Webanalyse-Tools

Die Ausgangssituation

Das Internet entwickelte sich in den letzten Jahren zunehmend zu einer wichtigen Plattform für den Vertrieb unterschiedlichster Waren und Dienstleistungen. Viele Unternehmen unterhalten Webshops für den Vertrieb ihrer Produkte. Aber auch Unternehmen und Organisationen, die das Internet nicht für den Verkauf von Produkten und Dienstleistungen nutzen, sind ebenfalls daran interessiert zu erfahren, wie, von wem und in welchem Umfang ihre Internetseiten besucht werden. Hier interessiert besonders das Surfverhalten der Besucher.

Zu diesem Zweck, also letztendlich zu Zwecken der Werbung und Marktforschung, gibt es am Markt verschiedene Software aber auch Dienste von Dritten, die eine entsprechende Analyse ermöglichen. Dazu werden über die Aufrufe der Seiten/Seitenelemente Statistiken und Protokolle erstellt, die mittels einer geeigneten Software analytisch ausgewertet werden können.

Eine detaillierte Besucheranalyse der eigenen Webseite kann dann u. a. Angaben enthalten wie:

  • Anzahl der Besucher am Tag
  • Aufenthaltsdauer auf der Seite oder in einzelnen Bereichen
  • Auswertung über die Anzahl der Aufrufe der eigenen Seite durch externe Links
  • Angabe der verwendeten Webbrowser mit Infos über Land, Datum, Uhrzeit etc.
  • Welche Daten abgerufen wurden
  • Weitere statistische Auswertungen in Balkendiagramm, Kuchendiagramm oder in anderer Form

Zu beachtende Vorgaben nach den deutschen Rechsvorschriften

Falls ein Unternehmen aber auch eine Privatperson die oben beschriebenen Analyseverfahren einsetzen will, sind bei der Erstellung von Nutzungsprofilen die Bestimmungen des Telemediengesetzes (TMG) zu beachten. Nach den Vorgaben des TMG dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen verwendet werden. Nach dem TMG ist die IP-Adresse kein Pseudonym [1] im Sinne des Gesetzes!

Nach einem Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund sind folgende Vorschriften bezüglich der datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung im Internet nach den Vorgaben des TMG zu beachten [2]:

Den Betroffenen ist eine Mögl

Grundproblem bei der Verwendung von Google Analytics

In einer datenschutzrechtlichen Bewertung des Einsatzes von Google Analytics kam das Unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein (ULD) in seinem Fazit aus dem Jahre 2009 zu folgendem Ergebnis:

„Der Einsatz der kostenlos angebotenen Version des Google Analytics Services ist aus den
genannten Gründen derzeit datenschutzrechtlich unzulässig. Die Aufsichtsbehörden des
Bundes und der Länder stehen mit der Google Germany GmbH im Gespräch, um einen
rechtskonformen Einsatz dieses Dienstes zu ermöglichen.“ [3]

Aufgrund dieser Vorwürfe änderte Google die Funktionalität dieses Dienstes. Im September 2011 verkündete der Hamburgische Beauftragte für den Datenschutz und Informationsfreiheit, dass Google Analytics nunmehr unter bestimmten Auflagen verwendet werden darf. Der Hamburgische Datenschutzbeauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, erklärte hierzu:

„Wir befinden uns am Ende eines langen, aber konstruktiven Abstimmungsprozesses. Die intensive Zusammenarbeit zwischen den Datenschutz-Aufsichtsbehörden einerseits und Google andererseits haben die erzielten Verbesserungen ermöglicht. Ausdrücklich begrüße ich auch die Ankündigung von Google, dass die technischen Änderungen europaweit umgesetzt werden sollen. Ich möchte jedoch auch daran erinnern, dass die Arbeit nicht abgeschlossen ist. Insbesondere ist zu berücksichtigen, dass nicht Google, sondern die Webseitenbetreiber, die das Produkt einsetzen, für den datenschutzgerechten Einsatz verantwortlich sind.“ [4]  (Hervorhebung von uns)

Weiter heißt es zum Abschluss auf der Internetseite: 

„Darüber hinaus wird künftig erforderlich sein, die technischen Anforderungen des Opt-Out auch auf Smartphones zu übertragen. Hinzu kommt, dass die Entwicklung der Analyse-Software mit dem derzeitigen Stand der Umsetzung keineswegs endgültig abgeschlossen ist. Technische und rechtliche Veränderungen erfordern eine kontinuierliche Weiterentwicklung. So werden die ausstehende Umsetzung der E-Privacy-Richtline, aber auch die Einführung von IPv6 neue Schritte erfordern.

Hierzu gilt es, auch weiterhin mit Google im Dialog zu bleiben.“ [5]

Datenschutzkonformer Einsatz von Google Analytics

Was ist nun zu beachten, wenn ein Unternehmen in Deutschland das Google Analytics Tool für die Analyse seiner Website einsetzen will? Hierzu hat u. a. der Hamburger Datenschutzbeauftragte ein  PDF-Dokument zur Verfügung gestellt (Stand: September 2011) [6].  Ein ähnliches Dokument stellt der Datenschutzbeauftragte von Rheinland-Pfalz ebenfalls mit Stand September 2011 zur Verfügung [7].

Zusammenfassend und im Überblick sind folgende Bestimmungen zu beachten:

  • Abschluss eines Vertrages mit Google über Auftragsdatenverarbeitung entsprechend § 11 BDSG
    Die Aufsichtsbehörden der Länder vertreten die Auffassung, dass ein Unternehmen mit Google einen Vertrag über Auftragsdatenvereinbarung abschließen muss. Dazu stellt Google einen Vertragsentwurf zur Verfügung, der mit den Datenschutzbehörden abgesprochen wurde. Siehe dazu den u. a. Link [8].
  • Verfassen einer Datenschutzerklärung auf der eigenen Webseite
    Zweck dieser Datenschutzerklärung ist es, den Besucher der Website über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics hinzuweisen. Da ab Mai 2012 die Aufsichtsbehörden begonnen haben, Websites bezüglich des datenschutzkonformen Einsatzes von Google Analytics mittels eines Crawlers zu überprüfen [9], kann nur empfohlen werden, in der Datenschutzerklärung genau und ehrlich aufzuzeigen, wie Google Analytics auf der eigenen Websites eingesetzt wird. Mittels „copy and paste“ übernommene Datenschutzerklärungen anderer Anbieter dürften den Aufsichtsbehörden besonders ins Auge fallen und eine entsprechende Reaktionen zur Folge haben.
  • Ermöglichen des Widerspruchrechts durch Websitebesucher gegen die Nutzung von Google Analytics
    Der Hamburger Datenschutzbeauftragte empfiehlt die Verlinkung mit einem von Google bereitgestellten Deaktivierungs-Add-On, das in alle gängigen Browser eingefügt werden kann. Mittels dieses Add-On kann der Besucher die Auswertung seines Besuches auf einer Website deaktivieren.
  • Anonymisierung der IP-Adresse des Websitebesuchers
    Hierfür stellt Google eine Erweiterung des Google Analytics Code zur Verfügung. Die zu verwendende Codezeile sorgt dafür, dass die letzten 8-bit der IP-Adresse gelöscht werden und dadurch die Identifizierung des Websitebesuchers erschwert wird. Diese Vorgehensweise wurde mit den Datenschutzbehörden ebenfalls abgesprochen.
  • Löschung von Altdaten bei vorheriger Nutzung von Google Analytics
    Die Datenschutzbehörden gehen davon aus, dass Internetseiten bei denen Google Analytics vor den neuen Anforderungen eingesetzt wurden, diese Daten unrechtmäßig erhoben wurden. Diese Altdaten sind somit zu löschen. Es wird daher empfohlen, das alte Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen.

Ein Fazit

Nach zähem Ringen insbesondere mit dem hamburgischen Datenschutzbeauftragten kam es mit Google zu einer Vereinbarung, die den deutschen Datenschutzbestimmungen entsprechen soll. Im Wesentlichen wurden dabei die im „Stralsunder Beschluss“ geforderten Bedingungen umgesetzt. Dem Websitebetreiber, der gerne Google Analytics einsetzen will, ist somit angeraten, die oben skizzierten Vorgaben der Datenschutzbehörden umzusetzen.

Inwieweit insbesondere das sensible Thema Auftragsdatenverarbeitung, das eine umfangreiche vertragliche Regelung erfordert, in der durch Google und die Aufsichtsbehörden vorgelegten Form in der Praxis sich durchsetzen wird, bleibt abzuwarten. Die laufende Entwicklung muss diesbezüglich daher weiter beobachtet werden.

Der Datenschutzbeauftragte von Hamburg beendet seine Handreichung zum datenschtzkonformen Einsatz von Google Analytics mit dem Hinweis:

„Wir weisen darauf hin, dass diese Anforderungen den gesetzlichen Stand vom September 2011 wiederspiegeln. Insbesondere im Zusammenhang mit der sog. „Cookie-Richtlinie“ (Änderung der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG durch die Richtlinie 2009/136/EG) können sich zukünftig weitere Anforderungen ergeben. [10]“

Alternative zu Google Analytics

Wem die Umsetzung der o. g. Regelungen zu umfangreich erscheint, wird nach Alternativen zu Google Analytics fragen. Die gibt es natürlich. So kann z. B. Piwik als Alternative zu Google Analytics eingesetzt werden. Allerdings ist die Anzahl der Funktionen geringer. Piwik bietet den Vorteil, dass die aus Sicht des Datenschutzes sensiblen Daten auf dem eigenen Server gespeichert werden. Damit bleiben diese Daten im Sinne des TMG in der Verfügungsgewalt des Datennutzers. Das Problem Auftragsdatenverarbeitung stellt sich dann nicht.

Piwik ist ein Open-Source-Programm für die klassische Webanalytik, das in PHP geschrieben wurde und dabei eine MySQL-Datenbank benutzt. Weitere Infos findet man auf der deutschen Website von Piwik: http://de.piwik.org/

Piwik bietet detaillierte Echtzeit-Berichte über die Besucher einer Homepage. Eine Übersicht über die verschiedenen Merkmale (features) findet man hier: http://piwik.org/features/

Bezüglich des in diesem Artikel problematisierten Faktors „Datenschutz“ ist erwähnenswert, dass Piwik im Gegensatz zu Google Analytics und anderer Web-Analyse-Software vom Unabhängigen Landeszentrum für Datenschutz (ULD)  als „datenschutzkonform einsetzbar“ bezeichnet wird [11]. Nach eigener Aussage ist die Software Piwik mit dem Datenschutz und dem Schutz der Privatsphäre in Einklang zu bringen. Das ULD erstellte auch eine Anleitung, mit deren Hilfe man Piwik für den datenschutzrechtlich einwandfreien Betrieb konfigurieren kann [12]. Neben den Vorteilen erwähnt das in der entsprechenden Fußnote  erwähnte Dokument auch folgenden Nachteil:

„Zu den technischen Nachteilen von Piwik gehört es, dass die Besucherzählung zumindest in der Grundvariante des Programms davon abhängig ist, dass der Besucher JavaScript aktiviert hat. Piwik verwendet HTTP-Cookies. Genaueres zur rechtlichen Situation rund um Cookies findet sich im Abschnitt 4.1 dieses Dokuments. [13]“

Trotz der obigen Einschränkung sind unter Mitwirkung des ULD folgende Sicherheitsfunktionen umgesetzt:

  • das AnonymizeIP-Plugin verhindert die Speicherung voll qualifizierter IP-Adressen
  • mittels der Besucher OptOut-Funktion können die Besucher das Tracking für ihren Besuch auf der entsprechenden Website deaktivieren
  • Privacy/Privatsphäre-Einstellung für das Löschen von Daten

Für Unternehmen, die sich gegenüber ihren Kunden zur Einhaltung der Datenschutzrichtlinien verpflichten und dabei auf Google Analytics verzichten wollen, stellt Piwik eine Alternative dar. Wie heißt es so schön auf der Piwik-Website:

„Angesichts der hitzigen Debatte und des Abmahnrisikos beim Einsatz von Webanalyse Software die nicht datenschutzkonform ist, bietet die Open-Source-Software Piwik nun eine sichere und hervorragende Alternative. [14]“

Eines aber darf jedoch nicht vergessen werden: Datenschutz kann mittels einer Software nur gewährleistet werden, wenn diese auch datenschutzkonform konfiguriert wird. Ein automatischer Datenschutz ist wohl grundsätzlich nicht zu haben. Dazu bietet das o. g. Dokument des ULD eine entsprechende Anleitung.

[1] Nach § 3 Abs. 6a BDSG heißt es: „Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“  
[2] Link    [3] Link    [4] Link   [5] ebenda; siehe dazu auch folgenden Link   
[6] Link    [7] Link    [8] Link   [9] Link    
[10] Link (Seite 2)    [11] Link    [12] Link    [13] ebenda, S. 5    [14] Link