print logo

Google Analytics und Datenschutz

Wenn man in Deutschland Webanalyse datenschutzkonform betreiben will, sind einige Anforderungen zu beachten.
Markus Vollmert | 02.11.2011
Dieser Fachartikel erschien im Leitfaden Online-Marketing Band 2:
http://TopOnlineExperten.de



Wenn man in Deutschland Webanalyse datenschutzkonform betreiben will, sind einige Anforderungen zu beachten. Welches Tool darf ich verwenden und welches nicht? Die Webanalyse steht seit Anfang an im Fokus der Datenschützer. Vor allem seit dem Markteintritt von Google mit Google Analytics ist die Sorge vorhanden, dass hier zu viel des Guten gesammelt und ausgewertet wird. Google ist der bekannteste Anbieter in dem Segment, auch weil der Dienst kostenlos zur Verfügung gestellt wird. Der Internetkonzern muss sich des Vorwurfs erwehren, seine Webanalyse-Lösung nur zum Datensammeln ins Leben gerufen zu haben. Die Informationen über Besucherströme würden zusammengeführt mit Daten aus anderen Google-Diensten, die dann detaillierte Besucherprofile ergeben. Bislang drehte sich die Frage des Datenschutzes bei der Webanalyse hauptsächlich um die IP-Adresse und ob diese personenbezogen ist. Aus dem zuständigen Telemediendienstgesetz (TMG) [1] ergeben sich aber eine Handvoll Anforderungen, die jedes Tool erfüllen muss beziehungsweise der Betreiber auf seiner Website umzusetzen hat – egal, welches Tool er verwendet. Der Düsseldorfer Kreis, der Zusammenschluss der Datenschützer der Länder und des Bundes, hat 2009 eine Liste von Vorgaben erstellt, die zu berücksichtigen sind [2]. Diese Liste gilt für alle Webanalyse-Dienste, nicht nur für Google Analytics.


Hinweispflicht

Als Erstes muss der Besucher darüber informiert werden, dass seine Daten mit einem Webanalyse-System erfasst werden, wofür dies geschieht und was mit seinen Daten im Anschluss gemacht wird.

Die meisten Webanalyse-Dienste bieten dazu fertige Formtexte in ihren AGBs an, die am besten auf einer eigenen Datenschutzseite auf dem Webauftritt untergebracht werden.


Widerspruch

Dem Besucher muss die Möglichkeit zum Widerspruch gegen das Tracking gegeben werden. Um den Widerspruch wirksam umzusetzen, dürfen im Anschluss keine Daten des Besuchers mehr analysiert werden. Es gibt keine Vorgabe, wie diese Umsetzung aussehen soll.

Google bietet ein Browser-Plug-in an, mit dem das Tracking von Google Analytics generell unterbunden wird [3]. Diese Variante ist aber nicht frei von Kritik, da das Plug-in derzeit (Stand Mai 2011) nur für die großen Browser verfügbar ist, für Nutzer von Safari oder Opera gibt es kein Angebot.

Einige Analytics-Anbieter realisieren den Widerspruch per Opt-out-Cookie. Der Toolanbieter bietet eine Seite mit Hinweistext, auf die von der jeweiligen Website verlinkt wird. Alternativ stellt er einen IFrame zur Verfügung, den der Website-Betreiber auf seiner Datenschutzerklärung einbindet. In beiden Varianten kann sich der Besucher per Button einen Cookie setzen, der bei zukünftigen Counter-Aufrufen übertragen wird und auf den Servern der Anbieter die Speicherung unterbindet. Löscht der Nutzer seine Cookies oder surft er in einer privaten Browsersession, wird beim nächsten Besuch wieder gezählt.

Mit JavaScript kann man diesen Opt-out-Mechanismus auch für Google Analytics realisieren [4]. Auf der Seite mit dem Datenschutzhinweis wird ein Script implementiert, das bei Widerspruch einen Cookie mit entsprechendem Inhalt setzt. Anschließend wird vor jedem Aufruf des Trackingcodes dieser Cookie abgefragt. Ist er vorhanden, wird der Tracking-Code übersprungen. Hat ein Besucher widersprochen, werden so gar nicht erst Daten an ein Tracking-Tool geschickt. Verwendet man mehrere Tracking-Lösungen, kann man mit dieser Lösung die Widerspruchsmöglichkeit für alle Tools auf einmal umsetzen. Man muss nur die Abfrage für alle Tools erweitern. Diese Lösung funktioniert jeweils nur für die Domain, auf der das Script und somit der Cookie gesetzt werden.

Die Variante mit Opt-out-Cookie ist für alle Browser nutzbar, die JavaScript unterstützen. Es gibt allerdings Nutzer, die ihre Cookies grundsätzlich deaktiviert haben oder regelmäßig löschen. Sie müssen die Einstellung also immer wieder vornehmen. Auch sind Opt-out-Cookies entweder an die Website gebunden oder an den Analyseanbieter.

Eine einfache Möglichkeit, dem Tracking übergreifend zu widersprechen, fehlt bislang. Setzt man den Widerspruch mit einem eigenen Script um, so muss die Datenschutzerklärung entsprechend angepasst werden. Neben dem Erklärungstext und der Checkbox zum Deaktivieren kann ein zusätzlicher Hinweis auf das Google Browser-Plug-in nicht schaden.

Die neuen Versionen des Internet Explorers und des Firefox bieten die Möglichkeit, per Einstellung ein Tracking zu unterbinden. Derzeit hat jeder Hersteller einen anderen Lösungsansatz, so dass man noch nicht von einem Standardfeature sprechen kann. Mittelfristig werden Web-Analytics-Anbieter diese Features berücksichtigen. Solange noch ältere Browser unterwegs sind, bleibt die Variante per JavaScript und Opt-out-Cookie diejenige, die der Anforderung am nächsten kommt.


Pseudonymisieren

Bei der Webanalyse werden Nutzungsprofile der Besucher einer Website erstellt. Wenn keine Einwilligung des Besuchers vorliegt, verlangt das TMG dafür die Verwendung von Pseudonymen.

Man darf also die Nutzungsdaten auf der Website zusammen mit der Information erfassen, was sich Besucher A und was sich Besucher B angeschaut hat. Diese Daten dürfen später NICHT mit personenbezogenen Daten zusammengeführt werden, etwa den Adressdaten aus einem Shop.

Konkret bedeutet dies, dass man in einem Shop tracken darf, was sich Besucher X anschaut und auch was er kauft. Wenn man nun durch die Bestellung weiß, dass Besucher X in der realen Welt Herr Müller aus Frankfurt ist, darf man zunächst nicht auswerten, was Herr Müller sonst noch so im Shop angeschaut hat. Für eine solche Verbindung ist die Einwilligung des Käufers erforderlich.

Generell dürfen personenbezogene Daten wie Name, Adresse, Geburtsdatum nur mit Einwilligung des Besuchers für ein Tracking verwendet werden. Wenn ein Besucher auf der Website seine E-Mail-Adresse für einen Newsletter angibt, benötige ich keine Einwilligung, die Adresse zu speichern. Weiterhin ist es problemlos im Tracking-Tool zu erfassen, dass sich Besucher X im Newsletter angemeldet hat. Wenn aber diese E-Mail-Adresse mit seinen übrigen Nutzungsdaten kombiniert werden soll, erfordert das eine Einwilligung.

Als Faustregel gilt, dass personenbezogene Daten wie Name und Anschrift in einem Webanalyse-System nicht erfasst werden sollten. Natürlich gibt es Ausnahmen, in denen man bei Bedarf die Einwilligung des Besuchers einholen kann und muss.


Anonymisieren

Die IP-Adresse ist seit Jahren Gegenstand von Datenschutzdiskussionen im Internet. Die Datenschützer des Düsseldorfer Kreises haben inzwischen eindeutig Position bezogen und sehen die IP als personenbezogenes Datum an. Daher darf sie in einem Webanalyse-Programm nur mit Einwilligung des Besuchers erfasst werden (siehe Pseudonymisierung).

Zum Glück gibt es die Möglichkeit, diese Einwilligung zu umgehen, in dem man die IP-Adresse anonymisiert. Das heißt, sie muss vor dem Speichern derart verändert werden, dass eine Zuordnung zu einer Person – über den Anschluss und Provider – nicht mehr möglich ist.

Konkret bedeutet dies die Kürzung der IP-Adresse um die letzte Stelle, also 8 von 32 Bit. Die meisten Webanalyse-Tools wie Google Analytics benutzen die IP-Adresse inzwischen nur noch für die Geolokalisierung der Besucher. Die Berechnung von Visits und Erkennung von wiederkehrenden Besuchern geschieht mit Cookies. Somit ergibt sich durch die Kürzung kein Nachteil bei den generellen Kennzahlen. Aus welchem Bundesland oder welcher Stadt der Besucher kommt, wird gleichzeitig ungenauer. Allerdings sind diese Positionsdaten nicht immer verlässlich und die meisten Website-Betreiber haben keine wirklichen Nutzen aus dieser Detailtiefe. Aus welchem Land der Besucher kommt, können die Tools weiterhin erkennen.

Google hat für die Kürzung die Funktion anonymizeIp eingeführt, die in den Tracking-Code eingebaut werden muss [5]. Bei jedem Aufruf des Tracking-Codes muss diese Funktion übergeben werden. Andere Anbieter nehmen die Kürzung automatisch vor oder bieten eine Option im Webanalyse-Programm.

Die Anonymize-Funktion ist die Information für das Tool, die Adresse vor der weiteren Verwendung zu kürzen. Die eigentliche Kürzung der IP-Adresse erfolgt immer erst auf den Servern der Anbieter, da die IP als grundlegender Bestandteil bei jeder Datenübertragung im Internet erforderlich ist.

Daher lässt sich auf einer Website nicht überprüfen, ob die IP am anderen Ende auch wirklich gekürzt wird, was einige Kritiker gegen die Google-Lösung anführen. Googles Rechenzentren, in denen die Analytics-Daten erfasst und verarbeitet werden, stehen über den ganzen Globus verteilt.

Möchte man für eine Website oder Dienst die vollständigen IP-Adressen auswerten, so erfordert deren Verarbeitung immer die Einwilligung des Besuchers, etwa per Formular. Danach können die vollständigen IP-Daten verwendet werden.

In Deutschland wird die Anonymisierung der IP von den Datenschützern erwartet. Da sich bei Google Analytics die Verwendung im Tracking-Code auf der Website überprüfen lässt, ist ein Website-Betreiber gut beraten, diese Funktion auch zu nutzen. Außerdem sollte er seine Datenschutzerklärung um einen Hinweis auf die Verwendung von AnonymizeIp ergänzen.


Cookies/E-Privacy-Richtlinie

Bereits 2009 hat die EU die sogenannte E-Privacy-Richtlinie auf den Weg gebracht, die unter anderem den Umgang mit Cookies neu regeln soll. Der primäre Adressat der Richtlinie ist die Werbeindustrie, die mit Hilfe von Cookies Nutzungsprofile von Besuchern über mehrere Websites hinweg erstellt. Nach dem Wunsch der Autoren sollen Cookies erst nach einer informierten Einwilligung gesetzt werden dürfen, also nach einem Opt-in.

In letzter Minute wurde im Revisionsprozess der Hinweis aufgenommen, dass die Einwilligung auch durch eine Einstellung im Browser eingeholt werden kann. Allerdings bieten die Browser wie oben beschrieben derzeit nur rudimentäre Möglichkeiten, solche Einstellungen vorzunehmen. Die Online-Werbeindustrie arbeitet an einer Lösung.

Nach Einschätzung des Düsseldorfer Kreises aus 2010 werden Session- oder User-IDs in Cookies als Pseudonyme angesehen und sind unproblematisch. Anpassungen an der Website sind nicht erforderlich. Die finale Umsetzung der EU-Richtlinie in nationales Recht steht noch aus. Sollten sich daraus neue Vorgaben für Webanalyse-Anbieter ergeben, müssen diese ihr System entsprechend anpassen.


Zusammenfassung

Die wichtigsten Anforderungen der Datenschützer lassen sich mit nahezu jedem Webanalyse-Tool umsetzen. Je nach Webanalyse-System erfordert die Umsetzung allerdings Anpassungen von Tracking-Codes oder Tool-Konfiguration. Aus der EU-Cookie-Richtlinie ergeben sich derzeit keine neuen Vorgaben für den Einsatz von Tracking-Tools.

Die wichtigsten Anforderungen an ein datenschutzkonformes Tracking:

• Hinweis auf das Tracking in einer Datenschutzerklärung,
• Aufklärung über Art und Verwendung der erfassten Daten,
• Möglichkeit zum Widerspruch,
• Anonymisierung der IP-Adresse,
• Pseudonymisierung der Nutzungsprofile,
• Keine Zusammenführung der Pseudonyme mit personenbezogenen Daten.

Auch mit Google Analytics ist eine Umsetzung dieser Anforderungen möglich.


Literatur

[1] http://bundesrecht.juris.de/tmg/index.html Telemediendienstgesetz (TMG).
[2] http://www.lfd.m-v.de/dschutz/beschlue/Analyse.pdf
Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten.
[3] http://tools.google.com/dlpage/gaoptout?hl=de
Browser-Add-On zur Deaktivierung von Google Analytics.
[4] http://www.analytics-anonym.de Opt-out Tracking Cookie.
[5] http://code.google.com/intl/de-DE/apis/analytics/docs/gaJS/gaJSApi_gat.html Google Analytics Tracking Code Reference.