Google Analytics: DSGVO-Verstoß auf Webseiten
Nach DSGVO sind unter anderem deutsche Webseitenbetreiber dazu verpflichtet, die IP-Adresse in »anonymisierter« Form an Google zu übermitteln – sofern sie Google Analytics einsetzen. Möglich wird das durch die Code-Erweiterung AnonymizeIP. Durch Nutzung der Code-Erweiterung wird der letzte Ziffernblock einer IP-Adresse vor der Übermittlung maskiert.
Vor der Maskierung:
213.61.215.54
Nach der Maskierung:
213.61.215.0
Eine grobe Lokalisierung ist dann zwar noch immer möglich, aber es wird eben nicht die komplette IP-Adresse an Google übermittelt. Erreichen lässt sich dies durch eine einfache Erweiterung:
ga('set', 'anonymizeIp', true);
Das Problem. Einige Webseiten nehmen diese »Anonymisierung« nicht vor und übermitteln die komplette IP-Adresse an Google. Das verstößt gegen die DSGVO. Am genauesten ist eine manuelle Prüfung via Firefox, ob der Parameter korrekt gesetzt wurde:
- Werblocker- bzw. Trackingblocker vollständig deaktivieren
- Extras -> Web-Entwickler -> Web-Konsole öffnen
- Den Tab »Netzwerkanalyse« anklicken
- Dort die Häkchen bei »Logs nicht leeren« und »Cache deaktivieren« setzen
- Die Seite neu laden
- Im Suchfeld nach »collect« suchen und die Treffer auswählen
Beispiel zeit.de:
https://www.google-analytics.com/collect?v=1&_v=j76&aip=1&a=1334553759&t=pageview&_s=1&dl=https://www.zeit.de/index&ul=en-us&de=UTF-8&dt=ZEIT ONLINE | Nachrichten, Hintergründe und Debatten&sd=24-bit&sr=2560x740&vp=2548x740&je=0&_u=YChAgQAB~&jid=1464738441&gjid=298192354&cid=1885229022.1559309415&tid=UA-18122964-8&_gid=1076308393.1559309415>m=2wg5m0MH96D5&cd4=homepage&z=720161933
Dort solltet ihr nach dem Parameter aip=1
suchen. Ist dieser gesetzt, dann ist AnonymizeIP aktiviert. Ihr müsst den Wert übrigens nicht unbedingt direkt in der URL suchen, sondern ihr könnt innerhalb der Web-Konsole auch einfach auf Parameter klicken, dort solltet ihr den Parameter aip=1
dann ebenfalls sehen – oder eben nicht.
In Wirklichkeit ist die Funktion AnonymizeIP natürlich lediglich ein Feigenblatt, wie Matthias in seinem Beitrag »Mangelhafte Anonymisierung bei Google Analytics« korrekt darstellt.