürlich ist die Datenausbeute für Google gering; mehr als die IP-Adresse und den Referrer bekommt Google im ersten Aufruf nicht.“

    Ganz so wenig ist es nicht, was schon beim ersten Aufruf bei Google landet. Auch der User-Agent wird übermittelt und dadurch die genaue Version des verwendeten Web-Browsers, was beim Identifizieren helfen kann.

  3. Christoph Reply
    20. August 2019 at 23:36

    „Das Fazit mal wieder: Traue den großen IT-Firmen nicht“ ist etwas emotional ausgedruckt und impliziert Arglist, was nicht korrekt ist. Technisch ist die IP Adresse für den Datentransport zwingend notwendig und Teil der Transportinfrastruktur. Im Betrieb dieser Transportinfrastruktur wird diese Adresse ohnehin gespeichert und verarbeitet (auch um cyberrisiken zu begegnen), jedoch bei einem opt-out NICHT mit der Personen-Identität assoziiert.

    • Matthias Eberl Reply
      20. August 2019 at 23:47

      Die Arglist liegt darin, dass unabhängig von den technischen Bedingungen die gekürzte Speicherung nur an den IP-Adressen durchgeführt wird, die von dem Script gesendet werden, nicht aber von den IP-Adressen, die die Einbettungen abrufen. Und selbst wenn die IP-Adressen für Sicherheitsmaßnahmen gespeichert werden müssen, könnte man auf vertraglicher Ebene die Nutzung für Marketingzwecke ausschließen. Und das geschieht eben für die Daten aus der Einbettung NICHT.

      • Christoph Reply
        21. August 2019 at 8:25

        Zu der Aussage dass die IP aus dem Scriptaufruf für Marketingzwecke genutzt werden, fehlt mir leider die Evidenz, zumindest in ihrem Blogbeitrag. Gibts da eine Referenz?

        • Matthias Eberl Reply
          21. August 2019 at 9:22

          Da die Einbettung (arglistigerweise, muss ich nochmal betonen) nicht unter die speziellen AGBs von Google Analytics fällt, gelten die allgemeinen Datenschutzangaben. Und da ist, wie z.B. auch bei der Einbettung von Google Fonts, eine Verwendung für Marketingzwecke und Personalisierung rechtlich vereinbart.
          https://policies.google.com/privacy?hl=de#whycollect
          Ob und wie Google das kommerziell verwertet, ist unklar und tatsächlich werden IP-Adresse kaum für Usertracking verwendet. Dass der Datensatz aber völlig ungenutzt bleibt, ist kaum vorstellbar. Ein Hinweis bietet die Tatsache, dass Google so viele verschiedene Einbettungen kostenlos zur Verfügung stellt, während andere wenig profitable Dienste bereits eingestellt wurden.

          • Christoph
            21. August 2019 at 12:21

            Mir scheint der Eindruck, Sie haben sich hier etwas verrannt, was ich aus psychologischer Sicht nachvollziehen kann. Die gesamte Argumentation besteht auf einer grundsätzlich kritischen Grundhaltung. Ich meinerseits kann auch beim schwärzesten Willen keine Arglist erkennen.

          • Matthias Eberl
            21. August 2019 at 13:17

            Ohne kritische Grundhaltung wäre ich ein schlechter Journalist. Vielleicht versetzen Sie sich aber auch mal in die Lage von den Unternehmen, den Behörden und den Lesern, die seit 2009 denken, dass sie mit anonymizeIP oder dem Opt-Out-Plugin die IP-Adressen bei der Statistikerhebung anonymisieren können. Meinen Sie, die würden das alle einsetzen und für rechtlich sauber bewerten, wenn sie nicht getäuscht wären? Das macht ja alles keinen Sinn, wenn das Script weiterhin bei Google gehostet ist. Ich denke schon, dass z.B. der Datenschützer einer öffentlichen Behörde über diese Sachen ordentlich informiert werden sollte. Die Lösung, die Google anbietet und die die Behörden hier von Google eingefordert haben, hat jedenfalls 10 Jahre lang nicht das geleistet, was sie sollte. Das ist für mich eine Täuschung (und nicht die Dummheit von tausenden Experten, die das nicht zwischen den Zeilen lesen konnten).

  4. Christoph Reply
    23. August 2019 at 10:54

    Vielen Dank für Ihre Darstellung! Und ja sie sollen kritisch sein! Und genau deshalb verstehen zu versuchen, weshalb das so ist wie es ist. Grund ist die Architektur hinter Diensten in grossen Skalen. Und die zugehörigen Legal Frameworks in Unternehmen. Für Google wäre es ein Kinderspiel, den Abruf für das Script in die Google Analytics AGB zu nehmen. Dass es Google nicht gemacht hat ist nicht Arglist, sondern spricht für die Seriosität. Der Transport von Code von einem CDN zum Kunden ist nämlich nicht dasselbe wie der Dienst, der die Daten vom Kunden empfängt. Dies im Legal Framework zu verknüpfen wäre meines Erachtens eine Täuschung die ihre obergenannte Zielgruppe ruhigstellt. Das ist mein Antrieb für diesen Kommentar. Ich bin übrigens nicht mit Google assoziiert, sondern stehe wie Sie für einen echten Datenschutz ohne Politspiele. Vielen Dank für den Austausch, Herr Eberl

    • Matthias Eberl Reply
      23. August 2019 at 12:43

      Mir ist zwar klar, dass die IP-Anonymisierung bei dem Scriptabruf und auch beim Einsatz von CDNs kaum mehr möglich ist.
      Aber Google hätte zwei andere Optionen:
      1. Kunden und Behörden offen sagen, dass die IP-Anonymisierung nicht bei der Einbettung funktioniert
      2. Vertraglich garantieren, dass die IP-Daten nicht für Marketing verwendet werden. Lasse mich gerne aufklären: Warum geht das nicht – wo doch vermutlich die IP-Daten ohnehin kaum nützlich für Werbetracking sind?

      • Christoph Reply
        23. August 2019 at 22:37

        Zu Punkt 1) Ich denke nicht dass es sinnvoll ist dass Google die Privacy Policies zur Ausbildung der Kunden nutzt. Internetdienste sollten nicht durch Laien gebaut werden.

        Zu Punkt 2) Genau deshalb besteht auch kein echter Bedarf dies zu garantieren. Denn die Analytics Policy lässt es ohnehin nicht zu die IP zum Analytics Datensatz zu korrelieren, egal aus welcher Quelle. Genau genommen darf Google die CDN IP’s zu Marketingzwecken verwenden, jedoch NICHT für Google Analytics. Da bleibt nun aber nichts mehr übrig, da ausser IP und HTTP Header nichts mehr übermittelt wird. Eine explizite Garantie im Vertrag ist überflüssig.

Leave a Reply