In den Ländern der EU und ganz speziell Deutschland werden persönliche Daten im Internet besonders geschützt. Gesetze zur Speicherung und Nutzung dieser Daten sind viel enger und einschränkender definiert als in anderen Ländern der Welt. Dadurch müssen sich Unternehmen für den deutschen Markt einige spezielle Ideen einfallen lassen. Wie Google damit bei Google Analytics umgeht, erklären wir hier einmal für Sie.

Warum die Gesetzeslage ein Problem für Google ist

Google will mit dem Web-Analysetool Google Analytics einen Daten-Ankerpunkt für Unternehmen darstellen. Dabei beobachtet das Tool die Website-Nutzung von Usern und zeichnet die Customer Journey auf. Dazu gehört auch zu schauen, von wo die User kamen und wo sie von der Website abspringen.

Am einfachsten für das Re-Targeting und das Wiederfinden des Users wäre es nun die IP-Adresse einfach zu speichern. Für die direkte Ansprache des Users wäre dann eine Zuordnung der IP-Adresse mit ausgefüllten Dokumentdaten (Name, Alter, etc.) sehr gemütlich. In den USA ist dies beinahe uneingeschränkt möglich, in der EU gilt allerdings die Datenschutzgrundverordnung (DSGVO). In der Verordnung für personenbezogene Website-Daten ist festgehalten, dass dieses Vorgehen verboten ist.

Welche möglichen Umgehungen bleiben Google gesetzlich?

Um dem geltenden EU-Recht zu entsprechen, bleiben im Grunde zwei Möglichkeiten. Google könnte die IP-Adressen entweder kürzen, oder das sogenannte Hashing nutzen. Beim Kürzen wird die letzte Nummer des IP-Blocks durch eine Null ersetzt. Dies gilt als Anonymisierung, weil dadurch nicht mehr das genaue Gerät der Nutzung erkennbar ist. Das Hashing (dt. „Zerhacken“) greift auf einen Algorithmus zurück, der aus einer IP einen Hash macht. Das heißt, dass die IP in einen verschlüsselten Klartext umgewandelt wird. Damit man diesen nicht wieder zur IP zurückformatieren kann, wird er zusätzlich mit einem Salt versehen. Beim sogenannten Salting wird dem Klartext (bspw. der IP) eine zufällige Zahlenfolge hinzugefügt, bevor sie gehashed wird. Dadurch kann man zwar immer den User wiedererkennen, aber nicht wer es ist und von wo er zugreift.

Wie löst Google das Problem tatsächlich?

Um Google in Google-Analytics die Websitedaten erfassen zu lassen, wird ein Analytics-Tag in den Quellcode der Website verbaut. Hier hat Google die Möglichkeit der automatischen IP-Anonymisierung eingebaut. Websitebetreiber können in den Analytics-Javascript-Bibliotheken entweder die Funktion „_anonymizelp“ (Bibliothek ga.js) oder „ ga(’set‘, ‚anonymizeIp‘, true)“ (Bibliothek analytics.js) einbauen. Dabei nutzt Google die einfache Funktion die IP-Adresse zu kürzen, anstatt Hashing zu betreiben.

Wie kann ich prüfen, ob meine Website die User IPs anonymisiert?

Wenn Sie sich unsicher sind, ob Ihre Website den DSGVO-Richtlinien zu Google-Analytics entspricht, können Sie das einfach prüfen. Die Universität Bamberg hat ein Programm entwickelt, das Ihre Website mit Google-Analytics automatisch auf IP-Anonymisierung durchleuchtet. Dazu brauchen Sie nichts Weiteres tun, als Ihre Website-URL in das Eingabefenster zu kopieren und „prüfen“ zu klicken.

Beispielhafter Website-Check im Uni-Bamberg Tool. Man sieht, dass alle Anfragen an Google Analytics mit IP-Anonymisierung versehen sind.

Möchten Sie jetzt noch wissen, wie Sie Ihre Website-Daten optimal nutzen können? Wir können Ihnen mit einer persönlichen Datenstrategie dabei helfen.