Slideshow

Adele Firewall Cyborg

Websiteanalyse

Webanalyse und datenschutzkonforme Anwendung

Die Webanalyse eines Seitenbetreibers liefert wertvolle Hinweise auf das Konzept seiner Online-Präsenz. Google Analytics zum Beispiel ist ein recht umfangreiches und vor allem kostenloses Monitoring Tool. Wenn Seitenbetreiber dieses Tool auf ihrer Website einbinden, können Sie Nutzerzahlen erfassen, die Klickpfade der Nutzer nachzuvollziehen, Vorlieben für bestimmte Produkte oder Leistungen nachvollziehen, die verwendete Software der Nutzer (Browser, Betriebssysteme und IP sowie Plug-ins) darstellen und so Anhaltspunkte für die Suchmaschinenoptimierung und Gestaltung der eignen Website gewinnen und auswerten.

Datenschützer prangern jedoch seit geraumer Zeit die Webanalyse an, indem sie die Meinung vertreten, dass umfangreiche Profile über identifizierbare Nutzer angelegt werden könnten. Wir wollen einmal versuchen, Ihnen die Problematik der Analyse Werkzeuge näher bringen, sowie Sie auch darauf hinweisen, dass Sie als Webseiten Betreiber verpflichtet sind, sich an den Gepflogenheiten zu orientieren, bzw. diese Umzusetzen, um unnötige Risiken zukünftig zu vermeiden.

Wir gehen hier anhand von Google- und PIWIK-Analytics aus, den wohl bekanntesten und wohl auch am meisten eingesetzten Analysewerkzeugen. Aber auch jedes andere Tool ist davon betroffen. Sie dürfen sich nicht in Sicherheit wiegen, sollten Sie z.B. Webtrekk o.ä. Tools einsetzen. Diese sind genauso datenschutzkonform einzusetzen wie Google Analytics oder PWIK.

Haben Sie Fragen oder Anregungen zu diesen Ausführungen, können Sie unser Kontaktformular hierfür benutzen. Weiter stehen wir Ihnen als beratendes Unternehmen in der Frage des Datenschutzes und datenschutzkonforme Anwendungen für Monitoring Analysewerkzeuge jederzeit zur Verfügung. Sprechen Sie uns darauf an.

Mit der korrekten datenschutzkonformen Umsetzung ist der beanstandungsfreie Betrieb von Web Analytics Software möglich. Einige Gesetzesinhalte sind bei nicht korrekter Umsetzung hiervon betroffen, z.B. §§ 11, 4b Absätze 2 und 3 des Bundesdatenschutzgesetzes, die Regelungen der § 12, 13 und 15 des TMG; zu beachten auch §16 Abs. 2 TMG und §1 UWG.

Wir vertreten hier die Meinung, das Monitoring Tools datenschutzkonform eingesetzt werden müssen. Insbesondere gilt dies im Hinblick auf Google Analytics. Die erforderlichen Änderungen wurden am 15. September 2011 nach fast zweijähriger Verhandlung umgesetzt. Um Google Analytics ohne Beanstandung einsetzen zu können, müssen Webseitenbetreiber einige Dinge beachten und umsetzen.

 

Im folgenden erläutern wir, was Sie beachten müssen.

1. Vertrag zur Auftragsdatenverarbeitung

2. Angepasste Datenschutzerklärung

3. Widerspruchsrecht

4. Anonymisierung der IP-Adresse

5. Altdaten löschen

 

1. Zunächst gilt es einen Vertrag zur Auftragsdatenverarbeitung mit Google abzuschließen. Auf diese Weise wird sichergestellt, dass Google nach den Weisungen des jeweiligen Seitenbetreibers handelt. Hier wird deutlich erklärt, welche Pflichten auf Seiten des Webseitenbetreibers und welche auf Seiten Googles bestehen. Hintergrund ist nach Meinung der Datenschützer, dass es sich bei der Weiterverarbeitung der auf der Webseite erhobenen IP-Adresse durch das Monitoring Tool um eine Auftragsdatenverarbeitung im Sinne des §11 BDSG handelt, da der Webseitenbertreiber die Daten an diese zum Zweck der Auswertung überträgt.

2. Die Nutzung von Google Analytics ist in der Datenschutzerklärung (incl. der Änderung) oder im Impressum unbedingt anzugeben. Dies könnte so aussehen:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die IP-Anonymisierung ist auf dieser Website aktiv. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen.

Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.

Weitere Informationen hierzu finden Sie unterhttp://tools.google.com/dlpage/gaoptout?hl=de bzw. unter http://www.google.com/intl/de/analytics/privacyoverview.html (allgemeine Informationen zu Google Analytics und Datenschutz). Ferner weisen wir Sie darauf hin, dass auf dieser Webseite Google Analytics um den Code „gat._anonymizeIp();“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.

3. Den Betroffenen muss die Möglichkeit gegeben werden, Widerspruch gegen die Erfassung der Nutzerdaten einzulegen. Das dazugehörige Add-on finden Sie im obigen Text. Google hatte sich für ein Deaktivierungs-Add-on entschieden und nicht wie üblich über ein Cookie realisiert. Diese Add-on gibt es für alle gängigen Browser.

4. Die Anonymisierung der IP-Adresse muss von Hand eingefügt werden. Und um dies zu realisieren, hat Google ein Stück Code zur Verfügung gestellt. Mit diesem wird erreicht, das die letzten 8 Bit (1 Oktett) einer IP Adresse auf Null gesetzt werden. Dies sieht zum Beispiel so aus, statt einer IP von 81.67.219.156 wird 81.67.219.0. Dadurch kann trotzdem grob weiter lokalisiert werden. Die deutschen Datenschutzbehörden haben dies jedoch so anerkannt. Bei der Variante des asyncronen Tracking Codes sieht der neu einzufügende Code so aus: _gaq.push (['_gat._anonymizeIp']);

5. Weiterhin ist zu beachten, dass durch die Anpassung der neuen Google Analytics Konten nur diese nicht zu beanstanden sind, sofern eine vollständige Umsetzung erfolgt ist. Die alten Konten sind nach Meinung der Aufsichtsbehörden unrechtmäßig erstellt und sind daher zu löschen. Dieser Punkt dürfte jedoch nur schwer nachzuvollziehen sein. Die datenschutzkonforme Anwendung gilt auch für alle andere Monitoring Tools und nicht nur für Google Analytics.

 

 

Datenschutzkonformer Einsatz von PIWIK-Webanalyse Software

Der Unterschied zwischen Google und PIWIK ist, dass die gesammelten Daten und Informationen von PIWIK-Analytics beim Webseitenbetreiber selbst verbleiben, werden also nicht über Umwege in die USA geleitet. Das ist außerdem ein entscheidender Vorteil für diese Monitoring Software, denn als Alternative zu Google-Analytics eignet sich dieses Tool allemale.

Jedoch gilt es auch hier, einige wichtige Punkte zu beachten, um den datenschutzkonformen Einsatz von PIWIK-Webanalytics zu gewährleisten, sonst kommen Sie auch mit dieser Software in Gesetzeskonflikt.

 

1. Anonymisierung der IP-Adresse in PIWIK einrichten

2. Iframe zum setzen des OptOut-Cookies in die Webseite einbinden

3. Die PIWIK OptOut Hinweise auf deutsch anzeigen

4. Verringerung der Cookie-Lebensdauer

5. Zwei Zeilen für die robots.txt anlegen

6. Rechtlicher Hinweis im Impressum oder der Datenschutzerklärung anbringen

7. Altdaten löschen

 

Weitere EU-Vorgaben werden sicher in der Zukunft folgen.

Einen guten Whitepaper zu diesem Thema hat der BVDW herausgegeben, den Sie hier einsehen können.