Erst unlängst wurde wieder heftig über Google Analytics diskutiert. Datenschützer sind der Meinung, dass man dieses Tool nach wie vor nicht rechtskonform einsetzen kann. Aber sie kritisieren nicht nur, sondern zeigen auch Alternativen auf. Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat jetzt Tipps und Hinweise zur Webanalyse mit piwik veröffentlicht.

Lesen Sie mehr zu den Empfehlungen der Datenschützer

Webtracking ist aus Sicht des Datenschutzes problematisch, wobei viele Fragen noch nicht durch die Gerichte beantwortet sind. Umso besser ist es, dass nun das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) einen Leitfaden veröffentlicht hat, in dem erklärt wird, wie man den Webanalyse-Dienst piwik datenschutzkonform einsetzen kann.

Was ist piwik?

Piwik ist ein kostenloses Tool, mit dem detaillierte Statistiken zum Verhalten der Besucher einer Webseite erstellt werden können. So werden Daten über die benutzten Suchmaschinen, die Herkunft der Besucher, der verwendete Browser inkl. PlugIns, die Dauer des Besuchs, die IP-Adresse, die Abbruchquote und weitere Informationen ausgewertet.

Das Programm wird auf dem Webserver des Shopbetreibers installiert und speichert die gesammelten Daten auch nur auf diesem Server. Man spricht von einer sog. “Inhouse-Lösung”. Eine Übermittlung dieser Daten an Dritte erfolgt also nicht.

Hier besteht bereits ein großer Unterschied zu z.B. Google Analytics, da die mit diesem Tool erhobenen Daten auf Server in die USA übertragen und dort auch gespeichert und verarbeitet werden.

Hinweise zum Einsatz von piwik

Nachdem das ULD umfangreiche Tipps zur Installation des Tools gegeben hat, weist es auf “notwendige technische und organisatorische Maßnahmen” hin. Zunächst wird noch einmal die Auffassung bekräftigt, dass IP-Adressen personenbezogene Daten seien und dass diese nur gekürzt gespeichert werden dürfen.

Hierfür wird von piwik das PlugIn AnonymizeIP angeboten. Der Shopbetreiber muss auch gar nicht lange danach suchen, denn bei der aktuellen Version wird es direkt mitgeliefert. Das PlugIn muss lediglich vom “SuperUser” aktiviert werden. Man hat die Wahl, ob nur ein Bereich der IP-Adresse oder mehrere anonymisiert werden sollen.

“Die Anonymisierung der IP-Adressen hatte in den Tests des ULD keine Auswirkungen auf eine hinreichend genaue Analyse der Herkunftsländer der Besucher.”

Nutzung der IP-Adresse

Die IP-Adresse wird von piwik im Hintergrund weiterhin vollständig verwendet, jedoch nicht isoliert verarbeitet oder gespeichert, sie wird aber dazu genutzt, um einen Hashwert zu errechnen, damit Nutzer – auch solche, bei denen kein Cookie gesetzt wurde – wiedererkannt werden können.

Zwar darf die IP-Adresse nach Ansicht der Datenschutzbehörden nicht dazu verwendet werden, das Nutzerverhalten zu analysieren, zulässig ist jedoch die Verwendung der IP-Adresse zur Erstellung von Pseudonymen.

Und genau das macht piwik. Es benutzt die IP-Adresse lediglich als eines von mehreren Daten zur Erstellung von Pseudonymen.

“Eine unzulässige Verarbeitung der IP-Adresse wird derzeit seitens des ULD nicht gesehen. Denn die Verarbeitung der IP-Adresse dient der Bildung eines Pseudonyms, das wiederum dem Ziel der Datenvermeidung und Datenminimierung dient, §§ 3 Abs. 6a, 3a S. 2 BDSG. […]

Das ULD empfiehlt, das AnonymizeIP-Plugin mit der Einstellung ip_address_mask_length=2 zu verwenden.

Widerspruchsmöglichkeit des Besuchers

Piwik setzt zum Zwecke des Tracking Cookies auf dem Rechner des Besuchers. Bislang ist der Einsatz von Cookies  noch ohne größere Schwierigkeiten möglich, es muss aber über deren Einsatz informiert werden, eine wirksame Umsetzung eingelegter Widersprüche erfolgen und die Cookies dürfen keine unangemessen lange Lebensdauer haben.

Das ULD empfiehlt, eine Cookie-Laufzeit von einer Woche nicht zu überschreiten. Die Laufzeit der Cookies lässt sich bei piwik relativ leicht verändern.

Neue Anforderung an Webtracking-Cookies

Durch eine neue EU-Datenschutzrichtlinie, die eigentlich bis 25. Mai 2011 in nationales Recht umgesetzt werden muss, könnte ein generelles Erfordernis einer Einwilligung für Cookies eingeführt werden. Das bedeutet, dass Webanalyse-Cookies nur noch dann auf dem Rechner des Nutzers gespeichert werden dürfen, wenn dieser hierzu aktiv sein Einverständnis erklärt hat. Derzeit ist aber noch nicht absehbar, wie und wann Deutschland diese Richtlinie umsetzen wird.

Für die zur Zeit geltende Gesetzeslage bietet piwik eine Möglichkeit, diese umzusetzen. Hierfür muss eine bestimmte Codezeile (siehe Seite 10 des Dokumentes des ULD) auf der Website eingebunden werden. Darüber hinaus muss der Hinweis zum Widerspruchsrecht, der derzeit nur in Englisch erfolgt, noch manuell übersetzt und in den Code eingepflegt werden.

Widerspruchs-Cookie

Die Widerspruchsmöglichkeit wird dann von piwik in Form eines iFrame umgesetzt. Legt der Besucher Widerspruch ein, wird ein Opt-Out-Cookie auf seinem Rechner gespeichert. Das bedeutet, dass der Widerspruch quasi verloren geht, wenn der Besucher alle Cookies auf seinem Rechner löscht. Dann muss er beim nächsten Besuch erneut seinen Widerspruch erklären.

“Auf diesen Umstand sollten Nutzerinnen und Nutzer eindeutig und verständlich hingewiesen werden. Anderenfalls könnte der Eindruck entstehen, ein einmal eingelegter Widerspruch wäre in jedem Fall ausreichend.”

Derzeit wird der Hinwies von piwik nur in Englisch erteilt. Für den Shopbetreiber ist es aber relativ einfach, diesen zu übersetzen und dann an der entsprechenden Stelle im Programm-Code einzusetzen. Einen Mustertext zur Nutzung auf einer deutschen Webseite finden Sie bei der Kanzlei Schwenke&Dramburg aus Berlin.

Zwar könnte nach Ansicht des ULD auch piwik bei der Umsetzung der Widerspruchsmöglichkeiten noch Verbesserungen vornehmen, aber es bietet trotzdem aktuell “weit mehr Kontroll- und Widerspruchsmöglichkeiten als andere Systeme”.

Referrer sparsam einsetzen

Um dem Datenschutz dann endgültig gerecht zu werden, sollte der Referrer nur sparsam eingesetzt werden und die erstellten Datenbank regelmäßig gelöscht werden.

Fazit

Das ULD hält den Einsatz des Analyse-Tools piwik bei datenschutzkonformer Implementierung für eine mögliche Alternative zu unzulässigen Diensten.

Die vollständigen Hinweise des ULD können sie hier kostenlos downloaden.

Dort erhalten Sie genaue Anweisungen, an welchen Stellen, welche Anpassungen vorgenommen werden sollen. Das Tool selbst finden Sie hier unter piwik.org.

Es ist zu begrüßen, dass hier nicht nur die Grundeinstellungen eines Dienstes kritisiert wurden, sondern dass auch konstruktive Lösungsvorschläge erteilt wurden, die jeder Shopbetreiber leicht umsetzen kann.

Lesen Sie mehr zum Thema Datenschutz

image_pdfPDFimage_printDrucken