Schon im Feb 2016 wurde eine Alternative zum gescheiterten Safe Harbor verhandelt: „Privacy Shield“. Bei Datenschützern als mangelhaft bewertet aber von Wirtschaftsverbänden und Unternehmen begrüßt (heise). Schließlich brauchte man schnell wieder eine Grundlage um zumindest einen Rahmen zu schaffen unter dem man weiter agieren konnte. Wie gut dieser war ist erst mal zweitrangig gewesen, da der Entwurf nur eine Hülle mit Buzzwords war.

Nun hat Google für Google Analytics (GA) vor zwei Tagen (29.08.) den Privacy Shield adaptiert und besitzt nun ein solches Zertifikat. Aber zu welcher Grundlage genau wird bei Verwendung von Google Analytics ein solches Zertifikat benötigt? Ursache ist das Übermitteln von personenbezogenen Daten in die USA.

Es gibt zwei Fälle in denen personalisierte Daten mit Bezug zu GA verschickt werden.

  1. In einer Dimension zu Reportingzwecken, z.B. zur GEO-Lokalisierung. Andere Dimensionen dürfen jedoch laut Nutzungsrichtlinien von GA nicht mit personenbezogenen Daten bestückt werden. Per anonymize=true kann in der Implementierung dieser Fall geschlossen werden.
  2. Bei der Kommunikation per HTTP und TCP/IP wird die IP-Adresse des Clients übermittelt und kann ein personenbezogenes Datum sein (Auslegungssache?). Jedoch ist das im Web ein architekturbedingte Voraussetzung, da sonst keine Kommunikation zwischen Client und Server möglich ist. Betrifft somit auch nicht nur Google Analytics, sondern jegliche Kommunikatino zu AdServern, ausgelagerten Dateien (Cloudspace und alle CDNs), etc. etc.

Wenn der 1. Punkt per Implementierung behoben werden kann, wieso ist der 2. Punkt explizit bei Google Analytics ein so heiß diskutiertes Thema? Oder gibt es noch einen anderen Berührungspunkt, den ich übersehen habe?

Nicht zu vergessen ist schließlich der explizite Hinweis zum Safe Harbor innerhalb der Auftagsdatenverarbeitung zu Google Analytics.

Kommentare erwünscht!