Fortwährend eine brennende Frage ist die juristische Situation beim Einsatz von Web Analytics Systemen wie Google Analytics auf der eigenen Website – ich habe bereits mehrmals auf diesem Blog darüber berichtet. Die Meinungen zu dieser Thematik gehen von „verboten“ über „riskant“ bis „problemlos“ weit auseinander. In Deutschland sind sich selbst die Gerichte uneins. Je nach Amtsgericht ist die Speicherung der IP-Adresse – darum geht’s schlussendlich – einmal personenbezogen und daher ohne vorgängige Einwilligung des Nutzers untersagt (Amtsgericht Berlin Mitte) oder aber erlaubt (Amtsgericht München). Der Entscheid eines höheren Gerichts steht noch aus, derweil in der Praxis wie bereits in den letzten 15 Jahren (!) IP-Adressen ausser in Analytics-Systemen vor allem auch in Server-Logfiles weiter gespeichert werden – das kümmert allerdings in der aktuellen Diskussion kein Jurist oder Gericht.
Mein Votum in diesem Thema appelliert an die Vernunft und das gemeinsame Wohlwollen von Websitebetreibern und Nutzern. Gespeicherte IP-Adressen können ausser von Internet Service Providern und dem Staat nicht eindeutig einer Person zugeordnet werden – von ganz seltenen und aussergewöhnlichen Fällen mal abgesehen. Dennoch möchten einige Website-Besucher sehr vorsichtig mit ihren Web-Fussabdrücken umgehen – und diesem Bedürfnis sollte ein seriöser Website-Betreiber Folge leisten. Meine Empfehlung für Website-Betreiber, welche ein Analytics-System einsetzen, lautet daher wie folgt:
- Datenschutzerklärung kommunizieren: Egal welche Daten man sammelt und was man damit tut, es sollte immer für den Nutzer transparent bleiben. Am sinnvollsten hinterlegt man diese Transparenz in einer Privacy Policy bzw. Datenschutzerklärung auf der Website.
- Analytics-Daten nicht mit personalisierten Informationen verknüpfen: Obwohl die Verknüpfung vielfach interessant wäre, ist dies ohne explizite Einwilligung des Nutzers nicht legal.
- „Opt-in-Verfahren“ bei Übermittlung persönlicher Daten: Sobald persönliche Daten wie Name, Adresse, E-Mail-Adresse etc. zum Beispiel über ein Kontaktformular oder eine Anmeldung gesammelt und anschließend gespeichert werden, sollte der Besucher um explizite Erlaubnis (Opt-in-Verfahren) zur Speicherung dieser Daten gefragt werden.
- Ort der Datenspeicherung beachten: Wer die Speicherung der Daten nicht intern betreibt, sondern bei einem Web Analytics-Anbieter als Software as a Service (SaaS) bezieht, sollte sich über den Standort des Datencenters im Klaren sein. Werden die Daten durch den Drittanbieter innerhalb eines europäischen Landes gespeichert, kann man davon ausgehen, dass der Anbieter ähnlichen gesetzlichen Bedingungen unterliegt wie man selbst. Anbieter wie Nedstat, Yahoo oder Webtrekk speichern z.B. die Nutzungsdaten in einem europäischen Land.
- Option zur Abschaltung des Trackings bieten: Ebenfalls ein faires Verhalten ist es, dem Besucher anzubieten, dass sein Nutzungsverhalten überhaupt nicht gespeichert wird. Bei so einem Opt-out-Verfahren kann der Besucher mittels Deaktivieren einer Check-Box das Tracking abschalten – seine Einstellung wird dabei in einem Cookie gespeichert.
Den letzten Punkt finde ich ganz wichtig und eindrücklich, um dem Besucher zu demonstrieren, dass wirklich ein Wohlwollen seitens des Website-Betreibers besteht. Überdies bin ich überzeugt, dass nur ganz wenige Nutzer von einer solchen Option Gebrauch machen werden (auch dies liesse sich übrigens tracken) – allein die Möglichkeit schafft aber schon sehr viel Vertrauen. Auf diesem Blog besteht übrigens ebenfalls die Möglichkeit, das Tracking via Google Analytics auf Wunsch zu unterbinden. Die Einstellungen werden in einem Cookie gespeichert, so dass ab der Folgeseiten oder beim nächsten Besuch bis auf Widerruf keine Nutzungsdaten des betreffenden Besuchers mehr an Google Analytics gesendet werden.
Manche Web Analytics-Systeme bieten solche Opt-Out Funktionen für Ihre Produkte bereits an. Andere – darunter auch bei Google Analytics – kennen eine solche Funktion noch nicht. Allerdings kann man mit ein paar Zeilen JavaScript-Code so etwas recht einfach implementieren. Folgender Code-Ausschnitt zeigt, wie dies für Google Analytics geht. Damit können auch Website-Betreiber welche Google Analytics einsetzen demonstrieren, dass auf Wunsch des Besuchers keine Daten an Google gesendet werden.
<html>
<head>
<script type="text/javascript">
function getCookie(value) {
var dc = document.cookie;
var prefix = value + "=";
var begin = dc.indexOf("; " + prefix);
if (begin == -1) {
begin = dc.indexOf(prefix);
if (begin != 0) return null;
} else {
begin += 2;
}
var end = document.cookie.indexOf(";", begin);
if (end == -1) {
end = dc.length;
}
return dc.substring(begin + prefix.length, end);
}
function doGA_Tracking()
{
var GA_OptOut = getCookie("GA_OptOut");
if (GA_OptOut && GA_OptOut!=null && GA_OptOut=='true') return false
else return true;
}
var expdate=new Date();
expdate.setDate(expdate.getDate()+365);
</script>
</head>
<body>
<input type="checkbox" id="GA_OptOut" value="true" onClick="this.checked?document.cookie='GA_OptOut=false;path=/;expires='+expdate.toGMTString()+';':document.cookie='GA_OptOut=true;path=/;expires='+expdate.toGMTString()+';'"> Besuch mit Google Analytics aufzeichnen.<br/>
<script type="text/javascript">
//Wenn neben dem Standard-Tracking-Code (GATC) zusätzlich bei bestimmten Ereignissen, z.B. Klick auf Links, Events oder virtuelle Seitenaufrufe implementiert werden, müssen diese mit untenstehendem Code ergänzt werden (doGA_Tracking()?BESTEHENDER_TRACKINGAUFRUF:'';). Andernfalls würde das Ereignis ein Fehler werfen falls der GATC vom Besucher deaktiviert wird.
//doGA_Tracking()?pageTracker._trackEvent('Links', 'Subscription', 'RSS-Mainfeed'):'';
</script>
<script type="text/javascript">
var el=document.getElementById('GA_OptOut');
if (el!=null) el.checked = doGA_Tracking();
</script>
<script type="text/javascript">
if (doGA_Tracking())
{
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
}
</script>
<script type="text/javascript">
if (doGA_Tracking())
{
try{
var pageTracker = _gat._getTracker("UA-xxxxxx-x");
pageTracker._trackPageview();
}
catch(err) {}
}
</script>
</body>
</html>