5. Dezember 2016 - Webanalysen

Datenschutzgerechte Webstatistiken – gewusst wie!

Ohne Webstatistik ist es unmöglich, Internetangebote zielgerichtet zu verbessern. Die meisten Lösungen für Webanalysen kommen aber ohne zusätzliche Datenschutz-Vorkehrungen nicht aus. Was müssen Sie daher tun, um datenschutzkonform zu sein?

Datenchutz-Tipps für Webanalysen Wie lässt sich meine Website verbessern? Ohne Webstatistiken lässt sich das nicht beantworten. (Bild: Bigandt_Photography / iStock / Thinkstock)

Kaum ein Betreiber von Webseiten kann auf Webstatistiken verzichten. Denn ohne Controlling gibt es keinen Online-Erfolg. Wer seine Kunden nicht kennt, kann keine passenden Angebote unterbreiten. Diese einfache Wahrheit gilt auch im Internet.

Die Besucher einer Website regelmäßig zu befragen, ist kaum möglich. Daher müssen die Betreiber von Internet-Angeboten auf statistische Daten zurückgreifen. Mit entsprechenden Werkzeugen lassen sich umfangreiche Informationen über die Besucher einer Website sammeln. Darunter sind zahlreiche Daten ohne Personenbezug wie

  • die Anzahl der Seitenaufrufe,
  • die Besucheranzahl auf einer bestimmten Webseite,
  • die Verweildauer der Besucher,
  • verwendete Suchmaschinen und Suchbegriffe oder
  • die genutzten Browsertypen.

Bequem ist meist nicht datenschutzkonform

Viele Unternehmen greifen auf bequeme Lösungen wie Google Analytics zurück. Sie stellen die Webstatistik-Funktionen ohne großen Aufwand bereit.

Doch eine solche Lösung ist aus Sicht des Datenschutzes problematisch. Denn sie speichert die Besucherdaten auf externen Servern in den USA. Damit sind sie nicht der direkten Kontrolle des Website-Betreibers und der deutschen Gesetzgebung unterworfen.

Vor allem die Speicherung der IP-Adressen der Benutzer ist kritisch zu sehen. Deshalb haben die Aufsichtsbehörden klare Anforderungen formuliert. Und ihre Einhaltung bereits in Online-Prüfungen kontrolliert.

Webstatistiken und IP-Adressen der Nutzer

In seinem Urteil von Oktober 2016 kommt der Europäische Gerichtshof (EuGH) zum Ergebnis, dass auch dynamische IP-Adressen der Besucher einer Website für deren Betreiber personenbezogene Daten sind.

Voraussetzung: Der Betreiber muss die rechtliche Möglichkeit haben, über weitergehende Informationen die Identität des Nutzers bestimmen zu lassen.

Berücksichtigen Sie beim Einsatz von Webstatistik-Lösungen dieses aktuelle Urteil ebenso wie einige Entschließungen der Aufsichtsbehörden für den Datenschutz zum dem Thema. Dazu gehört etwa die Entschließung „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“.

Google Analytics: Was müssen Sie anpassen?

Zu den notwendigen Anpassungen und Maßnahmen vor Einsatz von Google Analytics zählt,

  • dass Ihr Unternehmen den von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen hat,
  • dass die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics hinweist sowie über die Widerspruchsmöglichkeiten und über die damit verbundenen Datenverarbeitungen aufklärt und
  • dass die Anonymisierungsfunktion für Google Analytics im Quellcode eingebunden ist.

Webstatistik ist meist Auftragsdatenverarbeitung

Der Einsatz von Google Analytics und vergleichbarer Dienste ist als Auftragsdatenverarbeitung zu sehen (in der Datenschutz-Grundverordnung zukünftig als Auftragsverarbeitung bezeichnet). Damit ist der Betreiber der Website in der Verantwortung, die personenbezogenen Daten zu schützen.

Wichtig: Eine solche Datenverarbeitung ist nach Telemediengesetz (§ 15 Abs. 3 TMG) nur zulässig, wenn der Nutzer ihr nicht widerspricht. Zudem muss ihn zuvor eine Datenschutzerklärung über den Zweck der Datenverarbeitung  und sein Widerspruchsrecht aufgeklärt haben.

Meist geht es um die Datenverarbeitung zum Zweck der Werbung und Marktforschung oder zur bedarfsgerechten Gestaltung. Nach dem erwähnten EuGH-Urteil dürfen die Website-Betreiber zudem die IP-Adressen ihrer Nutzer verwenden, um Störungen zu beseitigen und Missbrauch vorzubeugen. Nur so können sie die Funktionsfähigkeit ihrer Dienste gewährleisten.

Alternativen zu Google Analytics

Gerade mit Blick auf den Datenschutz setzen verschiedene Unternehmen auf alternative Tools für Webstatistiken wie Piwik (piwik.org). Ziel sind Webstatistiken, bei denen das Unternehmen die  Hoheit über die Daten behält. Das geht dann in Richtung Eigenbetrieb einer Lösung für Webanalysen.

Für den Datenschutz hat das verschiedene Vorteile:

  • Die Webstatistiken liegen auf dem eigenen Server.
  • Die Besucherdaten werden nicht außerhalb Deutschlands verarbeitet und gespeichert.
  • Die Speicherung, Verarbeitung und Löschung der Webstatistiken liegt in den Händen des Betreibers.

Auch Alternativ-Lösungen kritisch prüfen

Von selbst kommt der Datenschutz aber auch bei alternativen Lösungen für Webstatistiken nicht. Piwik zum Beispiel nennt mehrere Schritte, die es für den Datenschutz zu ergreifen gilt.

Grundsätzlich müssen Betreiber von Webseiten also die Datenschutz-Anforderungen bei Webstatistik-Tools hinterfragen, ob sie nun von Google stammen oder nicht. Dabei hilft die folgende Checkliste:


Download: Checkliste datenschutzgerechte Webanalysen


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Anzeige

Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln