Websites lassen sich wunderbar mit Google Analytics auswerten. Wie fast alle Dienste des US-Konzerns ist auch dieses Statistik-Werkzeug kostenlos.
Doch der Auswertungsdienst steht in der Kritik. Einige Datenschützer und Juristen sind der Meinung, dass Google Analytics gegen das deutsche Datenschutzgesetz verstößt.
Hamburgs Datenschutzbeauftragte Johannes Caspar droht mit Musterprozessen gegen deutsche Unternehmen, die die Statistiksoftware einsetzen. Firmen und Bloggern drohen Bußgeldzahlungen und Abmahnungen.
Betroffen wären auch viele deutsche Buchverlage, Autoren- und Branchenwebsites.
literaturcafe.de hat nachgeschaut, wer die umstrittene Auswertungssoftware einsetzt.
Google Analytics: Infos über Website und Besucher
Google Analytics ist rasch auf der Website installiert: Man meldet sich bei Google an und baut einen kleinen Codeschnipsel auf jeder Seite der Website ein. Für weitverbreitete Content-Management-Systeme wie WordPress, Typo3 oder Joomla gibt es praktische Erweiterungen, sodass der Einbau in Sekunden erledigt ist. Googles Statistiksoftware ist beliebt und auch große Unternehmen setzen zur Auswertung Google Analytics ein.
Fortan liefert die Google Software kostenlos Statistiken über die Website und deren Besucher. Man sieht, wie oft welche Seiten aufgerufen werden, woher die Besucher kommen, wie lange sie auf der Website bleiben und was sie dort besonders interessiert. Welche Suchbegriffe haben sie eingegeben, um auf die Website zu gelangen. Kamen sie nur einmal vorbei oder regelmäßig?
Wer darüber hinaus Werbeanzeigen via Google Adwords schaltet, der sieht, wie effizient diese sind.
Diese Verlage, Branchenmagazine und Autoren setzen Google Analytics ein
Wir haben am 12. Januar 2011 stichprobenartig auf den Websites deutscher Verlage, auf Autorenwebsites und bei Branchenmedien nachgesehen, wer Google Analytics einsetzt. Besonders bei den Verlagen sind es erstaunlich viele. Die komplette RandomHouse-Gruppe (Bertelsmann) mit Verlagen wie Heyne, Diana, DVA und Goldmann setzt darauf, ebenso dtv, C. H. Beck, Suhrkamp und Piper. Bei den Holtzbrinck-Verlagen ist die Lage uneinheitlich: Die Seiten von Rowohlt und Kiepenheuer & Witsch werden mit Google ausgewertet, die von S. Fischer und Droemer nicht. Hanser und Bastei Lübbe arbeiten nicht mit Google Analytics.
Die Branchenmagazine Buchreport und Buchmarkt nutzen Google Analytics, das Börsenblatt hingegen nicht.
Auf Websites, die von Autoren direkt betreut werden, kommt Google Analytics kaum zum Einsatz. Bei unseren Stichproben fanden wir den Zählcode bei Sebastian Fitzek und Jürgen Todenhöfer.
Personenbezogene Daten an Dritte weitergegeben
Nach deutschem Datenschutzgesetz ist die Speicherung und Weiterverarbeitung von personenbezogenen Daten nur mit ausdrücklicher Einwilligung der Person zulässig. Man kennt diese kleingedruckte Passage von Papier- und Webformularen und sollte ein Kreuzchen tunlichst vermeiden, speziell dann, wenn die Daten an »Dritte« oder »Kooperationspartner« weitergegeben werden.
Eine solche Weitergabe »an Dritte« findet bei Google Analytics ohne Frage statt. Google speichert die Statistikdaten auf us-amerikanischen Webservern. Was damit genau passiert, das weiß niemand, nicht einmal die, die Google Analytics für die Auswertung der eigenen Websites nutzen. Denkbar ist, dass Google sie bei der Relevanzbewertung der Suchergebnisse einfließen lässt oder für (anonymisierte) Branchen- und Websitevergleiche wie den Adplanner heranzieht.
Die alles entscheidende Frage ist: sind die Daten, die Google erhebt, tatsächlich personenbezogen? Lässt sich aus den Daten genau herauslesen, welche Bücher Lisa Müller auf der Rowohlt-Website angesehen hat? Nur wenn sich die digitalen Spuren eindeutig zu einer Person zurückverfolgen lassen, wären sie personenbezogen.
Bußgeldzahlungen bis zu 300.000 Euro
Wäre das der Fall, so verstießen alle Website-Betreiber, die die Statistik-Software des Google-Konzerns einsetzen, gegen das Gesetz. Dann könnten laut Datenschutzgesetz den Website-Anbietern Bußgeldzahlungen in Höhe von bis zu 300.000 Euro drohen oder kostenpflichtige Abmahnungen.
Im Impressum der Website auf den Einsatz von Google Analytics hinzuweisen dürfte nicht ausreichen, da dies nicht als Einverständnis des Nutzers gewertet wird. Ein Hinweisfenster »Diese Website setzt Google-Analytics ein. Wenn Sie mit der Speicherung Ihrer Daten nicht einverstanden sind, verlassen Sie bitte unser Angebot« ist ebenfalls wirklichkeitsfern.
Ebenfalls in der Diskussion sind Browser-Erweiterungen, die das Code-Schnipsel von Google ausblenden. Doch auch diese müssten vom Nutzer aktiv installiert werden und sind nicht für alle Browser verfügbar.
Welche Daten sind »personenbezogen«?
Noch immer bleibt die Frage: Sind die Daten, die Google erhebt, tatsächlich personenbezogen? Dabei geht es wohlgemerkt nicht um die Daten, die die Anwender von Google Analytics angezeigt bekommen, denn damit lässt sich die Aktivität von Einzelpersonen nicht zurückverfolgen. Was aber speichert Google tatsächlich?
Drei Elemente werden diskutiert, die eine genaue Zuordnung zu einzelnen Personen ermöglichen könnten:
- die IP-Adresse
- der digitale Fingerabdruck des Browsers
- die Verknüpfung mit einem Google-Profil
Ob eine IP-Adresse personenbezogen ist, das ist bei Juristen und Gerichten umstritten.
Jeder Rechner, der mit dem Internet verbunden ist, besitzt eine IP-Adresse. Doch ist diese IP-Adresse vergleichbar mit einer postalischen Adresse? Speziell bei privaten Anschlüssen wechselt die Zahl bei jeder Einwahl, zumindest über den Provider lässt sich die Nummer eindeutig einer Person zuordnen. Diese Zuordnungstabellen hat Google jedoch nicht.
Firmennetzwerke geben sich nach außen hin meist mit einer einheitlichen IP-Adresse zu erkennen. Welcher der 200 Angestellten die Website des Suhrkamp Verlags angesurft hat, bleibt da ebenfalls im Dunkeln.
Ähnlich verhält es sich mit dem so genannten digitalen Fingerabdruck des Browsers bzw. Rechners eines Websurfers. Mithilfe von JavaScript-Schnipseln, wie Sie Google-Analytics einsetzt, lassen sich eine Vielzahl von Daten auslesen. Dies geht so weit, dass ermittelt werden kann, welche Schriftarten auf dem Computer vorhanden sind. Hieraus lassen sich weitere Daten gewinnen z.B. welche Version des Office-Pakets von Microsoft installiert ist. Die Menge dieser Daten ist so vielfältig, dass der »Abdruck« unseres Redaktionsrechners von 1.360.946 bislang getestet Rechnern tatsächlich einzigartig war. Allerdings ist dies nicht bei jedem Computer der Fall, und die Zahl der übermittelten Daten lässt sich allein dadurch reduzieren, dass man Javascript im Browser deaktiviert. Und ähnlich wie bei der IP-Adresse fehlt die eindeutige Personenzuordnung.
Was aber, wenn man ein so genanntes Google-Konto besitzt? Dieses ist für die Nutzung fast jedes Google-Dienstes notwendig, egal ob Google Mail oder Google Adsense. Hier sind in der Regel echte postalische Adressdaten hinterlegt und Google kann die Identität mit einem Cookie auf der Festplatte speichern. Auf diesen Cookie hätte auch Google Analytics Zugriff. Und selbst wenn der Cookie nicht gesetzt ist, könnte Google zur Identifizierung den bei der Anmeldung ermittelten digitalen Fingerabdruck heranziehen. Doch ist damit wirklich eine Person identifiziert oder nur ein Computer?
Das Gleiche gilt auch für eine IP-Adresse. Sie mag zwar via Provider einem Kunden zugeordnet sein, doch surft dieser tatsächlich am Rechner oder ist es die Ehefrau oder das Kind? Und ist das juristisch relevant?
Technik und Gesetz: Keine Frage der Logik
Wie so oft, wenn Technik und Gesetz aufeinandertreffen, lässt sich die Frage nicht nach logischen Maßstäben bewerten, sondern es liegt an der subjektiven Einschätzung des jeweiligen Gerichts. Das Tatsächlich gibt es Urteile, die sagen: Ja, die IP-Adresse ist personenbezogen. Wieder andere Gerichte urteilen gegenteilig.
Genau aus diesem Grunde kündigt Hamburgs Datenschützer einen Musterprozess an, um gerichtlich feststellen zu lassen, ob die von Google gespeicherten Daten personenbezogen sind. Doch selbst mit einem ersten Urteil wäre wenig erreicht. Bis tatsächlich Rechtssicherheit besteht, müsste der Weg durch alle Instanzen bis hin zu europäischen Gerichten gegangen werden. Das kann Jahre dauern.
Ist jede Web-Analyse-Software illegal?
Denn letztendlich betrifft die Frage nicht nur Google Analytics, den IP-Adressen kann jede Statistik-Software speichern. Würde es eine Gerichtsentscheidung geben, die eine IP-Adresse eindeutig als personenbezogen erklärt, so begingen fortan alle Website-Betreiber, die die IP-Adressen ihrer Besucher speichern, eine strafbare Handlung.
Wer also schon jetzt auf Anbieterseite ganz sichergehen will und eher aus »moralischen« Gründen keine vielleicht nutzerbezogenen Daten speichern möchte, der sollte auf Alternativen wie PIWIK setzten, das das Anonymisieren von IP-Adressen erlaubt.
Diese Programme mögen nicht ganz so viel bieten wie Google Analytics, doch wer eigene Auswertungstools wie PIWIK einsetzt, kann zumindest sicher sein, dass die Daten im Hause bleiben.
Einsatz von Google Analytics bedeutet Verlust der Datenhoheit
Denn Zugriffstatistiken sind – vor allen Dingen in der Tiefe der Daten – wichtiges digitales Firmenkapital, das wie wir gesehen haben auch viele Verlage bereitwillig an einen us-amerikanischen Konzern abgeben, wenn sie dafür bunte Grafiken erhalten.
Was Google noch mit den Daten macht, mit welchen anderen Zahlen sie verknüpft werden und welche Werte zusätzlich gespeichert werden, von denen auch die »Kunden« nichts wissen, das bleibt ein Geheimnis.
Somit wird die Frage, ob man mit dem Einsatz von Google Analytics gegen Datenschutzrecht verstößt und Bußgelder drohen, in naher Zukunft sicherlich nicht eindeutig beantwortet werden können.
Vielmehr stellt sich beim Einsatz der Auswertungssoftware die Frage, ob man wertvolles Firmenkapital tatsächlich einem »Dienstleister« anvertrauen möchte, der verschweigt, was wirklich damit passiert. Wer seine Website mit Google Analytics auswertet, hat die »Datenhoheit« längst verloren.
Nachtrag: Datenschützer Caspars Eigentor
Wir hatten es erwähnt: Wäre Google Analytics illegal, weil IP-Adressen gespeichert werden, dann wären 95% aller Auswertungsprogramme illegal. Dies betrifft auch das Zählverfahren der IVW, mit dem insbesondere große und kleinere Medien-Websites ausgewertet werden. Deren Abrufzahlen sind öffentlich einsehbar und dienen Werbetreibenden zur Orientierung. Und auch das System der VG-Wort, das u.a. auf literaturcafe.de eingesetzt wird, wäre in der heutigen Form unzulässig.
Just das IVW-Zählpixel wurde Hamburgs Datenschützer Prof. Dr. Johannes Caspar zum Verhängnis. Caspar wetterte gegen Google und drohte in der FAZ mit Musterklagen gegen Unternehmen, die Google Analytics einsetzen.
Nun ist das Angebot hamburg.de kein Angebot, das von der Stadt Hamburg getragen wird, sondern maßgeblich vom Axel Springer Verlag. Allein das ist schon eine merkwürdige Konstellation. Wie seine Zeitungen BILD und Welt wertet Springer auch hamburg.de nach dem IVW-Verfahren aus.
Auf diesen zwiespältigen Umstand machte Rechtsanwalt Thomas Stadler in seinem Weblog aufmerksam. In den Kommentaren zu Stadlers Beitrag argumentierte dann Caspar allen ernstes mit den Worten:
Der Online-Auftritt meiner Dienststelle läuft über Hamburg.de. Über die technische Infrastruktur unserer Seite entscheiden daher nicht ich oder meine Mitarbeiter, sondern dieses Unternehmen.
Man stelle sich vor, die Verlage Goldmann oder Heyne würden ähnlich argumentieren, da sie nun mal die technische Infrastruktur der RandomHouse-Gruppe nutzen. Der Datenschützer würde eine solche Argumentation hier sicherlich nicht durchgehen lassen.
Caspar griff zur radikalsten Lösung: Er schaltete sein Angebot auf hamburg.de am Nachmittag des 13.01.2011 einfach ab.
Sarkastisch kommentierte Rechtsanwalt Udo Vetter in einem Beitrag zu diesem Vorfall:
Immerhin kann Caspar jetzt ja den Musterprozess gegen die Stadt Hamburg führen.
Nachtrag II:Google und Datenschützer einigen sich: Google Analytics künftig in Deutschland datenschutzkonform
Am 15. September 2011 haben sich Google und Datenschützer geeinigt und laut Aussage des Hamburgischen Datenschutzbeauftragten Johannes Caspar, der für Google zuständig zeichnet, ist für deutsche Webseitenbetreiber ein »beanstandungsfreier Betrieb von Google Analytics ab sofort möglich«, da Google an seinem Dienst entsprechende Änderungen vorgenommen hat.
Website-Betreiber, die Google Analytics einsetzen, sollten dabei zwei Dinge beachten:
- Nutzer müssen die Möglichkeit haben, dass ihre Daten von Google Analytics nicht aufgezeichnet werden. Hierzu stellt Google für fast alle Browser entsprechende Plugins bereit. Website-Betreiber sollten auf die Möglichkeit, diese Plugins zu nutzen, in ihren Datenschutzrichtlinien hinweisen.
- Ebenso müssen Website Betreiber, die Google Analytics einsetzen, die IP-Adresse der Besucher maskieren. Google hält hierzu eine Anleitung bereit, wo sich diese Einstellung in Analytics befindet.
Nachdem diese beiden Punkte beachtet wurden, sollte dem datenschutzkonformen Betrieb von Google Analytics nichts mehr im Wege stehen.