09.10.2023

Datenschutzgerechte Webstatistiken – gewusst wie!

Ohne Webstatistik ist es kaum möglich, Internetangebote zielgerichtet zu verbessern. Die meisten Lösungen für Webanalysen kommen aber ohne zusätzliche Datenschutz-Vorkehrungen nicht aus. Was müssen Sie daher tun, um datenschutzkonform zu sein?

Webstatistiken Datenschutz

Warum Webstatistiken?

Kaum ein Betreiber von Webseiten kann auf Webstatistiken verzichten. Denn ohne Controlling gibt es keinen Online-Erfolg. Wer seine Kunden nicht kennt, kann keine passenden Angebote unterbreiten. Diese einfache Wahrheit gilt auch im Internet.

Die Besucher und Besucherinnen einer Website regelmäßig zu befragen, ist kaum möglich. Daher müssen die Betreiber von Internet-Angeboten auf statistische Daten zurückgreifen.

Mit entsprechenden Werkzeugen lassen sich umfangreiche Informationen über die Besucherinnen und Besucher einer Website sammeln. Darunter sind zahlreiche Daten ohne Personenbezug wie

  • die Anzahl der Seitenaufrufe,
  • die Besucheranzahl auf einer bestimmten Webseite,
  • die Verweildauer der Besucher,
  • verwendete Suchmaschinen und Suchbegriffe oder
  • die genutzten Browsertypen.

Wo liegen die Datenschutz-Hürden bei Website-Statistiken?

Viele Unternehmen greifen auf scheinbar bequeme Lösungen wie Google Analytics zurück. Sie stellen die Webstatistik-Funktionen ohne großen Aufwand bereit, so scheint es.

Doch eine solche Lösung ist aus Sicht des Datenschutzes problematisch. Denn sie speichert die Besucherdaten auf externen Servern in den USA und nutzt die Daten zu eigenen Zwecken.

Damit sind die Daten nicht der direkten Kontrolle des Website-Betreibers unterworfen und werden an Dritte übermitteln, die die Daten zu anderen Zwecken verarbeiten könnten.

Vor allem die Speicherung der IP-Adressen der Benutzer ist kritisch zu sehen. Und dass die Nutzer nicht in das Tracking einwilligen. Deshalb haben die Aufsichtsbehörden klare Anforderungen formuliert.

Website-Betreibende, die unzulässig Dritt-Inhalte oder -Applikationen wie einen Analysedienst einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen. Sie sollten auch berücksichtigen, dass die Aufsichtsbehörden nach der Datenschutz-Grundverordnung (DSGVO) für derartige Verstöße Geldbußen festsetzen können.

Webstatistiken und IP-Adressen der Nutzenden

In seinem Urteil von Oktober 2016 kommt der Europäische Gerichtshof (EuGH) zum Ergebnis, dass auch dynamische IP-Adressen der Besucher einer Website für deren Betreiber personenbezogene Daten sind.

Berücksichtigen Sie beim Einsatz von Webstatistik-Lösungen dieses Urteil ebenso wie Entschließungen und Orientierungshilfen der Aufsichtsbehörden für den Datenschutz zu dem Thema. Dazu gehört etwa die „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“.

Wie weit reichen Einwilligung und berechtigtes Interesse?

Zu den notwendigen Anpassungen und Maßnahmen, die Verantwortliche treffen müssen, bevor sie Google Analytics oder andere Webstatistik-Tools einsetzen, zählen die folgenden Punkte:

Nutzen Anbieter Daten, die eingebundene Dritt-Dienste erheben, auch für eigene Zwecke, müssen sie hierfür eine ausdrückliche Einwilligung der Nutzerinnen und Nutzer einholen. Das ist bei Google Analytics der Fall, wie die Aufsichtsbehörden unterstrichen haben.

Setzt der Website-Betreibende ein Analyse-Tool ein, das Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergibt, reicht ein berechtigtes Interesse an der Reichweitenmessung als rechtliche Grundlage der Verarbeitung nicht mehr aus.

Das betrifft z.B. soziale Netzwerke oder externe Analysedienste, die Nutzungsdaten über die Grenze der Website hinweg mit Daten von anderen Websites zusammenführen.

Das Ziel – die Reichweitenmessung – lässt sich auch mit milderen, gleich geeigneten Mitteln erreichen. Es gibt Tools, die deutlich weniger personenbezogene Daten erheben und diese Daten nicht an Dritte übermitteln.

Auch Analysesoftware, die lokal implementiert ist, zählt dazu.

Ist Webstatistik Auftragsverarbeitung?

ACHTUNG: Google hat sein Produkt Google Analytics in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt.

Vielmehr räumt sich der Anbieter das Recht ein, die Daten der Website-Besuchenden zu eigenen Zwecken zu verwenden.

Nutzt der Webanalyse-Dienst die Daten nicht zu eigenen Zwecken, ist die Webanalyse als Auftragsverarbeitung zu sehen (in der Datenschutz-Grundverordnung in Artikel 28 zu finden). Damit ist insbesondere der Betreiber der Website in der Verantwortung, die personenbezogenen Daten zu schützen.

Wichtig: Regelmäßig wird die Webanalyse (Reichweitenmessung) oder das Nutzertracking für Werbezwecke für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG (§ 25 TTDSG) einwilligungspflichtig sein.

Nach dem erwähnten EuGH-Urteil dürfen die Website-Betreiber die IP-Adressen ihrer Nutzer verwenden, um Störungen zu beseitigen und Missbrauch vorzubeugen. Nur so können sie die Funktionsfähigkeit ihrer Dienste gewährleisten.

Welche Alternative gibt es zu Google Analytics?

Gerade mit Blick auf den Datenschutz setzen verschiedene Unternehmen auf alternative Tools für Webstatistiken wie Matomo (https://matomo.org/, früher als piwik bekannt).

Ziel sind Webstatistiken, bei denen das Unternehmen die  Hoheit über die Daten behält. Das geht dann in Richtung Eigenbetrieb einer Lösung für Webanalysen.

Für den Datenschutz hat das verschiedene Vorteile:

  • Die Webstatistiken liegen auf dem eigenen Server.
  • Die Besucherdaten werden nicht außerhalb Deutschlands oder der EU verarbeitet und gespeichert.
  • Die Speicherung, Verarbeitung und Löschung der Webstatistiken liegt in den Händen des Betreibers.

Auch Alternativ-Lösungen kritisch prüfen!

Von selbst kommt der Datenschutz aber auch bei alternativen Lösungen für Webstatistiken nicht. Matomo zum Beispiel nennt mehrere Schritte, die es für den Datenschutz zu ergreifen gilt.

Grundsätzlich müssen Betreibende von Webseiten also die Datenschutz-Anforderungen bei Webstatistik-Tools hinterfragen, ob sie nun von Google stammen oder nicht. Dabei hilft die folgende Checkliste:


Download: Checkliste datenschutzgerechte Webanalysen


Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)