Im Blog „Fruchtmark“ erscheinen Beiträge zu Strategie und Praxis des Digital Business – unregelmäßig, pointiert und gern „gegen den Strich“.

Die Fructus-Website läuft seit kurzem mit Google Analytics. Ein Anlass, einen kleinen Ausflug in die Fragestellungen von Webanalyse zu unternehmen: Wie ist die Situation um den Einsatz von Google Analytics (A.) ? Wie ist sie generell bei Analytics-Werkzeugen (B.) ? Und ist das alles überhaupt die richtige Diskussion angesichts aktueller Entwicklungen (C.) ?

A. Google Analytics

1. Rechtslage ungeklärt: Rechtlich geht es für kommerzielle Websites die Frage, ob die IP-Adresse, die an Google Inc. übermittelt wird, ein personenbezogenes Datum nach BDSG ist oder nicht. Wenn ja, ist eine Einwilligungserklärung erforderlich. Im Moment steht es 3 zu 1: AG Berlin Mitte, LG Berlin und LG Bielefeld für ja, LG München für nein. Es wäre wünschenswert, wenn hier nach nun eineinhalb Jahren Klarheit wäre.

2. Schutzzweck für „Geschützte“ nicht erreicht: Derzeit raten alle aufgrund der unklaren Rechtslage, die Google Nutzungsbedingungen einzubinden. Die Frage ist jedoch, was damit unter Datenschutzgesichtspunkten gewonnen ist. Denn vermutlich versteht niemand dieses 199-Wort-Getüm mit Bandwurmsätzen kalifornischen Rechts. Ein einfacher Hinweis (mein Vorschlag) wie

Sie erklären sich durch die Benutzung dieser Website damit einverstanden, dass die aktuelle IP-Adresse Ihres Rechners an Google Inc. gesandt und zur anonymisierten Analyse dieser Website verarbeitet wird, falls Sie in Ihren Browser-Einstellungen Cookies erlaubt haben. (Hinweis nach § 13 Abs. 1 TMG)

wäre zwar auch nicht gerade leichte Kost, aber immerhin für technikaffine Surfer verständlich. Doch leider ist das wiederum von Google nicht erlaubt, denn das 199-Wort-Getüm ist Bestandteil der Nutzungsbedingungen von Google. Daher, liebes Google: Bitte mach einen schlanken, verständlichen Vorschlag. Thank You.

3. Neue technische Analytics-Lösungen für Betreiber: Während Gerichte und Datenschützer noch diskutieren, haben sich einige Techniker des Problems angenommen.

Möglichkeit 1 ist der Einbau einer Opt-Out-Funktion durch den Betreiber. Andere Tools wie eTracker bieten diese Möglichkeit, einem Protokollieren von Nutzungsdaten zu widersprechen, Google jedoch nicht. Marco Hassler hat kürzlich in einem Blog-Beitrag eine einfache JavaScript-Lösung vorgestellt, die auf Wunsch den Aufruf von Analytics unterdrückt. Websitebetreiber, die sich entschließen können, auf ein bisschen Daten zu verzichten, sind damit fein raus. Well done, Mr. Hassler.

Möglichkeit 2 ist das Anonymisieren der an Google gesandten IP-Adresse mit einem Server-Script von Lunapark, www.analytics-anonym.de (siehe Blogeintrag , Tekkies only, bitte.).

B. Bewertung

1. Falscher Fokus der Diskussion in Bezug auf Google: Für private Nutzer (und die meisten Firmenarbeitsplätze) existiert praktisch kein Datenschutzproblem, da diese mit dynamischen IP-Adressen ihres Providers surfen und somit nicht bestimmbar sind. Die Identität eines Nutzers wird also auch mit IP-Adress-Übertragung nur dann bestimmbar, wenn Google die Daten eines Access Providers hätte und so die dynamischen IPs zu Nutzern auflösen kann. Hat Google aber nicht. Access Providern ist es auch verboten, diese Daten zu übermitteln. (Das einzige Risiko ist, dass Google einen solchen Provider übernimmt und dann Daten zusammenführt. Das ist jedoch auf absehbare Zeit ausgeschlossen, weil eine solche Übernahme nichts zum werbefinanzierten Geschäftsmodell beitrüge.) Das Tracking ist also allenfalls ein Randproblem. (Und wegen statischer IP-Adressen u.ä. der Tool-Einsatz ingesamt angreifbar, s. A. 1.)

Anders ist die Situation für Nutzer eines Google-Accounts. Wenn man Google zutraut, die Daten eines Tages mit den Analytics-Daten zusammenzuführen (das wäre in der Tat ein Datenschutz-Problem), dann sollte man nicht sagen: Leute, nutzt Analytics nicht. Man sollte sagen: Leute, nutzt keinen Google-Account. Und wenn Ihr es doch tut und Google nicht vertraut, bedient Euch der Ratschläge, Cookies auszuschalten, diese nur sessionweise zu erlauben, sie mit Plugins zu managen, Analytics in die Hosts-Datei einzutragen oder gleich für die Subdomain analytics.google.com zu verbieten.

2. Richtiger Fokus: Webanalyse-Werkzeuge allgemein und technische Umgehung

Das Datenschutzproblem betrifft nicht nur die Verwender von Google Analytics, sondern auch viele große Websites, die professionelle Webcontrolling-Werkzeuge wie Omniture nutzen. Ich habe einige kurze Stichproben bei zwei handvoll deutschen Websites gemacht, und was ich dort an Trackingcode und Nutzungsbedingungen sah, sah bei jeder zweiten Stichprobe nicht besonders überlegt aus. Liebe Websitebetreiber: Bitte mal prüfen. Will sagen: Fehlerhafte Nutzungsbedingungen sind kein Google-Problem, sondern ein Branchenproblem. (Datenspeicherung im Ausland natürlich nicht.)

Und: Browser-Cookies sind längst nicht das einzige Problem.  Spannend wird es erst bei sog. Flash-Cookies und DOM-Cookies der neueren Browsergenerationen. Die kann man zwar auch ausschalten, aber es ist umständlich und kaum bekannt. Wenn Sie Windows-User sind, gucken Sie mal in das Verzeichnis \\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ und sie werden sich wohlmöglich wundern.

C. Relevanz der Diskussion

Auf die Frage, in welchem Umfang Webanalyse zulässig ist oder sein soll, kann man auf einer (wirtschafts- und datenschutz-) politischen Ebene mit guten Argumenten sowohl mit Pro als auch mit Contra antworten. Ganz aktuell scheint es mir aber wichtiger zu sein, sich mit der Frage zu beschäftigen, wie mit explizit preisgegebenen privaten Daten und Suchanfragen umzugehen ist.

Allein die Geschehnisse der letzten vier Wochen: Die Privacy-Umstellung von Facebook letzte Woche (mit Voreinstellung, dass bestimmte private Daten Suchmaschinen zur Verfügung gestellt werden), die Bereitstellung von Twitter-Tweets an Suchmaschinen, 180-Tage-Suchanfragen-Speicherung von Google und die formalistische Diskussion um die Datenaggregation durch Personensuchmaschinen erscheint mir da wichtiger. Die nächsten Releases von Suchmaschinen, die Facebook-Freundeslisten und Twitter-Follower zusammen mit Inhalten bzw. Tweets navigierbar machen, sind schon am Start. Es mutet etwas kurios an, dass die obersten Datenschutzbehörden ausgerechnet zu diesem Zeitpunkt mit einem Beschluss zum Thema Webanalyse kommen. Als jemand, der in den Zeiten des Volkszählungsurteils sozialisiert wurde, habe ich Sympathie für das Anliegen, Zeitpunkt und Themenschwerpunkt wundern dann aber doch.

Mein Eindruck ist, dass jetzt der Zeitpunkt für eine thematisch breitere Debatte um Privatsphäre ist, die in den politischen Raum gehört und nicht allein zwischen Privatunternehmen und Behörden ausgetragen werden sollte; es fehlt eine Plattform im politischen Meinungsbildungsprozess, die Vorschläge entwickelt und abwägt, bevor das Kind wieder so in den Brunnen fällt wie beim ZugangserschwerungsG (Internetsperre).

Auch ist nicht allein die Frage, was gerade technisch geht und dass Nutzung und Angaben freiwillig und fremdfinanziert sind – drei typische Argumentationsreflexe der Internetgemeinde -, sondern was in 10 Jahren sein soll. Genausowenig wie es angesichts der kommenden Entwicklung ausreicht, wenn sich die Rechtsprechung bei der Auslegung einzelner Begriffe von 30 Jahre alten Bundesgesetzen vereinheitlicht.

Vielleicht geht es sogar um das „Future Internet“, denn die Kernprotokolle des Internets sind seit 17 Jahren unverändert und es wird in der Forschung längst diskutiert, wie Vertrauenswürdigkeit, Sicherheit und Privatsphäre durch neue Architekturen gewährleistet werden können. Was spricht denn zum Beispiel dagegen, dass Informationseinheiten in einer neuen Internetarchitektur einen „Owner“ haben, der über deren Verwendung und Gültigkeit jederzeit selbst bestimmen kann? „Gedruckt ist gedruckt.“? Vielleicht ist Technik nicht nur der Urheber des Problems, sondern auch dessen Lösung.

Und vielleicht müssen wir über unsere konzeptionellen Paradigmen nachdenken. Das Internet hat mit dem Social Web eine neue Stufe des Austausches erreicht, die ungeachtet aller Mängel, Inhaltsschwächen und Pannen einer demokratischen Gesellschaft förderlich ist. Unsere Denkweise der Grundrechte wird (historisch gesehen zu recht) von der Sicht geprägt, wie der Einzelne gegen staatliche Eingriffe geschützt werden kann; Juristen haben schon lange ihre Mühe damit, diese Abwehrrechte auf die Beziehungen privater zu übertragen und mit BDSG & Co eigene Rechtsregime entwickelt. Was nun mit dem Social Web entstanden ist, hat aber möglicherweise endgültig eine neue Qualität. N:n-Kommunikation unter Privaten ist etwas anderes als die Preisgabe von Daten im Vorfeld einer Transaktion mit einem Unternehmen. Vielleicht müssen wir diese Kommunikation gesondert schützen wie einst das Briefgeheimnis, als es noch Briefe gab? Ist eine Mail an 20 Personen anders zu schützen als ein Posting an 20 Facebook-Freunde? Vielleicht müssen wir auch für eine Economy of Trust Schutzzonen und Sonderregeln entwickeln?