Huch, die Zeit Online schreibt etwas über die Rechtmäßigkeit von Google Analytics – einem Tool um die Besucherströme einer Webseite auszuwerten – Titel: Datenschützer wollen Einsatz von Analytics verhindern. Um was geht es hier? Nun, es geht um die alte Streitfrage, ob IP-Adressen nun personenbezogene Daten sind und man diese nur mit Einwilligung des Nutzers erheben darf. Nach Paragraf 16 Absatz 3 (Paragraf 13) des Telemediengesetzes können deswegen Bußgelder von bis zu 50000 verhängt werden. Man ist irritiert.
Na klar! Man muss sich hier im Klaren sein wie weit das reichen würde wenn in Deutschland tatsächlich das Speichern von IP-Adressen nicht mehr rechtmäßig sein sollte bzw. – wie es hier der Fall ist – wenn IP-Adressen außerhalb der EU gespeichert werden. Beide Probleme lassen sich für Analysezwecke grundsätzlich mit einer Hashfunktion wie MD5 lösen. Jede IP wird einmal gehasht und so müssten nirgends die richtigen IPs gespeichert werden. Aber: so funktioniert der Rest des Internets nichts. Computer müssen IP-Adressen kennen um miteinander kommunizieren zu können und wenn eine Webseite nun mal nicht in der EU gehostet wird, dann landet diese IP-Adresse eben wo anders. Auch eingebundene Widgets wie Zähler, Chatboxen oder Google Maps erhalten automatisch vom Browser die IP-Adresse. Nicht anders funktioniert Google Analytics … da ist keine Magie dahinter. Worüber hier also wieder einmal gesprochen wird ist absoluter Unfug! IP-Adressen sind an vielen Stellen unverzichtbar und es so hinzubekommen, dass international jedes Stück Software statt der IP-Adresse nur noch einen Hashwert speichert dürfte mittelfristig nicht so einfach und für die Fehlerfindung bei manchen Logs sogar eher hinderlich sein.
Meine persönliche Meinung? IP-Adressen sind keine Daten, die man eindeutig einer Person zuordnen kann. In vielen Fällen mag das mittels Provider gelingen, aber diese Möglichkeit hat kaum ein Webseitenbetreiber. Wenn das Hinterlassen von dieser Art Spur für Datenschützer ein Problem ist, dann sollten sie unbedingt die Nutzung von Anonymizerdiensten wie Tor empfehlen. Aber halt, das würde die Strafverfolgung erschweren … ja was ist eigentlich damit? Provider werden doch dank Vorratsdatenspeicherung gezwungen IP-Adressen von Kunden bis zum Sankt Nimmerleins Tag aufzuheben … die wären dann ja wertlos, wenn keiner mehr selbige auf einem Webserver speichern darf … oder?
P.S.: Man schaue sich mal an was bei einer E-Mail für IP-Adressen dabei stehen. Die vom Sender und von allen Zwischenstationen. Wird es dann auch illegal eine E-Mail in ein fremdes Land zu schicken?
Kommentare
5 Antworten zu „Google Analytics illegal?“
Da können Sie lang versuchen irgendwas zu verhindern… Und wie du schon schreibst basiert lange nicht nur Analytics auf dem Kennen der IP-Adressen…
Ersterens(tm):
Wo wäre denn das Problem nur hash-werte abzuspeichern? Ich kann mir keine Möglichkeit überlegen bei der sich eine IP von einem Hash unterscheiden würde.
Zweiterens:
Mal ganz ganz grundsätzlich: Gibt es überhaupt Collisions bei MD5-Werten auf so nen mickrigen Zahlenraum wie 255 hoch 4? Wenn nicht, macht man einmal ne Tabelle und kann dann aus MD5 problemlos die IP wiederherstellen.
Stimmt auch wieder. Wenn die Quelle der Hashs nur so ein kleiner Zahlenraum ist, dann bringt es wohl nichts.
Hashs bringen nichts bei der direkten Kommunikation zwischen Diensten. Da braucht es die IP. Zur Auswertung ala Analytics oder Serverlogs sind IPs eigentlich nicht nötig. Höchstens bei Nachforschungen, wenn es darum geht, dass ein Fehler bei einer bestimmten IP passiert oder Firewalls bzw. Denial of Service Abwehr, etc …
Da das mit den MD5s gerne als Lösung genommen wird, habe ich irgendwann mal hochgerechnet wie lange man braucht um eine komplette Rainbowtable aller IPs zu erstellen. Waren zwar schon ein paar Tage auf bezahlbarer Hardware, aber das mach man ja nur einmal und dann nie wieder. Und selbst mit Salt wäre es noch zu wenig.
Man kann natürlich einen Hash mit einem kleineren Zielraum benutzen, dann ist es nicht mehr eindeutig und man kann trotzdem Visits noch einigermaßen nachvollziehen (man stirbt ja auch nicht wenn es bei einem geringen Prozentsatz nicht gelingt ;-))
Oder man erklärt eine IP in der heutigen Zeit – Handys haben selten eine, Wlans, Familien mit „nur“ einem DSL-Zugang – einfach nicht zu einem personenbeziehbaren Datum. IPs sind Adressen von Maschinen, die sich miteinander unterhalten. Fertig aus …