Google Analytics: Schneller und mit besserem Datenschutz

11. Mai 2015 | Ca. 8 Minuten Lesedauer

In den letzten Tagen habe ich mich etwas mit der Integration von Google Analytics beschäftigt. Ich stolperte immer wieder bei der Geschwindigkeitsoptimierung einer Seite darüber und habe mir dabei ein paar Gedanken dazu gemacht. Nicht nur wegen der Geschwindigkeit, sondern auch aus Gründen des Datenschutzes der daran hängt. Normaler Einsatz Normalerweise bindet man den Trackingcode […]

In den letzten Tagen habe ich mich etwas mit der Integration von Google Analytics beschäftigt. Ich stolperte immer wieder bei der Geschwindigkeitsoptimierung einer Seite darüber und habe mir dabei ein paar Gedanken dazu gemacht. Nicht nur wegen der Geschwindigkeit, sondern auch aus Gründen des Datenschutzes der daran hängt.

Normaler Einsatz

Normalerweise bindet man den Trackingcode von Google Analytics auf seiner Seite ein und ist damit fertig. Das Ganze ist ein kleiner Javascript-Block, der im Head-Berich der Seite untergebracht werden soll, damit möglichst schnell und gut Besucher erkannt werden. Dieser lädt dann das Tracking-Javascript von Google nach und führt die Besucherzählungen (und den ganzen Statistikkram der da dran hängt) aus.

In Deutschland muss das Script etwas modifiziert werden, um unserem Datenschutz zu entsprechen. Dabei wird das letzte Byte von IPv4-Adressen bzw. die letzten 80 Bit von IPv6-Adressen entfernt und nur die so entstehende IP-Adresse in den Datenbanken gespeichert. Dies geschieht dadurch, dass man im Javascript eine Funktion aufruft bzw. einen Parameter setzt, der genau dies tut. Google selbst hat darüber auch eine eigene Seite und erklärt etwas dazu.

Performanterer Einsatz

Wer seiner Webseite, trotz Google Analytics, jetzt noch etwas Beine machen will, hat dazu verschiedene Möglichkeiten. Denkbar wäre zum Beispiel ein DNS-Prefetch für google-analytics.com. Sofern man allerdings keinen großen Head-Bereich hat der geparsed werden muss, könnte das auch nur minimalen oder gar keinen Geschwindigkeitsbonus bringen. So oder so kann es meines Erachtens nicht schaden.

Wer noch einen Schritt weitergehen will, der könnte das Tracking-Javascript selbst hosten. Google rät zwar aus Sicherheitsgründen davon ab (ein Schelm wer Böses dabei denkt), aber technisch möglich ist das natürlich auf alle Fälle. Das Ganze ist kein wirklich neuer Hut und es gibt einige Anleitungen dazu im Internet (hier musterhaft eine davon). Tatsächlich muss man sich dann allerdings Gedanken darüber machen, wie man neue Versionen des Tracking-Scripts erhält, ob und wann man die tauschen will etc. pp. Vorteil an diesem Verfahren ist, dass man das Script vom eigenen Server ausliefert und damit Kontrolle über die Geschwindigkeit hat, Caching-Systeme einsetzen kann etc. pp. Aus Performance-Gründen also durchaus eine interessante Sache.

[genericon icon=info]Spannende Info am Rande: Wer den Google Chrome-Browser einsetzt, kann das Tracking-Javascript (ga.js/analytics.js) übrigens nicht daraus abspeichern. Probiert es aus: Ruft das Javascript auf und versucht mal die Seite zu speichern. Firefox und Internet Explorer können das ohne Probleme.

Und der Datenschutz?

Wie bereits oben erwähnt, wird das Javascript normalerweise von google-analytics.com nachgeladen und kommuniziert im weiteren Verlaufe dann auch mit dieser Seite. Das erscheint mir kritisch. Zwar wird die IP-Adresse, wie weiter oben beschrieben, anonymisiert, allerdings erst, wenn das Script sie zum Tracking an Google schickt. Allerdings muss mein Browser das Javascript ja auch vorher erstmal vom Server beziehen und da kann der Server noch nicht wissen, ob ich die anonymisiert haben will oder nicht. Diese „wir anonymisieren deine IP“-Sache ist also irgendwie vielleicht eine Farce. Außer wir vertrauen darauf, dass Google sich ganz streng an den Datenschutz hält, keine Zugriffslogs auf ihren Servern speichert und diese Daten auch nicht zusammenführen würde.

Wenn ich das Javascript nun von meinem Server laden lasse, dann umgehe ich diese erste „unanonymisierte“ Kontaktaufnahme mit Google. Hab ich damit gewonnen und bin datenschutzmäßig jetzt viel besser dran? Vielleicht.

Frühere Versionen des Tracking-Scriptes riefen ein Platzhalter-Gif auf, um die Daten zu übertragen, mittlerweile läuft das über einen POST/GET-Request an die Google-Server. Das ändert also nichts an der grundsätzlichen Möglichkeit der Datenübertragung, was angesichts der eigentlichen Funktion von Google Analytics (Besucherdaten erfassen) auch verständlich ist.

Wer also vollständigen Datenschutz will, der ist mit einem Statistiktool sowieso schlecht beraten, würde ich sagen.

Was tun?

Wer Google Analytics schneller und datensparsamer einsetzen will, sollte es meiner Meinung nach lokal hosten und vom eigenen Server laden. Gepaart mit einer der vielen Lösungen, um sich nachts das (gegebenenfalls) neue Script herunterzuladen, scheint mir das eine gute Möglichkeit, um etwas Geschwindigkeit rauszuholen, einen DNS-/HTTP-Request zu vermeiden und eine nicht anonymisierte Verbindung mit Google zu unterbinden.

Und was ist mit dem Optout?

Die Nutzer müssen die Möglichkeit zum Optout aus Google Analytics haben. Dazu gibt es zwei verschiedene Varianten. Die erste ist ein Link, der ein unendlich lange gültiges Optout-Cookie für die aktuelle Domain setzt und darüber Analytics anweist, sich nicht weiter auszuführen.

Die zweite ist ein Browser-Plugin, das bei jedem Seitenaufruf ebenfalls eine entsprechende Anweisung im Quelltext platziert und damit Analytics stoppt.

Beide Varianten sind von der lokalen Speicherung des Analytic-Scripts nicht betroffen, da sie direkt im Browser wirken und sonst nirgends. Ich persönlich sehe damit keinerlei (rechtliche) Probleme für die lokale Auslieferung des Analytics-Scripts. Ich werde noch versuchen, das von fachkundiger Seite zu klären und bestätigen zu lassen.

(flomei.de nutzt Google Analytics ab sofort auch in dieser Version.)