Piwik

Erst heute erreichte mich eine Ende Januar veröffentlichte Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zum Einsatz von GoogleAnalytics (Originalquelle der Datei hier).

Kurzer Einschub für Neulinge auf diesem Gebiet: GoogleAnalytics ist ein kostenloses Tool zur Besucheranalyse auf der eigenen Website. Der Webseitenbetreiber muss lediglich einen kleinen Code-Schnipsel am Ende der Seite einfügen und schon erhält er eine wirkliche Fülle an Auswertungsdaten.

Die Bewertung des ULD

Zurück zum Text. Das ULD verpackt seine Kritik in acht Punkte, die ich so zusammenfasse:

1. Der Besucher ist eindeutig identifizierbar. Nicht nur durch die übertragene IP-Adresse, sondern auch durch einen sogenannten “First Party Cookie”, der von GA auf dem Rechner abgelegt wird.
2. Google behält sich das Recht vor, Daten aus verschiedenen Google-Diensten “möglicherweise” zusammenzuführen und zu verbinden. Nutzt der Besucher auch andere Google-Dienste wie den GoogleReader, GoogleMail oder die GoogleToolbar könnte Google dies zu einem großen Ganzen zusammenführen.
3. Ein Benutzer muss dem Anlegen eines Benutzerprofils über ihn wiedersprechen können. Diese Option bietet Google nicht an.
4. Google informiert den Benutzer nicht ausreichend darüber, was überhaupt gespeichert wird.
5. Durch den Einsatz von GoogleAnalytics auf einer Website werden die Daten an Google weitergegeben. Dies stellt eine Weitergabe an eine dritte Partei dar und ist somit unzulässig. Daneben behält sich Google die Weitergabe der Daten an Partnerunternehmen oder “andere vertrauenswürdige Unternehmen oder Personen” vor.
6. Auch wenn ihr euer Konto bei GoogleAnalytics löscht, so bleiben die Daten bei Google erhalten und Google behält sich das Recht vor, diese einmal gesammelten Daten auch weiter zu verarbeiten. Einmal gesammelte Daten bleiben somit immer im Besitz von Google.
   
7. Es gibt keine Möglichkeit für einen Benutzer, zu erfahren welche Daten über ihn gesammelt worden sind.
8. Google hat seinen Hauptsitz in den USA und daher findet eine Übermittlung der Daten auf Rechner außerhalb des europäischen Wirtschaftsraumes statt. Das ist nur mit ausdrücklicher Genehmigung der Besucher (Opt-In-Verfahren) zulässig.

Das kurze und knappe Fazit des ULD dazu lautet:

Der Einsatz der kostenlos angebotenen Version des Google Analytics Services ist aus den genannten Gründen derzeit datenschutzrechtlich unzulässig. Die Aufsichtsbehörden des Bundes und der Länder stehen mit der Google Germany GmbH im Gespräch, um einen rechtskonformen Einsatz dieses Dienstes zu ermöglichen.

Interessant finde ich hier besonders den Aspekt, dass die Aufsichtsbehörden des Bundes und der Länder (also die Datenschutzbeauftragten) zusammen mit Google nach einer Lösung suchen wollen. Darauf bin ich sehr gespannt.

Einschätzung der Datenschutzbeauftragen aus Nordrhein-Westfalen

Mich treibt dieses Thema schon etwas länger um. Im Februar 2008 habe ich eine Anfrage an Andrea Heyne, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, gerichtet und folgende Antwort bekommen:

Datum:  01.02.2008
Bearbeitung: Frau Heyne
Durchwahl:   0211/38424
Aktenzeichen:55.1-220/08
Betreff:  Ihr Schreiben vom 29.01.2008

Sehr geehrter Herr Müller,

Vielen Dank für Ihre E-mail vom 29.01.2008. Google Analytics ermöglicht unter Einschaltung eines Dritten (nämlich Google) die nutzerbezogene Auswertung der Nutzung einer Webseite. Die Erstellung von Nutzungsprofilen basiert auf Cookies. Die entsprechenden Daten werden in den USA gespeichert.Google erhält damit insgesamt bei jedem Abruf einer Analytics-aktivierten Seite folgende Daten über den Nutzer:

• Pseudonyme, eindeutige Identität im Rahmen der Cookie-Lebensdauer (d.h. bis 2038, wenn der Cookie nicht vorher entfernt wird);
• die Identität ist jeweils bezogen auf den Analytics-Kunden oder die Kundin, d.h. eine Zuordnung von Zugriffen einer Nutzerin oder       eines Nutzers bei verschiedenen Analytics- Kunden  oder Kundinnen ist nicht direkt möglich, könnte allerdings über die IP Adresse       hergestellt werden, wenn die Zugriffe in enger zeitlicher Nähe erfolgen;
• Computerumgebung und Nutzungsverhalten in Bezug auf den Analytics- Kunden oder -Kundin, einschließlich verschiedener zeitlicher         Abläufe (z.B. Zeitpunkt des Erstkontaktes).

Da von der Webseiten-Anbieterin oder dem -Anbieter das Cookie von Google Analytics gesetzt wird, ist dieser nach deutschem Datenschutzrecht auch dafür verantwortlich. Das Setzen von Cookies ohne vorherige Aufklärung der Nutzerin oder des Nutzers ist per se datenschutzrechtlich bedenklich, wenn wie hier personenbeziehbare Daten wie IP-Adressen gespeichert werden sollen. Diese Daten werden auch bei Google gespeichert und der Kundin oder dem Kunden von Google-Analytics ist es unmöglich Einfluß auf die Datenspeicherung bei Google zu nehmen. In den allgemeinen Geschäftsbedingungen unter Punkt 8 Datenschutz fordert Google von seinen Kundinnen und Kunden, dass Dritte über die Benutzung von Google Analytics aufgeklärt werden sollen. Grundsätzlich darf die Diensteanbieterin oder der Diensteanbieter gem. § 15 Abs. 3 TMG für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien nur Nutzungsprofile bei der Verwendung von Pseudonymen erstellen, sofern die Nutzerin oder der Nutzer dem nicht widerspricht. Die Speicherung der IP Adresse und einer eindeutigen Cookie ID ist jedoch keine pseudonyme Profilbildung.

Aus datenschutzrechtlicher Sicht ist von dem Gebrauch von Google Analytics abzuraten. Auch eine Einwilligung mit vorheriger Aufklärung über das Setzen und die Funktionsweise des Cookies genügt meines Erachtens nicht, da der Kunde oder die Kundin von Google Analytics keinen Einfluß auf das Unternehmen Google und damit auf die bei Google gespeicherten Daten hat.

Ich hoffe Ihnen mit meinen Ausführungen geholfen zu haben. Bei Rückfragen stehe ich Ihnen gerne zur Verfügung.

Mit freundlichen Grüßen
Andrea Heyne

——————————————————————-
Andrea Heyne, Referat Nr. 5, Referentin für Medien und Kommunikation

Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen

Kavalleriestr. 2-4, 40213 Düsseldorf
Tel.: 0211-38424-0
Fax: 0211-38424-10
E-Mail: poststelle@ldi.nrw.de
Öffentlicher Schlüssel: www.ldi.nrw.de/metanavi_Kontakt/key_ldi.asc
www: www.ldi.nrw.de

Auch hier wird also von dem Einsatz abgeraten.

Mögliche Alternativen

Wie ich im Panel “Bloggen und Recht” der Re:Publica ‘09 u.A. mit dem bloggenden Rechtsanwalt Henning Krieg gelernt habe, ist das Speichern der IP-Adresse des Besuchers im Server-Logfile (das durch einen Zugriff auf dem Server ausgelöst wird) bereits verboten – dumm nur, dass dies bei den meisten Servern standardmäßig aktiviert ist. Sämtliche Analysetools setzen da natürlich nur noch einen drauf – wer also ganz sicher gehen will, lässt die letzten Stellen im Server-Logfile automatisch aus-x-en und verzichtet auf den Einsatz weiterer Analysetools.

Aber mal ehrlich: Das ist fern jeder Praxis und wird von kaum jemanden so betrieben (im Ausland sowieso nicht). Besuchertracking und die dazugehörige Auswertung gehören zum täglichen Brot eines Webseitenbetreibers. Aber die Welt ist auch im Internet nicht schwarz und weiß, sondern es gibt viele Grautöne. Dazu gehören z.B. Tools wie PhpMyVisites oder dessen Nachfolger Piwik, die auf dem eigenen Webspace installiert werden und die Funktion von GoogleAnalytics übernehmen. Die Daten bleiben dabei auf eurem Server und werden nicht (sofern ihr dies nicht tut) an Dritte (und schon gar nicht an Google) weitergegeben und dort eventuell verarbeitet. Damit fallen nicht alle, aber doch einige Kritikpunkte der ULD weg. Ich selbst nutze beide Tools seit längerem und habe gänzlich auf den Einsatz von GoogleAnalytics verzichtet.

Ich hatte sowieso vor, mal über Piwik und PhpMyVisites zu bloggen, was ich hiermit schon mal ankündigen kann.