Die Web­ana­ly­se hat sich zu einem zentralen In­stru­ment im On­line­mar­ke­ting ent­wi­ckelt. Zahl­rei­che Web­sei­ten­be­trei­ber setzen auf Tracking-Tools wie Google Analytics, Matomo (ehemals Piwik) oder etracker, die es erlauben, das Nut­zer­ver­hal­ten auf einer Website nach­zu­voll­zie­hen. Auf Basis dieser Daten kann man dann Aussagen treffen, wie sich Webseiten nut­zer­freund­li­cher und Ge­schäfts­pro­zes­se ef­fi­zi­en­ter gestalten lassen. Doch während sich On­line­händ­ler eine Welt ohne Web­ana­ly­se kaum noch vor­stel­len können, schlagen Da­ten­schüt­zer Alarm. Und zwar aus folgendem Grund: Für Kunden ist es oft nicht nach­voll­zieh­bar, welche Daten von Web­sei­ten­be­trei­bern erfasst werden und zu welchem Zweck. Kon­flikt­po­ten­zi­al besteht vor allem hin­sicht­lich des Umgangs mit per­so­nen­be­zo­ge­nen Daten, wie sie zum Erstellen von Nut­zer­pro­fi­len verwendet werden. Dadurch möchten Un­ter­neh­men bzw. Web­sei­ten­be­trei­ber mehr über den einzelnen Kunder erfahren. Aber eine da­ten­schutz­kon­for­me Web­ana­ly­se ist auch mit den eta­blier­ten Lösungen möglich. Al­ler­dings müssen dafür gewisse Vor­aus­set­zun­gen erfüllt sein, die mitunter Eingriffe in den Pro­gramm­code des Tracking-Tools erfordern.

Free Cloud Server Trial
Virtual Private Server auf En­ter­pri­se-Level
  • KVM-basierte vServer für Ent­wick­ler
  • In­te­griert in die IONOS Compute Engine
  • Ska­lier­bar bis zur En­ter­pri­se-Cloud

Da­ten­schutz­recht­li­che Rah­men­be­din­gun­gen

Grund­sätz­lich ist gegen eine Aus­wer­tung der Nut­zungs­ak­ti­vi­tä­ten auf einer Website nichts ein­zu­wen­den – sofern diese gemäß geltender Da­ten­schutz­be­stim­mun­gen erfolgt.

Die Ge­set­zes­grund­la­ge dafür ist in der EU die Da­ten­schutz-Grund­ver­ord­nung (DSGVO). Ihr zufolge ist das Erstellen von Nut­zer­pro­fi­len nur dann gestattet, wenn das an­ony­mi­siert geschieht – bei­spiels­wei­se durch Pseud­ony­me. Per­so­nen­be­zo­ge­nen Daten, mit denen einzelne Web­sei­ten­be­su­cher eindeutig zu iden­ti­fi­zie­ren sind, dürfen ohne aus­drück­li­che Erlaubnis der Be­trof­fe­nen nicht erfasst und ge­spei­chert werden. Einen solchen Per­so­nen­be­zug sehen Da­ten­schüt­zer auch bei dy­na­mi­schen IP-Adressen gegeben. Bereits in einem Beschluss des so­ge­nann­ten Düs­sel­dor­fer Kreises (einer re­gel­mä­ßi­gen Zu­sam­men­kunft der obersten Da­ten­schutz­auf­sichts­be­hör­den des Bundes und der Länder) aus dem Jahr 2009 hieß es dazu:

„Die Analyse des Nut­zungs­ver­hal­tens unter Ver­wen­dung voll­stän­di­ger IP-Adressen (ein­schließ­lich einer Geo­lo­ka­li­sie­rung) ist aufgrund der Per­so­nen­be­zieh­bar­keit dieser Daten daher nur mit bewusster, ein­deu­ti­ger Ein­wil­li­gung zulässig.“

Doch Web­sei­ten­be­trei­ber, die Nut­zer­me­tri­ken mithilfe gängiger Bran­chen­lö­sun­gen auswerten möchten, stellt diese Auslegung der da­ten­schutz­recht­li­chen Be­stim­mun­gen vor ein Problem: Denn in der Stan­dard­kon­fi­gu­ra­ti­on erfassen nahezu alle gängigen Tracking-Tools nicht nur die IP-Adresse eines jeden Anwenders, sondern setzen auch Cookies, um das Nut­zungs­ver­hal­ten auf der Website zu erfassen. Ein da­ten­schutz­kon­for­mer Einsatz wäre somit nur nach aus­drück­li­cher Ge­neh­mi­gung des Web­sei­ten­be­su­chers möglich.

Die DSGVO legt zu­sätz­lich sehr großen Wert auf die In­for­miert­heit der Nutzer. Das bedeutet für Web­sei­ten­be­trei­ber: Sie müssen ihren Besuchern deutlich machen, welche Daten sie zu welchem Zweck speichern. Damit sind auch generelle, all­um­fas­sen­de Ein­ver­ständ­nis­er­klä­run­gen tabu. Wenn Sie also un­ter­schied­li­che Daten zu un­ter­schied­li­chen Zwecken benötigen, müssen Sie den Nutzer mehrfach nach seiner Ein­wil­li­gung fragen – separat für jeden Ver­wen­dungs­zweck. Dabei ist es auch nicht zulässig – wie es bisher oft ge­hand­habt wurde –, von einer stillen Zu­stim­mung aus­zu­ge­hen. Äußern sich Nutzer nicht zur Frage, ob per­so­nen­be­zo­ge­ne Daten ge­spei­chert werden dürfen, gilt dies im Sinne der DSGVO als Ablehnung. Dasselbe gilt für den Einsatz von Cookies.

Web­ana­ly­se und Da­ten­schutz gemäß DSGVO

Gemäß der DSGVO stehen Web­sei­ten­be­trei­bern grund­sätz­lich zwei Wege offen, Nut­zer­da­ten rechts­kon­form zu erfassen und zu ver­ar­bei­ten:

  • über eine explizit ge­neh­mig­te Web­ana­ly­se
  • über die an­ony­mi­sier­te Web­ana­ly­se

Da­ten­schutz­recht­lich auf der sicheren Seite sind Web­sei­ten­be­trei­ber, die sich von ihren Besuchern vorab eine Ge­neh­mi­gung für das Erstellen von Nut­zer­pro­fi­len auf Basis per­so­nen­be­zo­ge­ner Daten einholen. Eine solche müsste einem Web­sei­ten­be­su­cher jedoch schon im Au­gen­blick des Web­sei­ten­auf­rufs aus­ge­spielt werden. Es reicht kei­nes­wegs, die Ein­wil­li­gungs­er­klä­rung als Teil­ab­schnitt in die all­ge­mei­nen Ge­schäfts­be­din­gun­gen auf­zu­neh­men. Statt­des­sen bietet sich bei­spiels­wei­se ein Pop-up-Fenster an, das sich beim ersten Web­sei­ten­auf­ruf öffnet. Erfolgt die Ein­wil­li­gung, ist es Aufgabe des Web­sei­ten­be­trei­bers, diese zu pro­to­kol­lie­ren und für den Nutzer jederzeit zu­gäng­lich auf­zu­be­wah­ren.

Außerdem muss es Nutzern auch möglich sein, die Ein­wil­li­gung jederzeit zu wi­der­ru­fen. Dieser Widerruf muss genau so einfach gestaltet sein wie die Ein­wil­li­gung selbst. Sobald der Nutzer seine Meinung ändert und dies dem Web­sei­ten­be­trei­ber gegenüber zum Ausdruck bringt, muss dieser die Da­ten­ver­ar­bei­tung stoppen. Daten, die bis dahin al­ler­dings bereits gesammelt und ver­ar­bei­tet wurden, müssen nicht nach­träg­lich wieder gelöscht werden. Dies ist nur der Fall, wenn der Nutzer explizit eine Löschung fordert.

Fakt

Die DSGVO fordert Web­site­be­trei­ber auf, eine Ein­wil­li­gung alle sechs Monate erneut ein­zu­ho­len. Daher sollte die Zu­stim­mun­gen der Nutzer mit einem Zeit­stem­pel versehen werden. Nur so kann Ihr Web­ana­ly­se-System alles korrekt und ge­set­zes­kon­form erfassen.

Die DSGVO gibt Nutzern darüber hinaus auch ein Aus­kunfts­recht: So hat er das Recht, zu erfahren, welche Daten man bisher von ihm ge­spei­chert hat. Für Sie als Web­sei­ten­be­trei­ber ist es daher wichtig, dass Sie jederzeit auf diese Daten zugreifen können. Die Ver­ord­nung gewährt Ihnen 30 Tage, um eine Anfrage zu be­ar­bei­ten. Wichtig ist auch, dass Anbieter von Web­ana­ly­sen und andere un­ter­neh­mens­frem­de Dienst­leis­ter die Daten nicht selbst auswerten dürfen, denn dafür haben die Nutzer in der Regel nicht Ihre Zu­stim­mung gegeben. Die Ein­wil­li­gung wurde meist nur dem Web­sei­ten­be­trei­ber selbst gewährt.

Für Web­sei­ten­be­trei­ber bedeutet es al­ler­dings einen deut­li­chen Mehr­auf­wand, sich von jedem einzelnen Besucher eine Ein­wil­li­gung zu holen. Zudem steigt die Gefahr eines Absprungs bei einer zu­sätz­li­chen Hürde zwischen Besucher und Web­sei­ten­in­halt. In der Praxis wird die da­ten­schutz­recht­li­che Ein­wil­li­gung daher selten erbeten. Eine Al­ter­na­ti­ve ist die an­ony­mi­sier­te Web­ana­ly­se. Sämtliche In­for­ma­tio­nen, die im Rahmen eines Web­sei­ten­be­suchs erfasst werden, müssen separat von per­so­nen­be­zo­ge­nen Daten (wie bei­spiels­wei­se der IP-Adresse, dem Namen oder Kon­to­da­ten) ge­spei­chert werden. Auch ein späteres Zu­sam­men­füh­ren der separaten Da­ten­sät­ze ist ohne explizite Erlaubnis nicht gestattet.

Hinweis

Wenn Sie sich nicht sicher sind, ob es sich bei den Daten, die Sie sammeln, um anonyme oder per­so­nen­be­zo­ge­ne In­for­ma­tio­nen handelt, gehen Sie vor­sichts­hal­ber von letzterem aus. Denn der Ge­setz­ge­ber spricht nur dann von anonymen Daten, wenn es auch nach­träg­lich nicht möglich ist, diese einer Person zu­zu­ord­nen.

Um der DSGVO-Ver­ord­nung gerecht zu werden, können Sie auch ein so­ge­nann­tes IP-Masking einsetzen. Bei dieser Variante der Web­ana­ly­se werden die letzten Ziffern einer IP-Adresse bereits bei der Erhebung un­kennt­lich gemacht. Da die gängigen Analyse-Tools Nutzer-IPs in der Regel au­to­ma­tisch voll­stän­dig erfassen und bei­spiels­wei­se im Rahmen der Geo­lo­ka­li­sie­rung ver­ar­bei­ten, erfordert eine an­ony­mi­sier­te Web­ana­ly­se meist eine zu­sätz­li­che Kon­fi­gu­ra­ti­on der Software. Eine de­tail­lier­te Anleitung für die Tracking-Tools Google Analytics, Matomo und etracker geben wir Ihnen am Ende dieses Artikels.

Ins­be­son­de­re auf folgende Punkte müssen Sie beim Einsatz von Web­ana­ly­se achten:

Opt-in

Eine Zu­stim­mung zur Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten muss über das Opt-in-Verfahren erfolgen. Sie dürfen weder von einer stillen Zu­stim­mung ausgehen noch ein Opt-out-Verfahren nutzen. Solange die Besucher nicht explizit zustimmen, dürfen Sie keine per­so­nen­be­zo­ge­nen Daten speichern. Das bedeutet auch, dass solche Daten nicht direkt beim Web­sei­ten­auf­ruf erfasst werden dürfen: Erst nach der Zu­stim­mung ist eine Spei­che­rung erlaubt.

Hinweis

Da die DSGVO erst seit kurzem in Kraft ist und noch nicht jedes Detail des Ge­set­zes­tex­tes eindeutig for­mu­liert ist, herrschen noch einige Un­klar­hei­ten. So ist man sich derzeit bei­spiels­wei­se nicht einig, ob das Opt-in-Verfahren auch für die bloße Web­ana­ly­se notwendig ist. Erst künftige Ge­richts­ver­fah­ren werden wahr­schein­lich klären, die DSGVO im Einzelnen aus­zu­le­gen ist.

Hin­weis­pflicht

Sofern sie Tracking-Techniken auf ihrer Website nutzen, sind Betreiber dazu ver­pflich­tet, Besucher darauf hin­zu­wei­sen, dass ihr Verhalten in Form von Nut­zer­pro­fi­len aus­ge­wer­tet wird. Sie müssen die Besucher auch darüber aufklären, in welchem Umfang das geschieht und zu welchem Zweck. Auch die Da­ten­schutz­er­klä­rung sollte für den Besucher jederzeit und von jeder Un­ter­sei­te aus er­reich­bar sein. Es empfiehlt sich daher, diese in der Na­vi­ga­ti­on oder im Footer-Bereich einer Website zu verlinken.

Wi­der­spruchs­recht

Eine weitere Vor­aus­set­zung für eine da­ten­schutz­kon­for­me Web­ana­ly­se ist die Wi­der­spruchs­mög­lich­keit. Nutzer müssen jederzeit die Mög­lich­keit haben, ihre vorherige Zu­stim­mung wieder rück­gän­gig zu machen. Das muss auf ebenso einfache Art möglich sein wie die vorherige Zu­stim­mung. Mit Empfang des Wi­der­spruchs muss die Aufnahme der per­so­nen­be­zo­ge­nen Daten stoppen.

Auf­trags­da­ten­ver­ar­bei­tung

Verwenden Web­sei­ten­be­trei­ber Web­track­ing-Tools, die per­so­nen­be­zo­ge­ne Nut­zer­da­ten auf externen Servern speichern, sieht die DSGVO einen elek­tro­ni­schen Auf­trags­da­ten­ver­ar­bei­tungs­ver­trag (AVV) vor. Unter letzt­ge­nann­ter versteht der Ge­setz­ge­ber die Erhebung, Ver­ar­bei­tung und Nutzung per­so­nen­be­zo­ge­ner Daten durch einen externen Dienst­leis­ter. In einer solchen Ver­ein­ba­rung legen beide Ver­trags­part­ner fest, welche Leis­tun­gen die Auf­trags­da­ten­ver­ar­bei­tung umfasst und welche Rechte und Pflichten sich daraus für Auf­trag­ge­ber und -nehmer ergeben.

Da­ten­schutz­ge­rech­te Web­ana­ly­se mit Google Analytics, Piwik und etracker

An­ge­sichts der Ein­füh­rung der DSGVO haben die Ent­wick­ler der eta­blier­ten Tracking-Tools sich bemüht, ihre Angebote möglichst da­ten­schutz­kon­form zu gestalten. Grund­sätz­lich liegt es aber in der Ver­ant­wor­tung des Web­sei­ten­be­trei­bers, dafür zu sorgen, dass die ge­setz­li­chen Rah­men­be­din­gun­gen der Web­ana­ly­se ein­ge­hal­ten werden.

Wie die ent­spre­chen­de Kon­fi­gu­ra­ti­on der Web­track­ing-Software in der Praxis aussehen kann, erläutern wir an den Bei­spie­len Google Analytics, Matomo und etracker.

Google Analytics

Selbst der große Da­ten­samm­ler Google hat seinen Web­ana­ly­se-Service an die neuen EU-Gesetze angepasst. Dennoch müssen Sie folgende An­pas­sun­gen vornehmen, damit Ihre Web­ana­ly­se dem Da­ten­schutz ent­spricht:

  1. Vertrag zur Auf­trags­da­ten­ver­ar­bei­tung: Nach Auf­fas­sung der Da­ten­schutz­be­hör­den nimmt Google als Anbieter von Google Analytics die Position eines Auf­trag­neh­mers ein. Web­sei­ten­be­trei­ber stehen somit in der Pflicht, vor dem Einsatz der Software einen Vertrag zur Auf­trags­da­ten­ver­ar­bei­tung in die Wege zu leiten. In­zwi­schen können Sie das auch online erledigen. Über Ihre Kon­to­ein­stel­lun­gen schließen Sie den Zusatz zur Da­ten­ver­ar­bei­tung ab.
     
  2. Da­ten­auf­be­wah­rung: In den Ein­stel­lun­gen er­mög­licht Google Ihnen, die ge­spei­cher­ten Daten au­to­ma­tisch nach Ablauf eines be­stimm­ten Zeitraums löschen zu lassen. Wählen Sie hier die kürzeste Zeit­pe­ri­ode von 14 Monaten.

    An­ony­mi­sie­rung der IP-Adressen: Eine An­ony­mi­sie­rung der Nutzer-IP-Adressen lässt sich mit Google Analytics durch die eigens dafür zur Verfügung gestellte Code-Er­wei­te­rung „an­ony­mi­zeIp“ rea­li­sie­ren. Diese müssen Web­sei­ten­be­trei­ber manuell in den Pro­gramm­code der Tracking-Software ein­brin­gen. Tech­ni­sche Er­läu­te­run­gen zur An­ony­mi­sie­rung finden Sie im Google-Support-Bereich. Aktuell wird die Tracking-Software in zwei Varianten genutzt. Abhängig davon, ob auf Ihrer Website das klas­si­sche Analytics oder statt­des­sen Universal Analytics zum Einsatz kommt, ergänzen Sie den Pro­gramm­code um folgende Code­ab­schnit­te:
     
  3. Im klas­si­schen Analytics wird die Er­wei­te­rung durch die Funktion _an­ony­mi­zelp der Ja­va­Script-Bi­blio­thek ga.js eingefügt:
var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview'])

Universal Analytics hingegen setzt auf die Funktion ga('set', 'an­ony­mi­zeI­p', true) der Ja­va­Script-Bi­blio­thek analytics.js: 

ga('create', 'UA-XXXXXXX-X', 'beispiel.de');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

Bei beiden Varianten wird das letzte Oktett einer IPv4-Adresse auf null gesetzt. Bei IPv6-Adressen umfasst das IP-Masking die letzten 80 Bit im Speicher.

  1. Da­ten­schutz­er­klä­rung und Wi­der­spruchs­recht: Laut den Nut­zungs­be­din­gun­gen von Google Analytics sind Web­sei­ten­be­trei­ber dazu ver­pflich­tet, auf den Einsatz der Software in einer Da­ten­schutz­er­klä­rung hin­zu­wei­sen. Dort müssen Sie auch den Umfang der Da­ten­er­fas­sung of­fen­le­gen. Eine solche Pflicht ergibt sich auch aus der Da­ten­schutz-Grund­ver­ord­nung. Die Erklärung muss die Web­sei­ten­be­su­cher zudem auf die Wi­der­spruchs­mög­lich­keit hinweisen. Hier empfiehlt sich ein Link auf das von Google zur Verfügung gestellte Browser-Add-on zur De­ak­ti­vie­rung von Google Analytics.
     
  2. Altdaten löschen: Solche per­so­nen­be­zo­ge­nen Nut­zer­da­ten, die auf nicht-DSGVO-konforme Weise erhoben wurden, müssen Sie aus­nahms­los löschen. In solchen Fällen empfiehlt sich die Ein­rich­tung eines neuen Google-Analytics-Accounts für die be­trof­fe­ne Website.

Matomo (Piwik)

Wie beim Markt­füh­rer muss auch der Da­ten­schutz bei Piwik bzw. Matomo – wie die Software nun heißt – angepasst werden, damit das Tracking-Tool auch auf deutschen Webseiten rechts­kon­form zum Einsatz kommen kann. Anders als Google Analytics läuft die Open-Source-Software Matomo auf dem eigenen Server. Ein Vertrag zur Auf­trags­da­ten­ver­ar­bei­tung entfällt daher – zumindest mit Matomo. Da Sie die per­so­nen­be­zo­ge­nen Daten aber höchst­wahr­schein­lich auf einem ge­mie­te­ten Server speichern, müssen Sie den AVV mit dem Hosting-Anbieter ab­schlie­ßen.

  1. An­ony­mi­sie­rung der IP-Adressen: In der Stan­dard­ein­stel­lung sollte Matomo bereits die An­ony­mi­sie­rung der IP-Adressen durch­füh­ren. Um si­cher­zu­ge­hen, dass die Ein­stel­lung tat­säch­lich korrekt ist, über­prü­fen Sie die Ein­stel­lun­gen im Admin-Bereich. Dort können Sie auch festlegen, wie viele Bytes (zwischen einem und drei) an­ony­mi­siert werden sollen.
     
  2. Da­ten­auf­be­wah­rung: Matomo er­mög­licht Ihnen, ge­sam­mel­te Daten re­gel­mä­ßig löschen zu lassen – zum Beispiel nach sechs Monaten. Über ent­spre­chen­den Menüpunkt im Admin-Bereich können Sie auch alle Altdaten löschen, falls diese nicht DSGVO-konform auf­ge­nom­men wurden. Mehr In­for­ma­tio­nen dazu finden Sie in der of­fi­zi­el­len FAQ.
     
  3. Da­ten­schutz­er­klä­rung und Wi­der­spruchs­recht: Die Wi­der­spruchs­op­ti­on im Rahmen der ob­li­ga­to­ri­schen Da­ten­schutz­er­klä­rung lässt sich bei Matomo über ein Opt-out-iFrame rea­li­sie­ren. Das ist dem Service-Bereich der of­fi­zi­el­len Projekt-Website zu entnehmen:
<iframe frameborder="no" width="600" height="200" src="http://beispiel.tld/index.php?module=CoreAdminHome&action=optOut&lang=de"></iframe>

Darüber hinaus re­spek­tiert Matomo die „Do not track“-Auf­for­de­rung, die viele Web­brow­ser bereits per Vor­ein­stel­lung jeder Web-Anfrage hin­zu­fü­gen – zumindest, sofern diese Funktion nicht de­ak­ti­viert ist.

Alle Ein­stel­lun­gen bezüglich des Da­ten­schut­zes lassen sich bei etracker ohne Eingriff in den Pro­gramm­code vornehmen. Als deutsches Un­ter­neh­men wirbt etracker ins­be­son­de­re mit der Kon­for­mi­tät zum eu­ro­päi­schen Da­ten­schutz­recht.

  1. Vertrag zur Auf­trags­da­ten­ver­ar­bei­tung: Auch Web­sei­ten­be­trei­ber, die bei der Aus­wer­tung von Nut­zer­da­ten auf etracker setzen, haben die Mög­lich­keit, auf einen vor­ge­fer­tig­ten Mus­ter­ver­trag zur Auf­trags­da­ten­ver­ar­bei­tung zu­rück­zu­grei­fen. Mit wenigen Klicks schließen Sie die AVV mit etracker ab.
     
  2. An­ony­mi­sie­rung der IP-Adressen: etracker gibt an, dass eine An­ony­mi­sie­rung der IP-Adresse als Standard aktiviert ist. Eine manuelle Code-Er­wei­te­rung ist nicht er­for­der­lich.
     
  3. Da­ten­schutz­er­klä­rung und Wi­der­spruchs­recht: Auch bei der Da­ten­schutz­er­klä­rung macht es etracker Web­sei­ten­be­trei­bern leicht, den aktuellen Da­ten­schutz­stan­dards gerecht zu werden. Ein auf die eu­ro­päi­sche Rechts­la­ge ab­ge­stimm­ter Mus­ter­text samt Wi­der­rufs­link lassen sich im etracker-Account über den Menüpunkt „Da­ten­schutz­hin­weis und Wi­der­rufs­mög­lich­keit für Ihre Website“ ausgeben. Auch eine Opt-In-Lösung können Sie bei etracker ein­stel­len.
     
  4. Altdaten löschen: Wurden per­so­nen­be­zo­ge­ne Nut­zer­da­ten vor der Aus­rich­tung auf die DSGVO in einer anderen Kon­fi­gu­ra­ti­on erhoben, müssen Sie diese auch bei etracker aus­nahms­los löschen.

Bitte beachten Sie den recht­li­chen Hinweis zu diesem Artikel.

Zum Hauptmenü