Webanalyse-Werkzeuge und Datenschutz
Der folgende Artikel ist Teil der Service-Reihe Datenschutz auf Webseiten in Zusammenarbeit mit Seitenstark. Seitenstark e.V. ist eine Arbeitsgemeinschaft von Webseiten für Kinder und betreibt unter anderem die Info-Plattform wir-machen-kinderseiten.de. Das Angebot wird vom Bundesministerium für Familie, Senioren, Frauen und Jugend gefördert, die Service-Reihe wird von der EU-Initiative klicksafe.de unterstützt.
Bislang erschienen:
- Reihe „Datenschutz auf Webseiten“: Updates zur Datenschutz-Grundverordnung
- Hintergrund 1: Sieben goldene Regeln des Datenschutzes
- DSGVO-Update
- Hintergrund 2: Datenschutz- und Einwilligungserklärungen, AGB und Impressumspflicht
- Muster: Impressum für einen Verein
- Hintergrund 3: Zusammenarbeit mit Dienstleistern und Auftragsdatenverarbeitung
- DSGVO-Update: Auftragsverarbeitung, Embedding
- Aufbau einer einfachen Datenschutzerklärung
- Muster: einfache Datenschutzerklärung
- DSGVO-Update: Datenschutzerklärungen
- Chats, Foren und Gästebücher
- Muster: Gästebuch, anonymes Posting
- Muster: Forum und Chat mit Registrierung
- Muster in kindgerechter Sprache
- DSGVO-Update: Chats, Foren und Gästebücher
- Was muss bei Online-Umfragen beachtet werden?
- Muster: Einwilligung bei ausführlicher Umfrage
- Webanalyse-Werkzeuge und Datenschutz
- Muster: Datenschutz-Erklärung bei Einsatz von Piwik
- Muster in kindgerechter Sprache
- DSGVO-Update: Webanalyse-Werkzeuge und Datenschutz
- Was sollten Newsletter-Anbieter beachten?
- Muster: Einwilligungserklärung Newsletter in kindgerechter Sprache
- Einwilligungserklärungen bei Kontaktformularen, Mitmach-Aktionen und Gewinnspielen
- Mustertext für die Datenschutzerklärung
- Mustertext in kindgerechter Sprache
- Datenschutz bei Spenden- und Empfehlungsfunktionen
Update, 8.6.2018: Ergänzungen zu diesem Beitrag im Rahmen der neuen EU-Datenschutz-Grundverordnung (DSGVO) finden Sie am Ende dieses Artikels.
Um zu wissen, wie ihr Angebot angenommen wird, sind Webanalyse-Werkzeuge auch für Betreiber von Kinder-Webseiten zentral. Die Werkzeuge messen etwa, wie oft und wie die Seite besucht wird und stellen die Ergebnisse in aufbereiteter Form zur Verfügung.
In der Regel bieten diese Werkzeuge statistisch zusammengefasste Informationen an. Über die Auswertung der Zugriffe lässt sich unter Umständen aber auch genau verfolgen, welche Seiten ein bestimmter Nutzer besucht, welche Links er angeklickt hat und weitere Informationen. Das individuelle Verhalten der Nutzer wird durch Webtracking erfasst und Profile werden erstellt. An dieser Stelle kommen datenschutzrechtliche Regelungen ins Spiel.
Rechtliche Einordnung von Webtracking
Rechtlich ist die Analyse des Nutzungsverhaltens wohl als Verarbeitung zum Zwecke der Marktforschung einzuordnen und damit grundsätzlich zulässig, sofern die weiteren rechtlichen Anforderungen eingehalten werden.
Wenn durch Webanalyse-Werkzeuge Nutzerprofile erstellt werden, ist das erlaubt, solange diese pseudonym bleiben und Besuchern des Angebots die Möglichkeit gegeben wird, der Erstellung der Profile zu widersprechen.
Wer darüber hinausgehende Profile, etwa mit einer direkten Zuordnung zu Personen erstellen will, müsste wieder auf eine explizite Einwilligungserklärung zurückgreifen. Allerdings ist dies im Bereich der Webseitennutzungsanalyse absolut unüblich.
Werden Webanalyse-Werkzeuge eingesetzt, muss sich das in der allgemeinen Datenschutzerklärung des Angebots widerspiegeln. Hier ist auch ein geeigneter Ort, auf die Widerspruchsmöglichkeit hinzuweisen.
Datenschutz-Optionen am Beispiel Piwik
Für die Webanalyse gibt es unterschiedliche Anbieter. Ein verbreiteter und ohne großen Aufwand datenschutzfreundlich einsetzbarer Dienst ist „Piwik“. Seitenbetreiber/innen können das quelloffene Programm auf ihrem eigenen Webangebot einrichten. Das ist die datenschutzfreundlichste Lösung. Hierbei fallen die Daten nur beim Webseitenbetreiber an. Daneben ist es auch möglich, die Webanalyse mittels Piwik durch einen Dienstleister durchführen zu lassen.
Piwik bietet eine Reihe von Auswertungs- und Darstellungsmöglichkeiten der Webseiten-Besuche, die zumindest grundlegende statistische Auswertungen ermöglichen. Hingewiesen werden soll in diesem Rahmen auf die Möglichkeiten zur datenschutzfreundlichen Konfiguration von Piwik. Dazu gehört insbesondere die Option, IP-Adressen nur gekürzt zu speichern. Diese Einstellung ist bei einer Standardinstallation voreingestellt und wird von Datenschutzbehörden empfohlen. Der Nachteil: Einige statistische Auswertungen über die Nutzung des Angebots werden fehleranfälliger.
Muster: Datenschutz-Erklärung bei Einsatz von Piwik zur Webanalyse
Die Datenschutzerklärung der Internetseite muss die Nutzung von Webanalyse-Werkzeugen wie Piwik transparent machen und auch eine Widerspruchsmöglichkeit einräumen. Dies kann etwa dadurch geschehen, dass die Erklärung um folgenden Text ergänzt wird:
Verbesserung des Angebotes durch Besuchsstatistik
Zur Verbesserung unseres Onlineangebots werten wir gelegentlich aus, wie die Seite benutzt wird.
Wir erstellen hierfür Besucherstatistiken unter Nutzung der Anwendung Piwik. Diese Anwendung veranlasst in Ihrem Browser die Speicherung von zwei Identifikationsnummern (HTTP-Cookies), um unterschiedliche Nutzer zu unterscheiden. In diesem Zusammenhang wird Ihre IP-Adresse in die Auswertung einbezogen, aber umgehend so gekürzt, dass eine Zuordnung zu Ihnen nicht mehr möglich ist.
Wenn Sie nicht damit einverstanden sind, dass Ihre Seitenaufrufe in die Statistiken einbezogen werden, haben Sie mehrere Möglichkeiten:
- Sie können HTTP-Cookies in Ihrem Browser löschen.
- Sie können in vielen modernen Browsern einstellen, den Seitenbetreibern zu signalisieren, sie nicht in derartige Statistiken einzubeziehen (sogenanntes „Do-not-track“). Wir halten uns an diese Vorgabe.
- Schließlich können Sie auch spezifisch für unser Angebot einstellen, dass Ihre Nutzung nicht einbezogen wird. Hierfür wird Piwik einen zwei Jahre gültigen Opt-out-Cookie bei Ihnen speichern („piwik_ignore“), um die Erfassung abzustellen.
Sie können sich hier entscheiden, ob in Ihrem Browser ein eindeutiger Webanalyse-Cookie abgelegt werden darf, um dem Betreiber der Website die Erfassung und Analyse verschiedener statistischer Daten zu ermöglichen.
Wenn Sie sich dagegen entscheiden möchten, klicken Sie den folgenden Link, um den Piwik-Deaktivierungs-Cookie in Ihrem Browser abzulegen.
Ihr Besuch dieser Website wird aktuell von der Piwik Webanalyse erfasst.
Klicken Sie hier, damit Ihr Besuch nicht mehr erfasst wird.
Für den letzten Abschnitt, der auch das Opt-out ermöglicht, muss auch die technische Einbindung dieser Möglichkeit umgesetzt werden. Hinweise hierzu finden sich ebenfalls in der Dokumentation von Piwik.
Beispiel
- Hinweis auf die Opt-out Möglichkeit in der Datenschutzerklärung der Kinderwebseite sowieso.de: sowieso.de/portal/die-sowiesos/datenschutz
Vorschlag für den Einsatz des Webanalyse-Tools Piwik in kindgerechter Sprache
Verbesserung der Webseite durch Auswertung der Besuche
Zur Verbesserung unserer Webseite werten wir gelegentlich aus, wie die Seite benutzt wird. Wir schauen zum Beispiel, welche unserer Seiten häufig angeklickt werden und wie lange jemand auf unserem Angebot surft.
Wir erstellen hierfür Statistiken von Besuchern und nutzen dafür das Programm „Piwik“. Piwik sagt deinem Browser, dass er Cookies speichern soll, um unterschiedliche Nutzer zu unterscheiden. Dabei wird auch deine IP-Adresse verwendet. Aber in gekürzter Form, so dass wir sie dir nicht zuordnen können.
Wenn du und deine Eltern damit nicht einverstanden seid, dass deine Seitenaufrufe von uns ausgewertet werden, gibt es verschiedene Lösungen. Lass dir dabei von einem Erwachsenen helfen:
- Du kannst HTTP-Cookies in deinem Browser löschen.
- Viele moderne Browser kannst du so einstellen, dass sie den Seitenbetreibern zeigen, dass du nicht möchtest, dass dein Surfen ausgewertet wird. Diese Einstellung nennt sich „Do-not-track“. Wir halten uns an diese Vorgabe. Hier ein Beispiel für den Browser Firefox:
- Schließlich kannst du auch extra für unser Angebot einstellen, dass deine Nutzung nicht einbezogen wird. Hierfür wird Piwik einen zwei Jahre gültigen Opt-out-Cookie bei dir speichern („piwik_ignore“), um die Erfassung abzustellen.
Du kannst dich hier entscheiden, ob in deinem Browser ein eindeutiger Webanalyse-Cookie abgelegt werden darf, um uns die Erfassung und Auswertung verschiedener Daten zu ermöglichen.
Wenn du dich dagegen entscheiden möchtest, klicke auf den folgenden Link, um den Piwik-Deaktivierungs-Cookie in deinem Browser abzulegen.
Dein Besuch dieser Website wird aktuell von der Piwik Webanalyse erfasst.
Klicke hier, damit dein Besuch nicht mehr erfasst wird.
Google Analytics
Das US-Unternehmen Google bietet unter dem Namen „Analytics“ ebenfalls einen Dienst an, der Nutzerzugriffe misst und übersichtlich darstellt. Auch dieses Produkt lässt sich wohl unterdessen rechtskonform einsetzen. Allerdings sind hier eine Reihe von Dingen zu berücksichtigen:
- Zunächst muss – wie bei Piwik – auch eine Möglichkeit zum Opt-out per Opt-out-Cookie eingebunden werden.
- Es müssen die erforderlichen Anpassungen in der Datenschutzerklärung vorgenommen werden.
- Es muss mit der Firma Google eine Auftragsdatenvereinbarung geschlossen werden. Dazu müssen Sie ein entsprechendes Schreiben an Google schicken.
- Die so genannte „AnonymizeIP-Funktion“ muss im Code der Seite verwendet werden.
Eine gute Übersicht zum Thema findet sich unter anderem hier. Allerdings ist das Angebot von Google immer wieder von Datenschutzbehörden kritisiert worden. Obwohl sowohl Google als auch die zuständigen Aufsichtsbehörde viel Zeit in die Suche nach einer möglichen Lösung investiert haben, blieben Zweifel, ob es möglich ist, Google Analytics rechtskonform einzusetzen. Für den Dienst „Universal Analytics“ ist die Rechtslage derzeit noch gar nicht umfassend diskutiert.
Rechtlich wird dies unter anderem am Gebot diskutiert, der Möglichkeit der Bildung pseudonymer Profile zu widersprechen. Eigentlich ist das Problem aber ein anderes: Google misst die Seitennutzung über eigene Server, so dass die Daten Google gleichzeitig zur weiteren Auswertung und Anreicherung seines enormen Datenbestandes dienen. Ob und in welcher Form hieraus ein gesellschaftliches Problem entsteht, ist bisher noch nicht abschließend erörtert.
Checkliste Webanalyse
- Werden Werkzeuge zur Webanalyse von externen Dienstleistern genutzt? Wurde eine Auftragsdatenvereinbarung abgeschlossen?
- Bei eigener Installation: Wurden datenschutzfreundliche Einstellungen aktiviert? (vor allem: Kürzung der IP-Adressen)
- Ist der Einsatz des Werkzeugs in der Datenschutzerklärung aufgeführt?
- Ist eine Opt-out-Möglichkeit für Besucher des Angebots vorgesehen?
8.6.2018
DSGVO-Update: Webanalyse-Werkzeuge und Datenschutz
Seitenbetreiber sollten ihre bereits vorhandenen Angaben um weitere Informationen ergänzen. Das betrifft Hinweise zur Speicherdauer, zur vorgenommenen Anonymisierung und zum spezifischen berechtigten Interesse. In den Mustertexten sind die entsprechenden Hinweise bereits weitgehend enthalten, wobei zu empfehlen ist, die Rechtsgrundlage des „berechtigten Interesses“ ausdrücklich zu erwähnen. Dann ist der erste Satz in etwa wie folgt zu fassen:
Zur Verbesserung unseres Onlineangebots werten wir gelegentlich aus, wie die Seite benutzt wird. Diese Auswertung erfolgt auf der Grundlage unseres berechtigten Interesses an der Verbesserung des Onlineangebotes (Art. 6 Abs. 1 lit. f DSGVO).
Beim Einsatz von Webanalyse-Tool sollten zudem die Hinweise im Beitrag „DSGVO-Update: Aufbau einer einfachen Datenschutzerklärung und Mustertext“ beachtet werden.
Dieser Artikel steht unter der Creative-Commons-Lizenz Namensnennung 4.0 (CC BY).
2 Kommentare
1 Urteile & Gesetze am 3. Juli, 2018 um 15:57
Piwik musste sich umbenennen und heisst jetzt Matomo.
Die Webseite des Projekts lautet: https://matomo.org/
2 D. Bucher am 8. Oktober, 2021 um 09:23
Danke für den Bericht. Ich ziehe Piwik/Matomo Google Analytics vor. Im Vergleich zu anderen Tracking Tools ist Matomo Open Source und wird somit von einer großen Community begleitet. Es verfügt über einen besseren Datenschutz, wenn es auf dem eigenen Server gehostet wird und sorgt somit auch für eine bessere Qualität.
LG, Daniel Bucher
Was sagen Sie dazu?