Ohne Webanalyse wäre modernes Online-Marketing undenkbar. Tracking-Technologien helfen Unternehmen dabei, mehr über das Nutzerverhalten und die Wirksamkeit einzelner Marketingmaßnahmen zu erfahren. Im Rahmen der Webanalyse werden mit Unterstützung von Tracking-Tools gezielt Daten erhoben, welche die Basis für verschiedene Kennzahlen bilden. Anhand der Kennzahlen lassen sich Website und Marketingkampagnen optimieren.
Datenschutzrechtliche Grundlage der Webanalyse
Die Erhebung der Daten muss jedoch unter Berücksichtigung geltender Datenschutzbestimmungen erfolgen. Erfolgt die Webanalyse nicht datenschutzkonform, drohen dem Seitenbetreiber unangenehme Konsequenzen, wie Bußgelder und Reputationsschäden.
Seit Mai 2018 bildet die EU Datenschutz-Grundverordnung (DSGVO) die datenschutzrechtliche Grundlage für sämtliche Vorgänge, in deren Rahmen personenbezogene Daten erfasst, verarbeitet und gespeichert werden. Damit betrifft sie mehrere große Bereiche im Feld der Webanalyse, was von Seitenbetreibern zwingend zu berücksichtigen ist. Diese Bereiche umfassen insbesondere:
- die Ermittlung von IP Adressen
- den Einsatz von Cookies
- Übermittlung und Empfang von Tracking-Daten externer Partner (z.B. innerhalb von Werbenetzwerken)
Der Einsatz von Standardlösungen, wie z.B. Google Analytics, verspricht keine automatische Rechtssicherheit. Verschiedene Tracking-Tools halten in der Standardkonfiguration geltende Datenschutzbestimmungen nicht ein.
Unternehmen können die Schuld jedoch nicht auf die jeweiligen Anbieter abwälzen. Aufgrund der DSGVO besteht die Verpflichtung, im Vorfeld selbst zu prüfen, ob Erfassung, Verarbeitung und Speicherung personenbezogener Daten zulässig sind. Sofern die geplanten Vorgänge zulässig erscheinen, sind die jeweiligen Rechtsgrundlage zu dokumentieren, welche die Zulassung rechtfertigen.
Rechtskonforme Erfassung von Nutzerdaten
Unter Berücksichtigung der DSGVO existieren zwei Varianten, die eine rechtskonforme Erfassung und Verarbeitung von Nutzerdaten zulassen. Dies ist zum einen die Webanalyse mit Einwilligung des Nutzers sowie zum anderen die anonymisierte Webanalyse.
I. Webanalyse mit Einwilligung des Nutzers
Die Analyse in Verbindung mit der Einwilligung des Nutzers verspricht eine hohe Rechtssicherheit. Es ist jedoch zu beachten, dass die Einwilligung vor Beginn der Webanalyse erfolgt. Im Grunde wäre es notwendig, das Einverständnis noch vor Ausspielen des ersten Website-Inhalte einzuholen. Es genügt nicht, eine Einwilligungserklärung zu formulieren und diese zum Bestandteil der AGB oder Nutzungsbedingungen zu machen. Die DSGVO schreibt Seitenbetreibern außerdem vor, solch eine Einwilligung spätestens alle sechs Monate erneut einzuholen.
Zugleich ist dem Nutzer die Möglichkeit einzuräumen, seine Einwilligung jederzeit widerrufen zu können. Sofern er hiervon Gebrauch macht, sind alle relevanten Tracking-Maßnahmen (die personenbezogene Daten erfassen, verarbeiten oder speichern) zu unterlassen. Eine Löschung bisher aufgezeichneter Daten ist hingegen nicht notwendig – es ei denn, der Nutzer verlangt explizit danach.
Sobald Daten mit Personenbezug erfasst oder verarbeitet werden, spricht die DSGVO dem Betroffenen (im Falle der Webanalyse dem Seitenbesucher) ein Auskunftsrecht zu. Auf Nachfrage gilt es dem Betroffenen mitzuteilen, welche einzelnen Daten erfasst oder verbreitet wurden und warum dies geschehen ist. Aus Sicht des Seitenbetreibers ist somit eine ergänzende Dokumentation notwendig. Angesichts der zeitlichen Limitierung der Einwilligung sogar in Verbindung mit Zeitstempeln.
II. anonymisierte Webanalyse
In Anbetracht dieser zahlreichen Anforderungen, die zugleich in der Praxis gar nicht so leicht zu erfüllen sind, setzt die Mehrheit der Seitenbetreiber auf die anonymisierte Webanalyse. Darunter ist zu verstehen, dass sich anhand der erfassten Tracking-Daten kein Bezug zum Betroffenen herstellen lässt.
Im Hinblick auf die DSGVO ist eine anonymisierte Webanalyse mittels sogenanntem IP-Masking realisierbar. Schon bei der Erhebung wird ein Teil der IP-Adresse eingekürzt. Doch aufgepasst, viele Analyse-Tools, wie z.B. Google Analytics oder Matomo, müssen erst entsprechend konfiguriert werden.
Die größten Stolpersteine im Überblick
Bei der DSGVO-konformen Webanalyse lauern mehrere Stolpersteine. Nachfolgend haben wir die wichtigsten Punkte, die zu berücksichtigen sind, zusammengetragen und erläutert.
Einholen der Zustimmung
Sofern die Webanalyse nicht anonymisiert erfolgt, ist zwingend die Zustimmung des Betroffenen einzuholen. Hierbei ist zu beachten, dass nicht von einer stillen Zustimmung ausgegangen werden darf. Stattdessen muss der Besucher explizit zustimmen, erst im Anschluss ist eine Erfassung relevanter Traffic-Daten zulässig. Die technische Umsetzung erfolgt über ein Opt-in-Verfahren.
Aufheben der Zustimmung (Widerspruch)
Dem Nutzer muss es möglich sein, eine zuvor erteilte Zustimmung wieder aufzuheben. Die DSGVO schreibt vor, dass dies so einfach sein muss, wie das vorherige Zustimmen zum Tracking. Macht der Nutzer von der Möglichkeit des Widerspruchs Gebrauch, ist die Erfassung relevanter Tracking-Daten unmittelbar einzustellen.
Hinweispflicht – Aufklärung über das Tracking
Gemäß DSGVO steht ein Seitenbetreiber in der Pflicht, Betroffene über Ihre Rechte zu informieren. Konkret gilt es den Besucher darüber aufzuklären, zu welchem Zweck und auf welche Weise das Tracking stattfindet. Dies geschieht per Datenschutzerklärung, die für den Besucher von jeder Seite aus erreichbar ist.
Auftragsverarbeitung
Sofern die eingesetzten Analyse-Tools personenbezogene Daten auf fremden Servern verarbeiten, ist dies gemäß DSGVO als Auftragsverarbeitung zu werten. Somit besteht die Notwendigkeit, mit dem jeweiligen Anbieter einen Vertrag über die Auftragsverarbeitung zu schließen. Im Rahmen des Vertrags ist festzulegen, über welche konkreten Leistungen sich die Auftragsverarbeitung erstreckt und welche Rechte sowie Pflichten für beide Vertragsparteien gelten.
Integration und Konfiguration von Analyse-Tools
Die Auswahl an Tracking-Tools für die Webanalyse ist groß. Neben Google Analytics existieren viele weitere Lösungen, wie z.B. etracker, Matomo (ehemals Piwik) sowie diverse WordPress-Plugins. Für eine DSGVO-konforme Nutzung ist jedes Tool individuell zu konfigurieren. Nachfolgend haben wir einen allgemeinen Fahrplan skizziert, der die wesentlichen Schritte für einen rechtskonformen Einsatz wiedergibt.
Altdaten:
Sollten Sie Ihre Analyse-Tools bereits vor Inkrafttreten der DSGVO im Einsatz gehabt haben, ist zu prüfen, ob Altdaten existieren. Womöglich sind diese aus heutiger Sicht nicht mehr zulässig und sollten daher gelöscht werden.
DSGVO-Konformität:
Zunächst ist zu prüfen, ob das vorgesehene Tool im Hinblick auf die DSGVO überhaupt nutzbar ist. So ist u.a. zu prüfen, wo sich der Server-Standort befindet. Angenommen er befindet sich außerhalb der EU und damit in einem Drittstaat, könnte die Nutzung zunächst unzulässig sein. Doch es existieren Lösungen, beispielsweise wenn Der Tracking-Anbieter eine Privacy Shield Zertifizierung vorweisen kann.
Auftragsverarbeitung:
Sofern eine Auftragsverarbeitung stattfindet, gilt es darüber einen Vertrag zu schließen. Bei den meisten Anbietern gilt es diesem konventionell auf dem Postweg zu schließen. Google bietet mittlerweile die Möglichkeit, den Vertrag online zu schließen.
Konfiguration:
Wie zuvor erläutert, sind viele Analyse-Tools standardmäßig nicht so eingestellt, dass sie Besucherdaten anonymisiert auswerten. In solchen Fällen besteht die Notwendigkeit, eigene Tools dahingehend zu konfigurieren.
Widerspruch:
Ebenso gilt es dem Nutzer die Möglichkeit einzuräumen, dem Tracking zu widersprechen. Dies geschieht ebenfalls über die Konfiguration des Tools, sodass der Besucher die Funktion z.B. mit einem Klick abschalten kann.
Datenschutzerklärung:
Der Besucher ist darüber zu informieren, zu welchen Zwecken und auf welche Weise ein Tracking erfolgt, ebenso wie er der Datenerfassung widersprechen kann. Hierfür ist die Datenschutzerklärung entsprechend zu erweitern.
Was kann ein externer Datenschutzbeauftragter tun?
Eine datenschutzkonforme Webanalyse setzt nicht zwangsläufig (je nach Unternehmen) die Bestellung eines Datenschutzbeauftragten voraus. Allerdings kann ein externer Datenschutzbeauftragter wertvolle Unterstützung bei der Schaffung von Rechtssicherheit leisten. In diesem Zusammenhang möchten wir darauf hinweisen, dass es gerade in diesem Umfeld zu vergleichsweise häufigen Änderungen kommt und gelegentliche Nachjustierungen mit hoher Wahrscheinlichkeit nicht ausbleiben werden.
Selbstverständlich beschränken wir uns nicht auf Technologie-Themen. Für unsere Kunden entwickeln wir ganzheitliche Datenschutzkonzepte, deren Umsetzung wir ebenfalls begleiten.