Einbindung von Google Analytics über Proxy Server

von Franziska Kössl

In den Stellungnahmen der österreichischen und französischen Datenschutzbehörde zum Einsatz von Google Analytics steht vor allem die technische Konfiguration im Vordergrund und weniger die vertragliche Ausgestaltung.

Über die Inhalte der Stellungnahmen informierten wir Sie in unserem Blogbeitrag: „Entscheidung der österreichischen Datenschutzaufsichtsbehörde – Datenübermittlung durch Google Analytics rechtswidrig“. In Anlehnung an unser YouTube Video "10 datenschutzrechtliche Problemstellungen und Lösungsmöglichkeiten bei Google Analytics" betrachten wir im folgenden Blogbeitrag die Problematik mit der Einbindung von Google Analytics aus technischer Sicht.

IP-Anonymisierung unzureichend

Die gängige Praxis, um Google Analytics möglichst datenschutzfreundlich einzusetzen, ist das Einholen einer Einwilligung des Seitenbesuchers und die Aktivierung der IP-Anonymisierung. Problematisch hierbei ist, dass die IP-Anonymisierung erst bei Google stattfindet und somit, anders als der Name vermuten lässt, nicht anonymisierte Daten an Google übermittelt werden. Es findet eine Datenverarbeitung mit ungekürzten IP-Adressen der Betroffenen auf den europäischen Servern statt, worauf der US-Mutterkonzern jedoch zugreifen kann. Hinzu kommt, dass an Google eine große Anzahl weiterer technischer Daten geht, die den Betroffenen für Google identifizierbar machen.

Einbindung von Google Analytics über einen Proxy-Server

Als Möglichkeit dieses Problem zu umgehen, empfiehlt die französische Datenschutzbehörde CNIL Google Analytics nicht direkt einzubinden, sondern die Verbindung über einen Proxy-Server herzustellen.

Ein Proxy-Server dient als Vermittler in einem Netzwerk, der Anfragen entgegennimmt und sie stellvertretend weiterleitet. Die Kommunikation findet also nicht mehr zwischen dem Browser des Betroffenen und dem Google Server statt, sondern über eine Verbindungsbrücke. Damit erlangt der Verantwortliche die Kontrolle über die Daten seiner Betroffenen zurück. Das schafft Rechtssicherheit für den Verantwortlichen und Transparenz gegenüber den Betroffenen.

Um über den eingesetzten Proxy-Server, den datenschutzkonformen Einsatz von Google Analytics zu erreichen, muss bei der Konfiguration einiges beachtet werden.

Konfiguration des Proxy-Servers

Der Verantwortliche hat bei der Konfiguration des Proxy-Servers zu beachten, dass unter keinen Umständen Parameter zu Identifizierung der Betroffenen an Google übermittelt werden. Die IP-Adresse sowie Geräteinformationen dürfen nicht übermittelt werden und Benutzerkennungen müssen durch den Proxy-Server ersetzt werden. Alle Informationen, die einem digitalen Fingerabdruck gleichkommen, müssen so aufbereitet werden, dass keine Identifizierung der Betroffenen mehr möglich ist. Die Informationen, die eine Re-Identifizierung ermöglichen, sind zu löschen.

Nachteile aus unternehmerischer Sicht

Aus datenschutzrechtlicher Sicht und aus Perspektive des Betroffenen bietet das beschriebene Vorgehen einige Vorteile. Aus rein unternehmerischer Sicht entstehen jedoch auch Nachteile bei dieser Form der Implementierung. Für das Hosting und die richtige Konfiguration des Servers ist zum einen Fachkenntnis erforderlich und zum anderen entsteht ein finanzieller Aufwand. Nutzen und Aufwand können hier vor allem bei kleineren Website-Betreibern in einem Ungleichgewicht stehen.

Auch aus Marketingsicht sind die Ergebnisse aus gewonnen Analysen weniger wertvoll als zuvor. Dadurch, dass erst bei Google die individuellen Nutzerprofile erstellt werden und dorthin weniger Daten gelangen, sind diese weniger genau und realitätsgetreu.

 

Benötigen Sie Unterstützungsleistungen zu den Themen Datenschutz und Informationssicherheit? Dann kontaktieren Sie uns:

Zentrale Hutthurm - Tel.: +49 (0) 8505 91927 – 0

Niederlassung München - Tel.: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

assets/images/4/Franziska-Koessl-1-6d481037.jpg
Franziska Kössl

Franziska Kössl hat ihren Bachelor in Wirtschaftsinformatik an der Technischen Hochschule Deggendorf absolviert. Für ihre Abschlussarbeit befasste sie sich dabei mit der Entwicklung von Prüfkriterien zur Beurteilung der Datenschutzkonformität von Websites für unsere Webchecks. Mittlerweile ist sie Produkt-Spezialistin für Webchecks und u.a. verantwortlich für die Weiterentwicklung unserer Datenschutzmanagement-Software „docu-safe“. Als zertifizierte Datenschutzbeauftragte und studierte Wirtschaftsinformatikerin unterstützt sie unsere Kunden bei der Umsetzung der DSGVO mit technischem Know-How und wirtschaftlichem Weitblick.