Bye bye Website-Analyse

Das Aus für die Website-Analyse in Deutschland? (Screenshot Open-Source Websiteanalyse-Software PIWIK, Bild retuschiert/ modifiziert)

Das Aus für die Website-Analyse in Deutschland?
(Screenshot Open-Source Websiteanalyse-Software PIWIK, Bild retuschiert/modifiziert)

Wer eine Website auch nur ansatzweise ernsthaft betreibt, wird früher oder später den Wunsch verspüren, deren Effizienz zu messen. Die Anzahl der Besucher ist dabei nur eine erste Metrik, die allein allerdings nur bedingt Aussagekraft besitzt. Steigt man tiefer in das Thema ein, möchte man in der Regel mehr darüber erfahren, wie der Nutzer mit der Website interagiert – welche Seiten besonders beliebt sind, welche nicht und Vieles mehr. An dieser Stelle kommen Analyse-Tools wie beispielsweise Google Analytics, eTracker oder PIWIK in Spiel. Und genau das könnte nach einem Urteil des Landgerichts Frankfurt vom Februar diesen Jahres ein neuer rechtlicher Stolperstein für Website-Betreiber werden. In diesem Artikel schreibe ich darüber, warum ich meine Sites nun vollständig von Analyse-Tools bereinigt habe.

Lesen und lesen lassen

Hat man sich generell für den Einsatz eines Analyse-Tools entschieden, steht man vor der Frage, ob man die (geeignete) Software selber auf dem eigenen Server installieren und warten möchte oder lieber einen externen Dienstleister damit beauftragt. Sehr beliebt ist der letztere Weg, denn hier muss man sich nicht um technische Details kümmern sondern kopiert nur einen bereitgestellten Tracking-Code auf die eigenen Seiten. Möchte man dafür nichts bezahlen, landet man als Seitenbetreiber ganz schnell bei Google Analytics: großer Funktionsumfang, aussagekräftige und schicke Diagramme, super einfach zu konfigurieren. Wirbt man dann auch noch mit Google Adwords, ist die Kombination aus beiden Google-Diensten augenscheinlich die Offenbarung.
Ich selber hielt von Google Analytics noch nie viel. Nicht wegen der Funktion – nein, die ist super – sondern aufgrund der Tatsache, dass die Nutzungsdaten der Website zu Fremden transportiert werden. Auch wenn die Möglichkeit besteht, mit Google einen speziellen Datenverarbeitungsvertrag (PDF) zu schließen, finde ich die Analyse und Auswertung auf dem eigenem Server sehr viel sympathischer.
Mein Mittel der Wahl war bislang PIWIK. Das ist leicht zu installieren, sieht schick sowie aufgeräumt aus und ist ebenfalls kostenlos.

PIWIK und das ULD Schleswig-Holstein

In Deutschland dürfte das Website-Analyse-Tool PIWIK spätestens Anfang 2011 einen großen Nutzerschub erhalten haben. Da wurde die Software nämlich in der Fachpresse vermehrt als datenschutzkonform angepriesen (z.B. bei heise.de unter der Überschrift „Datenschützer empfehlen Piwik zur Webanalyse”) – weil das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein PIWIK nach einer Prüfung für „datenschutzkonform einsetzbar” befunden hatte. Das Problem: „datenschutzkonform einsetzbar” heißt nicht zwangsläufig, dass der bestimmungsgemäße Einsatz auch datenschutzkonform ist. Ein Fiat Punto lässt sich mit hineichend viel Aufwand schließlich auch prima als Lieferfahrzeug für Waschmaschinen einsetzen – und ebenso muß man auch seine Website recht aufwändig verbiegen, um den Hinweisen und Empfehlungen zur Analyse von Internet-Angeboten mit „Piwik“ des ULD gerecht zu werden. Denn mit dem Aktivieren des AnonymizeIP-Plugins (seit Version 2 fester Bestandteil von PIWIK) und dem Kürzen der IP-Adresse um mindestens zwei Bytes ist es leider nicht getan.

Voraussetzungen für den datenschutzkonformen Einsatz von PIWIK

Neben dem bereits genanntem Kürzen der IP-Adressen um mindestens zwei Bytes, sind in den Anforderungen des ULD (siehe Hinweise & Tipps, Abschnitt 3) noch weitere Voraussetzungen genannt. Die wichtigste und zugleich schwierigste Voraussetzung für den datenschutzkonformen Einsatz ist folgende: Nutzer müssen beim Erstaufruf der Site über die Datenerfassung und die Widerspruchsmöglichkeit informiert werden. Außerdem muss im Fall eines Widerspruchs dafür gesorgt werden, dass keine identifizierenden Merkmale erstellt und bereits vorhandene gelöscht werden (vgl. Punkt 3.2). Dass bedeutet, dass der Hinweis zur Datenerfassung und die Widerspruchsmöglichkeit nicht allein in der Datenschutzerklärung hinterlegt werden dürfen, sondern beim ersten Aufruf der Site deutlich sichtbar gekennzeichnet werden müssen. Diese zwingende Widerspruchsmöglichkeit ist auch im §15 Absatz 3 des Telemediengesetzes (TMG) verankert:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Das Urteil des Landgerichtes Frankfurt zu PIWIK

In einem Rechtsstreit vor dem Landgericht Frankfurt (siehe z.B. Artikel bei Golem oder dury.de oder erecht24.de) wurde unter anderem eben dieser Mangel eines offensichtlichen und auffälligen Hinweises auf die Widerspruchsmöglichkeit bemängelt. Das Gericht vertritt dabei die Ansicht, dass Verstöße gegen §15 des TMG wettbewerbsrechtlich abmahnfähig sind.

Wenn man den Volltext des Urteiles liest (auf der Seite von dury.de ganz unten als PDF abrufbar), drängt sich einem gerade zu der Gedanke auf, dass es der abmahnenden Partei eigentlich um etwas ganz Anderes ging und der „Fehler” in Sachen Widerrufsbelehrung nur ein willkommenes Mittel zum Zweck war. Vielmehr – so erscheint es mir – wollte ein Unternehmen nur einem konkurrierenden Unternehmen mal so ordentlich in die Parade fahren. Das spielt aber keine Rolle, denn nun ist das Urteil in dieser Form da und stellt uns Webmaster vor erhebliche Probleme:

In der stattgegebenen einstweiligen Verfügung wurde der abgemahnten Partei untersagt, Tracking-Systeme wie PIWIK – auch unter Einsatz von Anonymisierungsfunktionen – zu verwenden, „ohne zu Beginn des Nutzungsvorganges und später jederzeit abrufbar auf die Widerspruchsmöglichkeit hinzuweisen”.

Hinweis zu Beginn des Nutzungsvorganges

Nach den Wünschen der Datenschützer und Gesetzgeber muss ein Nutzer beim ersten Aufruf einer Website über seine Widerspruchsmöglichkeit informiert werden. Und das möglichst deutlich. Da Nutzer aber in der Mehrzahl über Suchmaschinen oder andere Links auf eine Website gelangen, ist ein derartiger Hinweis auf der Startseite der Webpräsenz natürlich auch nicht ausreichend. Vielmehr muss die Website auf jeder Seite auf diese Möglichkeit hinweisen. Oft empfohlen werden hier PopUps – die man als engagierter Webentwickler aber auf keinen Fall haben möchte. Zum Einem stören PopUps den Nutzer empfindlich und sind zum Anderen auch technisch problematisch: PopUp-Blocker und deaktiviertes Javascript verhinden das Öffnen dieser Fenster zuverlässig und betroffene Nutzer würden in diesem Fall nicht wirksam über ihre Widerspruchsmöglichkeiten informiert werden können. Bleibt also nur die Einbidung direkt in das HTML der Seite, wie es beispielsweise UPS in Deutschland zur Umsetzung der EU-Cookie-Richtlinie macht. Nicht schön aber auffällig.

So könnte es aussehen: Hinweis auf die Datenerhebung und die Widerspruchsmöglichkeit direkt im HTML der Seite. (Mockup)

So könnte es aussehen: Hinweis auf die Datenerhebung und die Widerspruchsmöglichkeit direkt im HTML der Seite. (Mockup)

Gemäß den Voraussetzungen für den datenschutzkonformen Einsatz des ULD (siehe oben) müssen im Falle eines wirksamen Widerspruchs zudem zwei Maßnahmen ergriffen werden:

  1. es dürfen zukünftig keine identifizierenden Merkmale mehr erfasst werden
  2. bereits erfasste identifizierende Merkmale müssen gelöscht werden

Für die erste Maßnahme wird ein DoNotTrack-Cookie im Browser des Nutzers abgelegt. Hier stoßen wir auf die Problematik der EU-Cookie-Richtlinie, zu welcher ich später noch mal kurz kommen möchte.
Die zweite Maßnahme ist ungleich schwieriger: Denn das Tracking hat zum Zeitpunkt der Darstellung des Widerspruchshinweises in der Regel bereits begonnen und der Zugriff des Nutzers ist erfasst (damit auch technische Merkmale wie Browser, Betriebssystem, Bildschirmauflösung – Merkmale die auch mit aktivierter Anonymisierung zur Identifizierung des Nutzers dienen können). Klickt der Nutzer nun ein paar Seiten durch und entschließt sich erst nach etlichen Seitenaufrufen zum Setzen des Widerspruchs, dann müssen alle ihn betreffenden Datenbankeinträge rückwirkend gelöscht werden. Und das macht PIWIK soweit ich weiß nicht – und andere Tools sicher auch nicht.

Die Lösung des Dilemmas wäre, statt des Opt-Outs in Form der Widerspruchserklärung ein Opt-In zu verwenden. D.h. ein Nutzer muss erst aktiv dem Tracking zustimmen – erst dann wird der Tracking-Code in die Seite geladen und das Tracking beginnt. Aber machen wir uns nichts vor: Kaum jemand wird sich – fragt man ihn danach – tracken lassen. Nicht unbedingt aus Datenschutzbedenken heraus sondern schon allein durch das nötige Aktiv-Werden-Müssen.

Apropos Cookie-Richtlinie

Sowohl bei einem wirksamen Widerspruch als auch bei einer Opt-In-Lösung, kommt man um die Nutzung von Cookies (oder vergleichbaren Techniken wie HTML5 Web Storage) nicht drum rum. Da HTTP ein statusloses Protokoll ist und ohne den Einsatz von Cookies den Nutzer beim nächsten Seitenaufruf quasi „vergessen” hat, müsste man ansonsten auf jeder einzelnen Unterseite ständig erneut nach der Zustimmung fragen oder auf die Widerspruchsmöglichkeit hinweisen. Keine schöne Vorstellung.
Und hier grätscht uns die Cookie-Richtline der EU in die Beine. Denn gemäß dieser Richtlinie muss ein Nutzer nicht nur über den Einsatz längerfristig gespeicherter Cookies informiert werden, sondern auch explizit darin einwilligen (vgl. Info-Seite zum Thema bei Rechtsanwalt Schwenke). Erteilt ein Nutzer also nicht die Zustimmung zum Setzen von Cookies (auch hier wird das Aktiv-Werden-Müssen ein Problem sein), können weder DoNotTrack-Cookie noch der Cookie für die Opt-In-Lösung gespeichert werden. Ein wirksamer Widerruf wäre so nicht möglich und bei einem Opt-In müssten wir auf jeder Seite erneut um Zustimmung bitten – dann aber 2x: Zustimmung zum Speichern von Cookies und die Zustimmung zum Tracken.
Die Cookie-Richtlinie ist in Deutschland noch nicht in geltendes Recht umgesetzt aber das ist wahrscheinlich nur eine Frage der Zeit. Die von der EU gestellte Frist zur Umsetzung endete 2011.

Kennt man von Software-Installationen: Nutzungsbedigungen. Vielleicht wäre das eine rechtssichere Möglichkeit, auf sämtliche Details einer Website hinzuweisen? Bitte nicht! (Mockup)

Kennt man von Software-Installationen: Nutzungsbedigungen. Vielleicht wäre das eine rechtssichere Möglichkeit, auf sämtliche Details einer Website hinzuweisen? Bitte nicht! (Mockup)

Mein Fazit

Aufgrund dieser Ergebnisse, der teils schwammigen Formulierungen der Gesetze und der Urteilsbegründung (was genau ist ein „deutlich hervorgehobener Hinweis”? Reicht ein Link auf die Datenschutzerklärung in der Fußzeile?), der damit verbundenen Unsicherheit und der latenten Scheu vor Abmahnwellen, ist eine Websiteanalyse mittels Tracking-Tools in Deutschland – meiner Meinung nach – derzeit nicht mehr rechtssicher möglich. Allerdings bin ich auch kein Anwalt und ziehe somit nur meine eigenen Schlüsse. Unternehmen, die wirtschaftlich auf die Analyse angewiesen sind, um Ihren Webauftritt ständig zu verbessern (z.B. Onlineshops oder SEO-Agenturen), haben vielleicht die Zeit, das Personal und die finanziellen Mittel sich von Fachanwälten beraten und im Ernstfall vertreten zu lassen. Für mich, der ich hauptsächlich an technischen Eckdaten wie Browser-Version, Auflösung, Plugins und Betriebssystem interessiert bin, ist das Risiko gegenüber dem Nutzen einfach zu hoch. Ich habe daher die Tracking-Funktionen seitens PIWIK von meinen Websites entfernt.
Ich mochte PIWIK sehr und werde die Software, wenn die offenen Fragen und damit verbundenen Probleme geklärt sind, vielleicht auch wieder nutzen. Bis dahin (und das kann durchaus länger dauern) betreibe ich halt etwas „Daten-Hygiene”. Und eigentlich fühlt sich das auch irgendwie richtig an.

Wichtig ist auch zu verstehen, dass es hier nicht explizit um PIWIK geht sondern um Tracking-Tools im Allgemeinen. Analyse-Tools außerhalb der eigenen Infrastruktur dürften noch sehr viel negativer zu bewerten sein und bergen vermutlich ein deutlich höheres rechtliches Risiko.

Offtopic

Liest man sich tiefer in dieses Thema ein, so findet man eine Reihe von Artikeln auf Websites von Juristen, in denen ebenfalls die sichtbare Einbindung des Widerspruchshinweises empfohlen wird. Interessanter Weise habe ich bei keiner dieser Anwalt-Sites selber einen solchen Hinweis gesehen – schaut man aber mal in den Quelltext, so findet man an gewohnter Stelle die Tracking-Codes der üblichen Verdächtigen im Webanalyse-Business … Naja, vielleicht sind deren Webmaster einfach nur viel cooler als ich es bei diesem Thema bin.

Update 05.05.2020

Knapp sechs Jahre nach der Veröffentlichung dieses Artikels, habe ich mich doch wieder dazu entscheiden, mittels Analyse-Tools einen Blick für die Interessen der Leser dieses Blogs zu bekommen. Somit habe ich nun wieder eine Anbindung an MATOMO (vormals PIWIK) vorgenommen – allerdings auf freiwilliger Basis mittels Opt-IN im Cookie-Banner. Wie das geht, habe ich hier beschrieben: MATOMO-Tracking-Cookie Opt-IN

6 Kommentare Schreibe einen Kommentar

  1. Die Zustände in Deutschland wurden nicht von Gott geschaffen, sondern von den Deutschen selbst. Und es scheint da auch eine gewisse Hass-Liebe zu geben.

  2. hallo vektorkneter,

    vielen Dank das du Dir so viel Mühe gemacht hast, uns schlau zu machen.

    hm, … piwik lässt sich durch den Besucher ausschalten -> wie kann ich die „SCHALTFLÄCHE“ –
    HINWEIS ZUM DATENSCHUTZ BLA BLA … danach <>.

    Mein CMS WB. – Gibt es CMS wo das schon eingebaut ist?

    jp

    • Hallo Jan,

      ich verstehe die Frage leider nicht – da scheint etwas in dem Satz zu fehlen.
      Ob es ein CMS gibt, dass das schon eingebaut hat, kann ich Dir leider nicht sagen. Es würde mich aber sehr wundern.

Schreibe einen Kommentar

Personenbezogene Daten interessieren mich nicht – daher ist die Angabe von Name und E-Mail-Adresse freiwillig. Jedoch wird jeder Kommentar von mir geprüft, bevor er freigeschalten wird.