Webanalyse: Datenschutz bei der Erstellung von Nutzerprofilen

Die Webanalyse hat sich zu einem zentralen Instrument im Onlinemarketing entwickelt. Zahlreiche Webseitenbetreiber setzen auf Tracking-Tools wie Google Analytics, Matomo (ehemals Piwik) oder etracker, die es erlauben, das Nutzerverhalten auf einer Website nachzuvollziehen. Auf Basis dieser Daten kann man dann Aussagen treffen, wie sich Webseiten nutzerfreundlicher und Geschäftsprozesse effizienter gestalten lassen. Doch während sich Onlinehändler eine Welt ohne Webanalyse kaum noch vorstellen können, schlagen Datenschützer Alarm. Und zwar aus folgendem Grund: Für Kunden ist es oft nicht nachvollziehbar, welche Daten von Webseitenbetreibern erfasst werden und zu welchem Zweck. Konfliktpotenzial besteht vor allem hinsichtlich des Umgangs mit personenbezogenen Daten, wie sie zum Erstellen von Nutzerprofilen verwendet werden. Dadurch möchten Unternehmen bzw. Webseitenbetreiber mehr über den einzelnen Kunder erfahren. Aber eine datenschutzkonforme Webanalyse ist auch mit den etablierten Lösungen möglich. Allerdings müssen dafür gewisse Voraussetzungen erfüllt sein, die mitunter Eingriffe in den Programmcode des Tracking-Tools erfordern.

Datenschutzrechtliche Rahmenbedingungen

Grundsätzlich ist gegen eine Auswertung der Nutzungsaktivitäten auf einer Website nichts einzuwenden – sofern diese gemäß geltender Datenschutzbestimmungen erfolgt.

Die Gesetzesgrundlage dafür ist in der EU die Datenschutz-Grundverordnung (DSGVO). Ihr zufolge ist das Erstellen von Nutzerprofilen nur dann gestattet, wenn das anonymisiert geschieht – beispielsweise durch Pseudonyme. Personenbezogenen Daten, mit denen einzelne Webseitenbesucher eindeutig zu identifizieren sind, dürfen ohne ausdrückliche Erlaubnis der Betroffenen nicht erfasst und gespeichert werden. Einen solchen Personenbezug sehen Datenschützer auch bei dynamischen IP-Adressen gegeben. Bereits in einem Beschluss des sogenannten Düsseldorfer Kreises (einer regelmäßigen Zusammenkunft der obersten Datenschutzaufsichtsbehörden des Bundes und der Länder) aus dem Jahr 2009 hieß es dazu:

„Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig.“

Doch Webseitenbetreiber, die Nutzermetriken mithilfe gängiger Branchenlösungen auswerten möchten, stellt diese Auslegung der datenschutzrechtlichen Bestimmungen vor ein Problem: Denn in der Standardkonfiguration erfassen nahezu alle gängigen Tracking-Tools nicht nur die IP-Adresse eines jeden Anwenders, sondern setzen auch Cookies, um das Nutzungsverhalten auf der Website zu erfassen. Ein datenschutzkonformer Einsatz wäre somit nur nach ausdrücklicher Genehmigung des Webseitenbesuchers möglich.

Die DSGVO legt zusätzlich sehr großen Wert auf die Informiertheit der Nutzer. Das bedeutet für Webseitenbetreiber: Sie müssen ihren Besuchern deutlich machen, welche Daten sie zu welchem Zweck speichern. Damit sind auch generelle, allumfassende Einverständniserklärungen tabu. Wenn Sie also unterschiedliche Daten zu unterschiedlichen Zwecken benötigen, müssen Sie den Nutzer mehrfach nach seiner Einwilligung fragen – separat für jeden Verwendungszweck. Dabei ist es auch nicht zulässig – wie es bisher oft gehandhabt wurde –, von einer stillen Zustimmung auszugehen. Äußern sich Nutzer nicht zur Frage, ob personenbezogene Daten gespeichert werden dürfen, gilt dies im Sinne der DSGVO als Ablehnung. Dasselbe gilt für den Einsatz von Cookies.

Webanalyse und Datenschutz gemäß DSGVO

Gemäß der DSGVO stehen Webseitenbetreibern grundsätzlich zwei Wege offen, Nutzerdaten rechtskonform zu erfassen und zu verarbeiten:

  • über eine explizit genehmigte Webanalyse
  • über die anonymisierte Webanalyse

Datenschutzrechtlich auf der sicheren Seite sind Webseitenbetreiber, die sich von ihren Besuchern vorab eine Genehmigung für das Erstellen von Nutzerprofilen auf Basis personenbezogener Daten einholen. Eine solche müsste einem Webseitenbesucher jedoch schon im Augenblick des Webseitenaufrufs ausgespielt werden. Es reicht keineswegs, die Einwilligungserklärung als Teilabschnitt in die allgemeinen Geschäftsbedingungen aufzunehmen. Stattdessen bietet sich beispielsweise ein Pop-up-Fenster an, das sich beim ersten Webseitenaufruf öffnet. Erfolgt die Einwilligung, ist es Aufgabe des Webseitenbetreibers, diese zu protokollieren und für den Nutzer jederzeit zugänglich aufzubewahren.

Außerdem muss es Nutzern auch möglich sein, die Einwilligung jederzeit zu widerrufen. Dieser Widerruf muss genau so einfach gestaltet sein wie die Einwilligung selbst. Sobald der Nutzer seine Meinung ändert und dies dem Webseitenbetreiber gegenüber zum Ausdruck bringt, muss dieser die Datenverarbeitung stoppen. Daten, die bis dahin allerdings bereits gesammelt und verarbeitet wurden, müssen nicht nachträglich wieder gelöscht werden. Dies ist nur der Fall, wenn der Nutzer explizit eine Löschung fordert.

Fakt

Die DSGVO fordert Websitebetreiber auf, eine Einwilligung alle sechs Monate erneut einzuholen. Daher sollte die Zustimmungen der Nutzer mit einem Zeitstempel versehen werden. Nur so kann Ihr Webanalyse-System alles korrekt und gesetzeskonform erfassen.

Die DSGVO gibt Nutzern darüber hinaus auch ein Auskunftsrecht: So hat er das Recht, zu erfahren, welche Daten man bisher von ihm gespeichert hat. Für Sie als Webseitenbetreiber ist es daher wichtig, dass Sie jederzeit auf diese Daten zugreifen können. Die Verordnung gewährt Ihnen 30 Tage, um eine Anfrage zu bearbeiten. Wichtig ist auch, dass Anbieter von Webanalysen und andere unternehmensfremde Dienstleister die Daten nicht selbst auswerten dürfen, denn dafür haben die Nutzer in der Regel nicht Ihre Zustimmung gegeben. Die Einwilligung wurde meist nur dem Webseitenbetreiber selbst gewährt.

Für Webseitenbetreiber bedeutet es allerdings einen deutlichen Mehraufwand, sich von jedem einzelnen Besucher eine Einwilligung zu holen. Zudem steigt die Gefahr eines Absprungs bei einer zusätzlichen Hürde zwischen Besucher und Webseiteninhalt. In der Praxis wird die datenschutzrechtliche Einwilligung daher selten erbeten. Eine Alternative ist die anonymisierte Webanalyse. Sämtliche Informationen, die im Rahmen eines Webseitenbesuchs erfasst werden, müssen separat von personenbezogenen Daten (wie beispielsweise der IP-Adresse, dem Namen oder Kontodaten) gespeichert werden. Auch ein späteres Zusammenführen der separaten Datensätze ist ohne explizite Erlaubnis nicht gestattet.

Hinweis

Wenn Sie sich nicht sicher sind, ob es sich bei den Daten, die Sie sammeln, um anonyme oder personenbezogene Informationen handelt, gehen Sie vorsichtshalber von letzterem aus. Denn der Gesetzgeber spricht nur dann von anonymen Daten, wenn es auch nachträglich nicht möglich ist, diese einer Person zuzuordnen.

Um der DSGVO-Verordnung gerecht zu werden, können Sie auch ein sogenanntes IP-Masking einsetzen. Bei dieser Variante der Webanalyse werden die letzten Ziffern einer IP-Adresse bereits bei der Erhebung unkenntlich gemacht. Da die gängigen Analyse-Tools Nutzer-IPs in der Regel automatisch vollständig erfassen und beispielsweise im Rahmen der Geolokalisierung verarbeiten, erfordert eine anonymisierte Webanalyse meist eine zusätzliche Konfiguration der Software. Eine detaillierte Anleitung für die Tracking-Tools Google Analytics, Matomo und etracker geben wir Ihnen am Ende dieses Artikels.

Insbesondere auf folgende Punkte müssen Sie beim Einsatz von Webanalyse achten:

Opt-in

Eine Zustimmung zur Verarbeitung von personenbezogenen Daten muss über das Opt-in-Verfahren erfolgen. Sie dürfen weder von einer stillen Zustimmung ausgehen noch ein Opt-out-Verfahren nutzen. Solange die Besucher nicht explizit zustimmen, dürfen Sie keine personenbezogenen Daten speichern. Das bedeutet auch, dass solche Daten nicht direkt beim Webseitenaufruf erfasst werden dürfen: Erst nach der Zustimmung ist eine Speicherung erlaubt.

Hinweis

Da die DSGVO erst seit kurzem in Kraft ist und noch nicht jedes Detail des Gesetzestextes eindeutig formuliert ist, herrschen noch einige Unklarheiten. So ist man sich derzeit beispielsweise nicht einig, ob das Opt-in-Verfahren auch für die bloße Webanalyse notwendig ist. Erst künftige Gerichtsverfahren werden wahrscheinlich klären, die DSGVO im Einzelnen auszulegen ist.

Hinweispflicht

Sofern sie Tracking-Techniken auf ihrer Website nutzen, sind Betreiber dazu verpflichtet, Besucher darauf hinzuweisen, dass ihr Verhalten in Form von Nutzerprofilen ausgewertet wird. Sie müssen die Besucher auch darüber aufklären, in welchem Umfang das geschieht und zu welchem Zweck. Auch die Datenschutzerklärung sollte für den Besucher jederzeit und von jeder Unterseite aus erreichbar sein. Es empfiehlt sich daher, diese in der Navigation oder im Footer-Bereich einer Website zu verlinken.

Widerspruchsrecht

Eine weitere Voraussetzung für eine datenschutzkonforme Webanalyse ist die Widerspruchsmöglichkeit. Nutzer müssen jederzeit die Möglichkeit haben, ihre vorherige Zustimmung wieder rückgängig zu machen. Das muss auf ebenso einfache Art möglich sein wie die vorherige Zustimmung. Mit Empfang des Widerspruchs muss die Aufnahme der personenbezogenen Daten stoppen.

Auftragsdatenverarbeitung

Verwenden Webseitenbetreiber Webtracking-Tools, die personenbezogene Nutzerdaten auf externen Servern speichern, sieht die DSGVO einen elektronischen Auftragsdatenverarbeitungsvertrag (AVV) vor. Unter letztgenannter versteht der Gesetzgeber die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch einen externen Dienstleister. In einer solchen Vereinbarung legen beide Vertragspartner fest, welche Leistungen die Auftragsdatenverarbeitung umfasst und welche Rechte und Pflichten sich daraus für Auftraggeber und -nehmer ergeben.

Datenschutzgerechte Webanalyse mit Google Analytics, Piwik und etracker

Angesichts der Einführung der DSGVO haben die Entwickler der etablierten Tracking-Tools sich bemüht, ihre Angebote möglichst datenschutzkonform zu gestalten. Grundsätzlich liegt es aber in der Verantwortung des Webseitenbetreibers, dafür zu sorgen, dass die gesetzlichen Rahmenbedingungen der Webanalyse eingehalten werden.

Wie die entsprechende Konfiguration der Webtracking-Software in der Praxis aussehen kann, erläutern wir an den Beispielen Google Analytics, Matomo und etracker.

Google Analytics

Selbst der große Datensammler Google hat seinen Webanalyse-Service an die neuen EU-Gesetze angepasst. Dennoch müssen Sie folgende Anpassungen vornehmen, damit Ihre Webanalyse dem Datenschutz entspricht:

  1. Vertrag zur Auftragsdatenverarbeitung: Nach Auffassung der Datenschutzbehörden nimmt Google als Anbieter von Google Analytics die Position eines Auftragnehmers ein. Webseitenbetreiber stehen somit in der Pflicht, vor dem Einsatz der Software einen Vertrag zur Auftragsdatenverarbeitung in die Wege zu leiten. Inzwischen können Sie das auch online erledigen. Über Ihre Kontoeinstellungen schließen Sie den Zusatz zur Datenverarbeitung ab.
     
  2. Datenaufbewahrung: In den Einstellungen ermöglicht Google Ihnen, die gespeicherten Daten automatisch nach Ablauf eines bestimmten Zeitraums löschen zu lassen. Wählen Sie hier die kürzeste Zeitperiode von 14 Monaten.

    Anonymisierung der IP-Adressen: Eine Anonymisierung der Nutzer-IP-Adressen lässt sich mit Google Analytics durch die eigens dafür zur Verfügung gestellte Code-Erweiterung „anonymizeIp“ realisieren. Diese müssen Webseitenbetreiber manuell in den Programmcode der Tracking-Software einbringen. Technische Erläuterungen zur Anonymisierung finden Sie im Google-Support-Bereich. Aktuell wird die Tracking-Software in zwei Varianten genutzt. Abhängig davon, ob auf Ihrer Website das klassische Analytics oder stattdessen Universal Analytics zum Einsatz kommt, ergänzen Sie den Programmcode um folgende Codeabschnitte:
     
  3. Im klassischen Analytics wird die Erweiterung durch die Funktion _anonymizelp der JavaScript-Bibliothek ga.js eingefügt:
var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview'])

Universal Analytics hingegen setzt auf die Funktion ga('set', 'anonymizeIp', true) der JavaScript-Bibliothek analytics.js:

ga('create', 'UA-XXXXXXX-X', 'beispiel.de');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

Bei beiden Varianten wird das letzte Oktett einer IPv4-Adresse auf null gesetzt. Bei IPv6-Adressen umfasst das IP-Masking die letzten 80 Bit im Speicher.

  1. Datenschutzerklärung und Widerspruchsrecht: Laut den Nutzungsbedingungen von Google Analytics sind Webseitenbetreiber dazu verpflichtet, auf den Einsatz der Software in einer Datenschutzerklärung hinzuweisen. Dort müssen Sie auch den Umfang der Datenerfassung offenlegen. Eine solche Pflicht ergibt sich auch aus der Datenschutz-Grundverordnung. Die Erklärung muss die Webseitenbesucher zudem auf die Widerspruchsmöglichkeit hinweisen. Hier empfiehlt sich ein Link auf das von Google zur Verfügung gestellte Browser-Add-on zur Deaktivierung von Google Analytics.
     
  2. Altdaten löschen: Solche personenbezogenen Nutzerdaten, die auf nicht-DSGVO-konforme Weise erhoben wurden, müssen Sie ausnahmslos löschen. In solchen Fällen empfiehlt sich die Einrichtung eines neuen Google-Analytics-Accounts für die betroffene Website.

Matomo (Piwik)

Wie beim Marktführer muss auch der Datenschutz bei Piwik bzw. Matomo – wie die Software nun heißt – angepasst werden, damit das Tracking-Tool auch auf deutschen Webseiten rechtskonform zum Einsatz kommen kann. Anders als Google Analytics läuft die Open-Source-Software Matomo auf dem eigenen Server. Ein Vertrag zur Auftragsdatenverarbeitung entfällt daher – zumindest mit Matomo. Da Sie die personenbezogenen Daten aber höchstwahrscheinlich auf einem gemieteten Server speichern, müssen Sie den AVV mit dem Hosting-Anbieter abschließen.

  1. Anonymisierung der IP-Adressen: In der Standardeinstellung sollte Matomo bereits die Anonymisierung der IP-Adressen durchführen. Um sicherzugehen, dass die Einstellung tatsächlich korrekt ist, überprüfen Sie die Einstellungen im Admin-Bereich. Dort können Sie auch festlegen, wie viele Bytes (zwischen einem und drei) anonymisiert werden sollen.
     
  2. Datenaufbewahrung: Matomo ermöglicht Ihnen, gesammelte Daten regelmäßig löschen zu lassen – zum Beispiel nach sechs Monaten. Über entsprechenden Menüpunkt im Admin-Bereich können Sie auch alle Altdaten löschen, falls diese nicht DSGVO-konform aufgenommen wurden. Mehr Informationen dazu finden Sie in der offiziellen FAQ.
     
  3. Datenschutzerklärung und Widerspruchsrecht: Die Widerspruchsoption im Rahmen der obligatorischen Datenschutzerklärung lässt sich bei Matomo über ein Opt-out-iFrame realisieren. Das ist dem Service-Bereich der offiziellen Projekt-Website zu entnehmen:
<iframe frameborder="no" width="600" height="200" src="http://beispiel.tld/index.php?module=CoreAdminHome&action=optOut&lang=de"></iframe>

Darüber hinaus respektiert Matomo die „Do not track“-Aufforderung, die viele Webbrowser bereits per Voreinstellung jeder Web-Anfrage hinzufügen – zumindest, sofern diese Funktion nicht deaktiviert ist.

Alle Einstellungen bezüglich des Datenschutzes lassen sich bei etracker ohne Eingriff in den Programmcode vornehmen. Als deutsches Unternehmen wirbt etracker insbesondere mit der Konformität zum europäischen Datenschutzrecht.

  1. Vertrag zur Auftragsdatenverarbeitung: Auch Webseitenbetreiber, die bei der Auswertung von Nutzerdaten auf etracker setzen, haben die Möglichkeit, auf einen vorgefertigten Mustervertrag zur Auftragsdatenverarbeitung zurückzugreifen. Mit wenigen Klicks schließen Sie die AVV mit etracker ab.
     
  2. Anonymisierung der IP-Adressen: etracker gibt an, dass eine Anonymisierung der IP-Adresse als Standard aktiviert ist. Eine manuelle Code-Erweiterung ist nicht erforderlich.
     
  3. Datenschutzerklärung und Widerspruchsrecht: Auch bei der Datenschutzerklärung macht es etracker Webseitenbetreibern leicht, den aktuellen Datenschutzstandards gerecht zu werden. Ein auf die europäische Rechtslage abgestimmter Mustertext samt Widerrufslink lassen sich im etracker-Account über den Menüpunkt „Datenschutzhinweis und Widerrufsmöglichkeit für Ihre Website“ ausgeben. Auch eine Opt-In-Lösung können Sie bei etracker einstellen.
     
  4. Altdaten löschen: Wurden personenbezogene Nutzerdaten vor der Ausrichtung auf die DSGVO in einer anderen Konfiguration erhoben, müssen Sie diese auch bei etracker ausnahmslos löschen.

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.