Matomo und andere Webanalyse-Tools: Wann Einwilligungen einzuholen sind
Statistiken, die mit Webanalyse-Tools wie Matomo gewonnen werden, basieren auf Nutzungsdaten. Das Resultat kann eine Statistik sein, aus der kein Rückschluss auf das Nutzungsverhalten einzelner Menschen mehr hervorgeht. Damit diese Statistiken überhaupt entstehen, müssen aber in der Regel Daten erhoben werden, die häufig personenbezogen sind. Dazu zählen etwa IP-Adressen, die sich auch mit Angaben über besuchte Seiten, Verweildauer oder heruntergeladene Dateien kombinieren lassen. Hierfür muss Datenschutzrecht beachtet werden.
Matomo ist ein offen lizenziertes Tool zur Webanalyse. Mit diesem können Betreiber messen und verfolgen können, was Nutzer*innen auf ihrer Website tun. Mit Matomo lässt sich beispielsweise nachvollziehen, welche Seiten besonders häufig aufgerufen (oder gemieden) werden, welche Links Besucher*innen klicken oder ob es andere typische Verhaltensmuster gibt. Wie genau Matomo funktioniert, welche Vorteile es gegenüber geschlossenen Alternativen (wie Google Analytics) hat und mit welchem Tracking-Verfahren es arbeitet, das hat Alexander Baetz hier und hier beschrieben.
Für jede Verarbeitung personenbezogener Daten verlangt das Datenschutzrecht eine Rechtsgrundlage. Die Frage nach der Rechtsgrundlage heißt konkret: Muss ich die Nutzerin um ihre Zustimmung bitten – oder geht es ohne?
Was das Datenschutzrecht zur Webanalyse sagt
Wann „berechtigte Interessen“ vorliegen
Das Datenschutzrecht macht nicht jede Datenverarbeitung von einer Einwilligung abhängig. Vielmehr gibt es auch gesetzliche Regelungen, die eine Datenverarbeitung ohne ausdrückliche Zustimmung erlauben. Allen voran kommen hier die „berechtigten Interessen“ ins Spiel (Art. 6 Abs. 1 lit. f der DSGVO). Berechtigte Interessen können etwa darin liegen, zu prüfen, wie ein Online-Angebot angenommen wird, wie sich damit mehr Geld verdienen, Mitglieder gewinnen oder Werbung besser zuschneiden lassen.
Berechtigte Interessen greifen aber nicht grenzenlos: Sie müssen immer mit den Interessen der Nutzer*innen in Einklang sein. Vereinfacht gesagt dürfen die Rechte der Nutzer*innen nicht im Missverhältnis zu den „berechtigten Interessen“ der Datenverarbeiter liegen. Doch wie lässt sich das konkret gewichten?
An dieser Stelle wird es kompliziert. Denn einerseits sind berechtigte Interessen in ihrer Handhabung äußerst flexibel. Dies geht andererseits zulasten der Rechtssicherheit, eben weil es so ein großes Auslegungsspektrum gibt.
Welcher Analyse-Dienst kommt zum Einsatz?
Man muss sich also Kriterien für die Abwägung erarbeiten. Eine Rolle spielt, welchen Dienst man für Webanalyse einsetzt. So macht es einen Unterschied, ob Website-Betreiber den Dienst selbst hosten oder ob sie Drittanbieter nutzen. Dies ist nicht nur für die Frage wichtig, ob ein Datenverarbeiter möglicherweise in den USA sitzt, sondern auch, ob er die Daten auch für eigene Zwecke verarbeitet. Beides führt dazu, dass eine Einwilligung erforderlich wird. Der sicherste Weg lautet hier, einen Dienst wie Matomo selbst zu betreiben. Ein Mittelweg wiederum wäre, einen datensparsamen Dienstleister als „Auftragsverarbeiter“ einzusetzen (Matomo bietet dies selbst kostenpflichtig an). Auftragsverarbeiter sind streng gebunden; sie dürfen die Daten nicht zu eigenen Zwecken nutzen.
Welche Daten werden gespeichert und in welcher Intensität?
Weitere Kriterien lauten, wie umfangreich die Datenverarbeitung ist. Das Gebot der Datensparsamkeit besagt: „So wenig wie möglich, so viel wie nötig“. Um die Datensparsamkeit einschätzen zu können, lässt sich etwa folgende Testfrage stellen: Benötige ich das Datum, um meinem Ziel – das Erstellen aussagekräftiger Statistiken – zu dienen? Konkret lassen sich bei der Webanalyse IP-Adressen etwa kürzen, womit der Personenbezug stark verwischt, wenn nicht verloren geht. Matomo bietet diese Einstellungsmöglichkeit an.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg hält Webanalyse ohne Einwilligung unter folgenden Bedingungen für möglich:
- Der Dienst wird selbst gehostet und beschränkt sich auf lokale Logfile-Analyse. Es werden also keine Drittanbieter (wie Google Analytics) eingesetzt.
- Der Dienst wird datensparsam eingestellt.
- Es werden keine Nutzungsdaten über Anbieter-/Gerätegrenzen zusammengeführt.
- Es erfolgt keine Wiedererkennung von Besucher*innen für andere Zwecke.
Website-Betreiber der öffentlichen Hand können sich möglicherweise auf Datenverarbeitung im öffentlichen Interesse stützen. Hier verlangt die Rechtsgrundlage (Art. 6 Abs. 1 lit. e DSGVO), dass die Datenverarbeitung für die Erfüllung der Aufgabe nötig ist, die im öffentlichen Interesse liegt. Hierauf könnte etwa ein Online-Portal der Verwaltung den Einsatz von Webanalyse-Tools stützen, um zu sehen, wie Nutzer*innen das Portal annehmen und wie es sich verbessern lässt.
Eine Auswertung von datensparsam eingestellten Logdateien lässt sich auf berechtigtes Interesse stützen. Kommen allerdings Cookies oder Fingerprinting zum Einsatz, so muss zusätzlich E-Privacy berücksichtigt werden. Das zeigt der folgende Absatz.
E-Privacy als ein weiterer Faktor
Beim Datenschutzrecht geht es um den Schutz vor „übermäßiger Verdatung“: Beispielfrage: Wer weiß was über mich als betroffene Person – und kann ich eine damit zusammenhängende Datenverarbeitung beeinflussen? Der Bereich der sogenannten „E-Privacy“ hingegen regelt, unter welchen Bedingungen auf ein Endgerät zugegriffen werden darf. Der Gedanke von E-Privacy: Auf den Rechnern von Nutzer*innen liegen oft eine Vielzahl von teils sensitiven Daten. Daher hat man sich entschieden, den Zugriff auf diese Datenbestände restriktiv zu handhaben und – von wenigen Ausnahmen abgesehen – nur mit ausdrücklicher Einwilligung zu gestatten.
Das wird etwa relevant, wenn eine Website (oder auch eine App) Cookies auf einem Smartphone oder Laptop setzt und später ausliest (erläutert hier). Somit dürfen Cookies nur gespeichert und ausgelesen werden, wenn dies „unbedingt erforderlich“ ist, um einen gewünschten Dienst bereitzustellen. So steht es im TTDSG, dem „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“.
„Unbedingt erforderlich“ sind Cookies beispielsweise, damit eine Website weiß, welche Produkte in den Warenkorb gelegt sind oder welche Sprache der Seite ausgewählt ist. Die „unbedingte Erforderlichkeit“ stützt sich also eher auf ein technisches Verständnis, das sich in der Frage zusammenfassen lässt: Was ist an Cookies technisch nötig, um einen gewünschten Dienst zur Verfügung zu stellen? So sehen es zumindest die deutschen Aufsichtsbehörden.
Für die Datenverarbeitung durch Telemediendienste (das umfasst auch Websitebetreiber) hat die Datenschutzkonferenz als gemeinsames Gremium aller deutschen Datenschutzbehörden ein Papier verfasst, das diese – eher strikte – Position einnimmt.
Dabei kommen Aufsichtsbehörden in anderen EU-Ländern zu durchaus anderen Einschätzungen. Die französische CNIL etwa, die Cookies zu Statistikzwecken unter dem europäischen E-Privacy-Recht für zulässig erachtet. Für ein solches Ergebnis muss man den Gesetzeswortlaut allerdings mindestens an seine Grenze bringen.
Unterscheiden sich Cookies und Fingerprinting rechtlich?
Auch das Fingerprinting (siehe hier) fällt nach dem Verständnis der Datenschutzbehörden unter das Setzen und Auslesen von Informationen nach TTDSG. Solche Informationen aktiv auszulesen, geht ebenfalls nur mit Einwilligung. So sieht es zumindest die Datenschutzkonferenz (siehe hier S. 7).
Wie man eine Einwilligung einholt
Wer sicher gehen möchte, führt Webanalyse unter dem Einsatz von Cookies oder Fingerprinting also nur mit Einwilligung („Opt-In“) der Nutzer*innen durch. Für die Einwilligung gilt der Maßstab der Datenschutz-Grundverordnung: Eine Einwilligung muss unmissverständlich (nicht untergeschoben, keine vorangekreuzten Kästchen), freiwillig und informiert sein – und zudem jederzeit widerrufbar. Umsetzen lässt sich dies mit Hilfe von Consent Managern. Außerdem muss der Einsatz von Webanalyse in der Datenschutzerklärung transparent gemacht werden.
Rechtlich sicher sind Statistiken ohne Einwilligung letztlich nur, wenn man auf Cookies und Fingerprinting verzichtet und damit bei der Aussagekraft der Statistik zu Abstrichen bereit ist. Allerdings muss dann eine Möglichkeit gegeben werden, Webanalyse zu widersprechen. Das wird üblicherweise durch ein „Opt-Out“-Häkchen in der Datenschutzerklärung umgesetzt.
Bald eine neue Rechtslage?
Möglicherweise wird sich der derzeit eher strenge Ansatz noch ändern. Der EU-Gesetzgeber arbeitet an einer „E-Privacy-Verordnung”. Deren jüngster Textentwurf berücksichtigt statistische Zwecke („statistical purposes“) und erlaubt den Einsatz von Cookies (oder auch Fingerprints), sofern das Cookie zeitlich begrenzt gesetzt wird, eine Anonymisierung erfolgt und nicht benötigte Daten wieder gelöscht werden (hier auf S. 63).
Sie möchten iRights.info unterstützen?
iRights.info informiert und erklärt rund um das Thema „Urheberrecht und Kreativität in der digitalen Welt“. Alle Texte erscheinen kostenlos und offen lizenziert.
Wenn Sie mögen, können Sie uns über die gemeinnützige Spendenplattform Betterplace unterstützen und dafür eine Spendenbescheinigung erhalten. Betterplace akzeptiert PayPal, Bankeinzug, Kreditkarte, paydirekt oder Überweisung.
Besonders freuen wir uns über einen regelmäßigen Beitrag, beispielsweise als monatlicher Dauerauftrag. Für Ihre Unterstützung dankt Ihnen herzlich der gemeinnützige iRights e.V.!
DOI für diesen Text: https://doi.org/10.59350/3pef0-wbv17 · automatische DOI-Vergabe für Blogs über The Rogue Scholar
Was sagen Sie dazu?