18. Januar 2022

Von Füchsen die Hühner anonymisieren

Welche Daten wir an wen senden dürfen

Viel wird in den letzten Tagen über die aktuelle Entscheidung der österreichischen Datenschutzbehörde berichtet, teilweise mit sehr gegensätzlichen Interpretationen oder Empfehlungen. Von „keep cool and don’t panic“ bis zu „alles abschalten“ ist alles dabei. Viele Juristen und Agenturen melden sich zu Wort und auch die Medien entdecken das Thema immer mehr für sich.

Bei dem Bescheid selbst sowie in der Diskussion geht es vielfach um ein Thema: die IP-Adresse. Es kann also nicht schaden, wenn wir uns diese ominöse IP-Adresse mal etwas genauer anschauen: Was ist die IP-Adresse? Wofür brauche ich sie? Und warum ist sie bezüglich Datenschutz problematisch?

Was ist die IP-Adresse?

Einfach gesagt ist die IP-Adresse ähnlich der Postanschrift für dein Zuhause, nur eben für den Computer, mit dem du im Internet bist. Dabei handelt es sich bei der herkömmlichen IP-Adresse um 4 Zahlen Gruppen und sieht in etwa so aus: 123.65.10.40. Wichtig hierbei ist: Die IP-Adresse wird dir von deinem Internet-Provider (z.B. A1) zugeteilt und ist in diesem Moment der Vergabe weltweit eindeutig. Dein Internetprovider kann dich also auf Grund dieser IP-Adresse identifizieren (z.B. die Postadresse deines Hauses, deinen Namen und wahrscheinlich auch deine Kontonummer). Daher hat man relativ bald nach der Einführung der DSGVO im Jahr 2018 festgestellt, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt.

What is an IP address?

Wofür brauche ich die IP-Adresse?

Die IP-Adresse ist grundlegend dafür notwendig, dass unser Internet funktioniert. Möchtest du z.B. eine Webseite ansehen (sagen wir LinkedIn), dann sendet dein Browser eine Anfrage an den LinkedIn Server. Dieser, erfreut über jeden Traffic, schickt natürlich gerne die Texte, Bilder und andere Daten an deinen Browser zurück, damit er die Webseite für dich darstellen kann. Beide, sowohl Server als auch dein Computer haben eine zu diesem Zeitpunkt weltweit eindeutige IP-Adresse und können so miteinander kommunizieren und Daten austauschen.

sending IP address from client to server

 

Wo liegt das Problem?

Wie oben schon erwähnt, handelt es sich bei der IP-Adresse um ein personenbezogenes Datum, und genau solche dürfen laut DSGVO und den aktuellen Entscheidungen (Schrems II) nicht mehr in die USA gesendet werden. Der aktuelle Bescheid der österreichischen Datenschutzbehörde hat das nur ein weiteres Mal klar gemacht.

Spätestens jetzt muss uns klar sein – keine personenbezogenen Daten in die USA!

Der Fuchs der das Huhn anonymisiert

Etwas überraschend ist, dass nach wie vor immer wieder zu lesen ist, man müsste nur die Google Analytics Anonymisierungsfunktion aufdrehen und man würde wieder DSGVO konform tracken.

Wer jetzt aufgepasst hat wird sich sofort folgende Frage stellen: “Wie kann ich etwas anonymisieren, das als Basis-Technologie für das Internet dient?” – und ihr habt vollkommen Recht. Würde dein Browser deine IP-Adresse nicht mehr mitschicken, könnten Server und Browser unmöglich miteinander reden – vergleichbar wie eine Postkarte ohne Anschrift – auch diese würde wohl nicht ankommen.

Without an IP address communication isn't possible.

 

Was Google uns hier anbietet, ist die IP-Adresse der Besucher unserer Webseiten nach erfolgter Kommunikation zu anonymisieren. Wir schicken also nach wie vor die nicht anonymisierte IP-Adresse in die USA zu Google und müssten darauf vertrauen, dass Google diese im Nachhinein anonymisiert. Nicht nur, dass sich dieses Konzept in etwa so anfühlt, als würden wir den Fuchs bitten auf die Hühner aufzupassen, weiters ist es auch nach Interpretation der meisten Juristen und Fachexperten vollkommen unerheblich, ob Google das tut oder nicht. Immerhin hat Google die IP-Adresse ja schon verarbeitet, wenn auch vielleicht nur für wenige Sekunden. Nach DSGVO reicht aber auch diese kurze Zeitspanne aus, damit die Übertragung nicht mehr DSGVO konform war.

This is how Google anonymizes the IP address.

Welche Lösungen bieten sich also an?

Natürlich ist es eine mögliche Lösung, jetzt einfach den Anbieter zu wechseln. Verwendet man Google Analytics ausschließlich als Reporting Tool, ist das vermutlich keine schlechte Idee. Viele von uns nutzen Google Analytics aber auch als Datengate für andere Google Produkte wie z.B. Google AdWords. In diesem Fall können wir Google Analytics nicht einfach abdrehen oder wechseln.

Gut für uns, dass es eine einfache Lösung dafür gibt. Die neue Technologie des Server Side Trackings schafft Abhilfe.

Bei diesem Ansatz wird ein eigener Server zwischen dem Browser und Google zwischengeschalten. So werden diese beiden entkoppelt und es muss keine IP-Adresse des Besuchers mit Google geteilt werden.

This is how Server Side Tracking anonymizes the IP address.

Achten Sie bei der Wahl Ihrer Server Side Tracking Lösung darauf, diese von einem europäischen Anbieter zu beziehen, so bleibt das Huhn ohne großen Aufwand auch wirklich in Europa.

Aus meiner Sicht macht es nicht nur keinen Sinn, es wäre auch nicht fair Google hier den schwarzen Peter zuzuschieben. Google baut Produkte, die wir alle sehr gerne nutzen. Wir als Webseitenbetreiber müssen uns unserer Verantwortungsrolle bewusst werden, welche Daten wir an wen senden.

Der Link: https://noyb.eu/de/oesterr-dsb-eu-us-datenuebermittlung-google-analytics-illegal

Mehr Artikel

Blog

Aktuelle Daten: Datenschutzbehörden strafen öfter, als wir denken

Die Zahl der verhängten DSGVO-Strafen hat ein hohes Niveau erreicht. Doch vieles spricht dafür, dass die veröffentlichten Fälle nur die Spitze des Eisbergs sind.

Blog

Schritt für Schritt: So updaten Sie Standardvertragsklauseln

Ende des Jahres müssen Unternehmen auf die aktuellen Standardvertragsklauseln umgestiegen sein. Eine Anleitung für Nicht-Juristen.

Blog

Standardvertragsklauseln für Anfänger: Alles, was Sie wissen müssen

Im Dschungel des Datenschutzrechts spielen Standardvertragsklauseln eine besondere Rolle. Jeder braucht sie, jeder verwendet sie. Aber worum handelt es sich dabei eigentlich?