Gratis
5. Januar 2020 - Webanalysen

Datenschutzgerechte Webstatistiken – gewusst wie!

Drucken

Ohne Webstatistik ist es unmöglich, Internetangebote zielgerichtet zu verbessern. Die meisten Lösungen für Webanalysen kommen aber ohne zusätzliche Datenschutz-Vorkehrungen nicht aus. Was müssen Sie daher tun, um datenschutzkonform zu sein?

Datenchutz-Tipps für Webanalysen Wie lässt sich meine Website verbessern? Ohne Webstatistiken lässt sich das nicht beantworten. (Bild: Bigandt_Photography / iStock / Thinkstock)

Warum Webstatistiken?

Kaum ein Betreiber von Webseiten kann auf Webstatistiken verzichten. Denn ohne Controlling ist es schwer, online erfolgreich zu sein. Wer seine Kunden nicht kennt, kann keine passenden Angebote unterbreiten. Diese einfache Wahrheit gilt auch im Internet.

Die Besucher einer Website regelmäßig zu befragen, ist kaum möglich. Daher müssen die Betreiber von Internet-Angeboten auf statistische Daten zurückgreifen.

Mit entsprechenden Werkzeugen lassen sich umfangreiche Informationen über die Besucher einer Website sammeln. Darunter sind zahlreiche Daten ohne Personenbezug wie

  • die Anzahl der Seitenaufrufe,
  • die Besucheranzahl auf einer bestimmten Webseite,
  • die Verweildauer der Besucher,
  • verwendete Suchmaschinen und Suchbegriffe oder
  • die genutzten Browsertypen.

Wo liegen die Datenschutz-Hürden bei Website-Statistiken?

Viele Unternehmen greifen auf bequeme Lösungen wie Google Analytics zurück. Sie stellen die Webstatistik-Funktionen ohne großen Aufwand bereit.

Doch eine solche Lösung ist aus Sicht des Datenschutzes problematisch. Denn sie speichert die Besucherdaten auf externen Servern in den USA und nutzt die Daten zu eigenen Zwecken.

Damit sind die Daten nicht der direkten Kontrolle des Website-Betreibers unterworfen und werden an Dritte übermitteln, die die Daten zu anderen Zwecken verarbeiten.

Vor allem die Speicherung der IP-Adressen der Benutzer ist kritisch zu sehen. Und dass die Nutzer nicht in das Tracking einwilligen. Deshalb haben die Aufsichtsbehörden klare Anforderungen formuliert.

Website-Betreibende, die unzulässig Dritt-Inhalte wie einen Analysedienst einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen. Sie sollten auch berücksichtigen, dass die Aufsichtsbehörden nach der Datenschutz-Grundverordnung (DSGVO) für derartige Verstöße Geldbußen festsetzen können.

Webstatistiken und IP-Adressen der Nutzer

In seinem Urteil von Oktober 2016 kommt der Europäische Gerichtshof (EuGH) zum Ergebnis, dass auch dynamische IP-Adressen der Besucher einer Website für deren Betreiber personenbezogene Daten sind.

Berücksichtigen Sie beim Einsatz von Webstatistik-Lösungen dieses Urteil ebenso wie Entschließungen und Orientierungshilfen der Aufsichtsbehörden für den Datenschutz zu dem Thema. Dazu gehört etwa die „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“.

Wie weit reichen Einwilligung und berechtigtes Interesse?

Zu den notwendigen Anpassungen und Maßnahmen, die Verantwortliche treffen müssen, bevor sie Google Analytics oder andere Webstatistik-Tools einsetzen, zählen die folgenden Punkte:

Nutzen Anbieter Daten, die eingebundene Dritt-Dienste erheben, auch für eigene Zwecke, müssen sie hierfür eine ausdrückliche Einwilligung der Nutzerinnen und Nutzer einholen.

Das ist bei Google Analytics der Fall, wie die Aufsichtsbehörden unterstrichen haben (z.B. https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-analytics).

Setzt der  Website-Betreiber ein Analyse-Tool ein, das Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergibt, reicht ein berechtigtes Interesse an der Reichweitenmessung als rechtliche Grundlage der Verarbeitung nicht mehr aus.

Das betrifft z.B. soziale Netzwerke oder externe Analysedienste, die Nutzungsdaten über die Grenze der Website hinweg mit Daten von  anderen Websites zusammenführen.

Das  Ziel – die Reichweitenmessung – lässt sich auch mit milderen, gleich geeigneten Mitteln erreichen. Es gibt Tools, die deutlich weniger personenbezogene Daten erheben und diese Daten nicht an Dritte übermitteln.

Auch Analysesoftware, die lokal implementiert ist, zählt dazu.

Ist Webstatistik Auftragsverarbeitung?

ACHTUNG: Google hat sein Produkt Google Analytics in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt.

Vielmehr räumt sich der Anbieter das Recht ein, die Daten der Website-Besuchenden zu eigenen Zwecken zu verwenden.

Nutzt der Webanalyse-Dienst die Daten nicht zu eigenen Zwecken, ist die Webanalyse als Auftragsverarbeitung zu sehen (in der Datenschutz-Grundverordnung in Artikel 28 zu finden). Damit ist insbesondere der Betreiber der Website in der Verantwortung, die personenbezogenen Daten zu schützen.

Wichtig: Eine solche Datenverarbeitung ist nach Telemediengesetz (§ 15 Abs. 3 TMG) nur zulässig, wenn der Nutzer ihr nicht widerspricht. Zudem muss ihn zuvor eine Datenschutzerklärung über den Zweck der Datenverarbeitung und sein Widerspruchsrecht aufgeklärt haben.

Meist geht es um die Datenverarbeitung zum Zweck der Werbung und Marktforschung oder zur bedarfsgerechten Gestaltung des Internetauftritts.

Nach dem erwähnten EuGH-Urteil dürfen die Website-Betreiber zudem die IP-Adressen ihrer Nutzer verwenden, um Störungen zu beseitigen und Missbrauch vorzubeugen. Nur so können sie die Funktionsfähigkeit ihrer Dienste gewährleisten.

Welche Alternative gibt es zu Google Analytics?

Gerade mit Blick auf den Datenschutz setzen verschiedene Unternehmen auf alternative Tools für Webstatistiken wie Matomo (https://matomo.org/, früher als piwik bekannt).

Ziel sind Webstatistiken, bei denen das Unternehmen die  Hoheit über die Daten behält. Das geht dann in Richtung Eigenbetrieb einer Lösung für Webanalysen.

Für den Datenschutz hat das verschiedene Vorteile:

  • Die Webstatistiken liegen auf dem eigenen Server.
  • Die Besucherdaten werden nicht außerhalb Deutschlands oder der EU verarbeitet und gespeichert.
  • Die Speicherung, Verarbeitung und Löschung der Webstatistiken liegt in den Händen des Betreibers.

Auch Alternativ-Lösungen kritisch prüfen!

Von selbst kommt der Datenschutz aber auch bei alternativen Lösungen für Webstatistiken nicht. Matomo zum Beispiel nennt mehrere Schritte, die es für den Datenschutz zu ergreifen gilt.

Grundsätzlich müssen Betreiber von Webseiten also die Datenschutz-Anforderungen bei Webstatistik-Tools hinterfragen, ob sie nun von Google stammen oder nicht. Dabei hilft die folgende Checkliste:


Download Checkliste datenschutzgerechte Webanalysen


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Anzeige

Datenschutz PRAXIS Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen.

Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!