Laut einer aktuellen Studie des IT-Beratungsunternehmens Xamit verstoßen viele in Deutschland populäre Webstatistik-Tools gegen deutsche Datenschutzgesetze. Gerade einmal fünf von insgesamt elf getesteten Tools seien überhaupt legal nutzbar und dies auch nur nach Anpassungen.
Lesen Sie, welche Tools in der Studie durchgefallen sind
Update: Die Studie ist inzwischen aktualisiert worden.
Die bereits im April erstmals vorgestellte Studie, in der verschiedene Webstatistik-Dienste auf die Möglichkeit zum rechtskonformen Einsatz untersucht werden, sorgte von Anfang an für reichlich Aufregung und Unmut in der Branche.
Nach massiver Kritik einzelner Anbieter hinsichtlich der Objektivität und Aussagekraft wurde die Studie mehrfach aktualisiert. Die Ergebnisse des inzwischen 4. Updates der Xamit-Studie sind aber nach wie vor ernüchternd.
Vorgaben des Düsseldorfer Kreises
Die Studie orientiert sich insbesondere an den Vorgaben des Düsseldorfer Kreises, einem informellen Zusammenschluss der obersten Datenschutzbehörden, die im November letzten Jahres in einem gemeinsamen Beschluss einen Kriterienkatalog für den datenschutzkonformen Einsatz von Webanalyse-Verfahren definiert haben.
Die Kriterien des Düsseldorfer Kreises nennen
- Informationspflichten der Betreiber
- technische und organisatorische Anforderungen an Statistikdienstleister und
- Anforderungen an den Vertrag zwischen Betreiber und Statistikdienstleister
Nur fünf Tools legal nutzbar
Die Studie kommt zu dem Ergebnis, dass gegenwärtig lediglich fünf der getesteten Tools legal in Deutschland genutzt werden dürfen. Nach individuellen Anpassungen können demnach Econda, eTracker, Stats4Free, Webtrends und WiredMinds datenschutzkonform eingesetzt werden.
Jedoch muss der Betreiber die entsprechenden Datenschutzoptionen erst einstellen.
Neben der richtigen Konfiguration des jeweiligen Tools, sei zudem eine Vereinbarung zur Auftragsdatenverarbeitung (§ 11 BDSG) erforderlich, die zur Zeit nur von eTracker standardmäßig bereitgestellt werde. Bei den übrigen Anbietern müsse dies individuell gelöst werden, um den gesetzlichen Vorgaben zu entsprechen.
Betreiber müssen deshalb Individualverträge abschließen oder eine Umgestaltung sämtlicher Standardverträge bzw. der AGB fordern.
Übrige Tools erfüllen die Kriterien nicht
Die übrigen getesteten Dienste sind der Studie zufolge nicht legal nutzbar. Es handelt sich hierbei um den Marktführer Google Analytics sowie die Tools von Nedstat, Omniture, StatCounter, Webtrekk und Woopra, die allesamt an den Kriterien des Düsseldorfer Kreises scheitern.
Alle übrigen Dienstleister stolpern insbesondere über
- die Nutzung von unverkürzten IP-Nummern für eine Geolokalisation und
- die fehlende Widerspruchsmöglichkeit gegen die Profilbildung
Open-Source-Lösungen nicht berücksichtigt
Die Open-Source-Lösungen Piwik und phpmyVisites (Vorgänger von Piwik) wurden in der Studie nicht berücksichtigt, denn:
Piwik und phpmyVisites werden in Eigenregie eingesetzt, d.h. ob sie gesetzeskonform genutzt werden, liegt in der Hand eines jeden Anwenders. Deshalb wurden beide Programme in der folgenden Bewertung nicht berücksichtigt.
Bei allen getesteten Diensten handele es sich ausschließlich um eingekaufte Dienstleistungen, wobei bei kostenfreien Diensten, wie etwa Google Analytics, mit den Nutzungsprofilen der Internetnutzer „bezahlt“ werde.
Nachbesserungen bei Google Analytics unzureichend
Marktführer Google Analytics sei der Studie zufolge auch nach den kürzlich von Google vorgestellten Nachbesserungen, nach wie vor nicht mit dem deutschen Gesetz vereinbar.
So stelle die angebotene Browsererweiterung lediglich eine herstellerspezifische Lösung dar, die nur mit wenigen Browsern funktioniere und zudem nicht die Übertragung der vollständigen IP-Adresse unterbinde:
Weil das Skript auch bei aktiver Erweiterung geladen wird, erfährt Google trotzdem die IP-Nummer des Besuchers.
Update:
Die Studie ist erneut aktualisiert worden. Hier erfahren Sie mehr über das inzwischen bereits fünfte Update.
Unser Tipp für Shopbetreiber
Wer rechtlichen Problemen aus dem Weg gehen möchte, sollte beim Einsatz von Webanalyse-Diensten darauf achten, dass ohne ausdrückliche Einwilligung des Nutzers keine vollständigen IP-Adressen verarbeitet werden und Nutzungsprofile ausschließlich unter Verwendung von Pseudonymen erstellt werden.
Außerdem sollte in der Datenschutzerklärung transparent über die Verwendung des Analyse-Tools informiert werden und ein Widerspruchsrecht eingeräumt sein. Zudem sollte die Auftragsdatenverarbeitung mit dem jeweiligen Dienstleister gemäß § 11 BDSG schriftlich vereinbart werden.
Lustige Studie. Vor allem interessant zu sehen, dass in den quellen 17, 28 und 47 von mündlicher Rückfrage und Absprache gesprochen wird. Aber bei Omniture oder Webtreck hat wohl nie einer angerufen. Wurde das nun objektiv erhoben oder Klüngel betrieben. Hat etracker Anteile bei Xamit…
Interessanter Artikel!
Vorallem wird in Zukunft dieses Thema noch intensiver behandelt und strenger gehandhabt. Deshalb sollte man jetzt schon darauf achten eine Statistik zu verwenden, die einem später keinen Ärger macht.
@Web Analyse Besucher
Wo lesen Sie in den Quellen etwas von “Absprachen”? Dort ist die Rede von mündlichen oder zugesandten Auskünften und zwar nicht nur von eTracker. Seit wann ist so etwas ein Indiz für mangelnde Objektivität oder gar Klüngel? Und woraus schließen Sie, dass bei den anderen Anbietern nicht um Auskunft ersucht wurde? Zudem sind insgesamt fünf der elf getesteten Tools für legal nutzbar befunden worden, also warum sollte ausgerechnet eTracker “Anteile” an Xamit haben? Haben Sie vielleicht Anteile bei einem der Kandidaten, die durchgefallen sind?
Zunächst sein bemerkt, dass ich kein Verfechter von Google und seinen Tools bin. Jedoch möchte ich folgendes aus fachlicher Sicht ergänzen:
Die beiden Punkte, die im Wesentlichen angemahnt werden, können bei Google Analytics eingestellt werden. Sowohl die Unterdrückung der IP Adresse (letzte Stellen) als auch das Cookieverhalten, ist Einstellbar. Insofern halte ich die in der Studie genannte Kritik an Google Analytics nicht für haltbar.
Bei dem Browserverhalten (Cookie) gibt es zwar bei den Browsern OPERA und SAFARI nicht alle Möglichkeiten, jedoch zeigt der Marktanteil der anderen Browser, dass der User seine Daten geschützt bekommt.
Aus datenschutzrechtlicher Sicht steht einem Einsatz von Google-Analytics aus meiner Sicht nichts im Wege, wenn es korrekt eingestellt ist.
Jürgen Golda
@Jürgen Golda
Sie schreiben die IP-Adressen-Kürzung könne bei Analytics “eingestellt” werden. Ist es nicht vielmehr so, dass der Analytics Code im Quelltext der Website um zusätzliche Code-Zeilen ergänzt werden muss, damit die IP vor der weiteren Verarbeitung gekürzt wird? Eine entsprechende Einstellmöglichkeit im User Interface gibt es meines Wissens nicht.
Ihre Argumentation hinsichtlich des Marktanteils der Browser, mit denen die Google-Erweiterung zum Blocken des Analytics-Scripts nicht funktioniert, verstehe ich ehrlich gesagt nicht so ganz. In der Xamit-Studie wird (m.E. zu Recht) beanstandet, dass es sich bei der Erweiterung lediglich um eine herstellerspezifische Lösung handele und diese deshalb unzureichend sei, denn die Wahrnehmung von Rechten darf nicht an den Einsatz bestimmter Produkte gekoppelt sein.
Abgesehen davon gibt es noch weitere Kritikpunkte an Google Analytics, wie z.B. die Datenübermittlung in die USA, die ewige Datenspeicherung ohne Löschmöglichkeit und die Möglichkeit, durch die Verknüpfung von Daten verschiedener Google-Produkte Nutzerprofile zu erstellen. Insofern wäre ich vorsichtig mit der Aussage, dass dem Einsatz von Google Analytics aus datenschutzrechtlicher Sicht jetzt nichts mehr im Wege steht.
@hofpils
Nein, diese Frage kann Ihnen derzeit niemand klar beantworten.
Hallo,
was mich im Grunde genommen nur interessiert und aus all den Texten etc. erfährt man nicht wirklich etwas über die alles entscheidene Frage:
Ist es ungesetztlich z.b. Google Analytics zu verwenden?
Mach ich mich strafbar?
Ja oder Nein.
Kein “ja, ne, weiss nicht vielleicht, unter Umständen, Eventl.”
Hat auf diese eigentlich simple Frage jemand eine Antwort?