Web Analytics nutzen

Über den rechtskonformen Einsatz von Google Analytics herrscht in Deutschland schon lange eine heisse Diskussion. Nun ist es aber offenbar zu einer Einigung zwischen Google und dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gekommen. Das sind gute Nachrichten, denn damit kann davon ausgegangen werden, dass Google Analytics unter einigen Voraussetzungen rechtlich beanstandungsfrei eingesetzt werden kann. Folgende Punkte muss man demnach als Website-Betreiber aber berücksichtigen, wenn man Google Analytics einsetzen will:

• Vertrag mit Google zur Auftragsdatenverarbeitung: Für die Verarbeitung der gesammelten Daten ist ein Vertrag zwischen dem Website-Betreiber und Google notwendig. Als Website-Betreiber sind Sie dabei der Auftraggeber, Google handelt in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend Ihrer Weisung. Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten auf Ihrer Seite ein, bei denen Google durch Vorlage entsprechender Nachweise unterstützt. Eine Vorlage für einen entsprechenden Vertrag ist auf der Google Website aufrufbar und mit den Datenschutzaufsichtsbehörden abgestimmt. Die erste Aufgabe ist, diesen auszufüllen und an Google zu senden.
• Datenschutzerklärung und Widerspruchsmöglichkeit: Nutzer Ihrer Website müssen in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufgeklärt werden. Auf eine Widerspruchsmöglichkeit gegen die Erfassung durch Google Analytics muss hingeweisen werden. Hierbei sollte möglichst auf die entsprechende Seite von Google mit den Opt-Out-Plugins verlinkt werden. Ergänzend oder alternativ kann auf jeder Seite der Website ein Opt-Out gemäss meinem früheren Post eingebunden werden.
• IP-Adress-Anonymisierung: Durch eine entsprechende Einstellungen im Google Analytics Tracking Code muss die IP-Adressen gekürzt und anonymisiert werden. Dies geschieht, indem auf jeder getrackten Seite im Standard-Tracking-Code von Google eine Zeile ergänzt wird, nämlich _gaq.push(['_gat._anonymizeIp']); (unmittelbar vor Falls dem trackPageview-Aufruf). Technische Details dazu finden sich bei Google Code.

Wer bereits vor Einführung dieser Massnahmen Google Analytics genutzt hat, könnte diese Daten unrechtmässig erhoben haben. Deshalb müssten in dem Fall die Altdaten gelöscht – bzw. das Google Analytics Profil gelöscht und ein neues erstellt werden. Das ist nicht ganz so toll - aber zumindest gibt es nun einen Weg für einen zukünftig rechtskonformen Einsatz von Google Analytics in Deutschland.

Fortwährend eine brennende Frage ist die juristische Situation beim Einsatz von Web Analytics Systemen wie Google Analytics auf der eigenen Website – ich habe bereits mehrmals auf diesem Blog darüber berichtet. Die Meinungen zu dieser Thematik gehen von „verboten“ über „riskant“ bis „problemlos“ weit auseinander. In Deutschland sind sich selbst die Gerichte uneins. Je nach Amtsgericht ist die Speicherung der IP-Adresse – darum geht’s schlussendlich – einmal personenbezogen und daher ohne vorgängige Einwilligung des Nutzers untersagt (Amtsgericht Berlin Mitte) oder aber erlaubt (Amtsgericht München). Der Entscheid eines höheren Gerichts steht noch aus, derweil in der Praxis wie bereits in den letzten 15 Jahren (!) IP-Adressen ausser in Analytics-Systemen vor allem auch in Server-Logfiles weiter gespeichert werden – das kümmert allerdings in der aktuellen Diskussion kein Jurist oder Gericht.

Mein Votum in diesem Thema appelliert an die Vernunft und das gemeinsame Wohlwollen von Websitebetreibern und Nutzern. Gespeicherte IP-Adressen können ausser von Internet Service Providern und dem Staat nicht eindeutig einer Person zugeordnet werden – von ganz seltenen und aussergewöhnlichen Fällen mal abgesehen. Dennoch möchten einige Website-Besucher sehr vorsichtig mit ihren Web-Fussabdrücken umgehen – und diesem Bedürfnis sollte ein seriöser Website-Betreiber Folge leisten. Meine Empfehlung für Website-Betreiber, welche ein Analytics-System einsetzen, lautet daher wie folgt:

• Datenschutzerklärung kommunizieren: Egal welche Daten man sammelt und was man damit tut, es sollte immer für den Nutzer transparent bleiben. Am sinnvollsten hinterlegt man diese Transparenz in einer Privacy Policy bzw. Datenschutzerklärung auf der Website.
• Analytics-Daten nicht mit personalisierten Informationen verknüpfen: Obwohl die Verknüpfung vielfach interessant wäre, ist dies ohne explizite Einwilligung des Nutzers nicht legal.
• „Opt-in-Verfahren“ bei Übermittlung persönlicher Daten: Sobald persönliche Daten wie Name, Adresse, E-Mail-Adresse etc. zum Beispiel über ein Kontaktformular oder eine Anmeldung gesammelt und anschließend gespeichert werden, sollte der Besucher um explizite Erlaubnis (Opt-in-Verfahren) zur Speicherung dieser Daten gefragt werden.
• Ort der Datenspeicherung beachten: Wer die Speicherung der Daten nicht intern betreibt, sondern bei einem Web Analytics-Anbieter als Software as a Service (SaaS) bezieht, sollte sich über den Standort des Datencenters im Klaren sein. Werden die Daten durch den Drittanbieter innerhalb eines europäischen Landes gespeichert, kann man davon ausgehen, dass der Anbieter ähnlichen gesetzlichen Bedingungen unterliegt wie man selbst. Anbieter wie Nedstat, Yahoo oder Webtrekk speichern z.B. die Nutzungsdaten in einem europäischen Land.
• Option zur Abschaltung des Trackings bieten: Ebenfalls ein faires Verhalten ist es, dem Besucher anzubieten, dass sein Nutzungsverhalten überhaupt nicht gespeichert wird. Bei so einem Opt-out-Verfahren kann der Besucher mittels Deaktivieren einer Check-Box das Tracking abschalten – seine Einstellung wird dabei in einem Cookie gespeichert.

Den letzten Punkt finde ich ganz wichtig und eindrücklich, um dem Besucher zu demonstrieren, dass wirklich ein Wohlwollen seitens des Website-Betreibers besteht. Überdies bin ich überzeugt, dass nur ganz wenige Nutzer von einer solchen Option Gebrauch machen werden (auch dies liesse sich übrigens tracken) – allein die Möglichkeit schafft aber schon sehr viel Vertrauen. Auf diesem Blog besteht übrigens ebenfalls die Möglichkeit, das Tracking via Google Analytics auf Wunsch zu unterbinden. Die Einstellungen werden in einem Cookie gespeichert, so dass ab der Folgeseiten oder beim nächsten Besuch bis auf Widerruf keine Nutzungsdaten des betreffenden Besuchers mehr an Google Analytics gesendet werden.

 
Manche Web Analytics-Systeme bieten solche Opt-Out Funktionen für Ihre Produkte bereits an. Andere – darunter auch bei Google Analytics – kennen eine solche Funktion noch nicht. Allerdings kann man mit ein paar Zeilen JavaScript-Code so etwas recht einfach implementieren. Folgender Code-Ausschnitt zeigt, wie dies für Google Analytics geht. Damit können auch Website-Betreiber welche Google Analytics einsetzen demonstrieren, dass auf Wunsch des Besuchers keine Daten an Google gesendet werden.

<html>
<head>
<script type="text/javascript">

function getCookie(value) {
    var dc = document.cookie;
    var prefix = value + "=";
    var begin = dc.indexOf("; " + prefix);
    if (begin == -1) {
    begin = dc.indexOf(prefix);
    if (begin != 0) return null;
    } else {
    begin += 2;
    }
    var end = document.cookie.indexOf(";", begin);
    if (end == -1) {
    end = dc.length;
    }
    return dc.substring(begin + prefix.length, end);
}

function doGA_Tracking()
{
   var GA_OptOut = getCookie("GA_OptOut");
   if (GA_OptOut && GA_OptOut!=null && GA_OptOut=='true') return false
   else return true;
}

var expdate=new Date();
expdate.setDate(expdate.getDate()+365);

</script>
</head>
<body>

<input type="checkbox" id="GA_OptOut" value="true" onClick="this.checked?document.cookie='GA_OptOut=false;path=/;expires='+expdate.toGMTString()+';':document.cookie='GA_OptOut=true;path=/;expires='+expdate.toGMTString()+';'"> Besuch mit Google Analytics aufzeichnen.<br/>

<script type="text/javascript">
//Wenn neben dem Standard-Tracking-Code (GATC) zusätzlich bei bestimmten Ereignissen, z.B. Klick auf Links, Events oder virtuelle Seitenaufrufe implementiert werden, müssen diese mit untenstehendem Code ergänzt werden (doGA_Tracking()?BESTEHENDER_TRACKINGAUFRUF:'';). Andernfalls würde das Ereignis ein Fehler werfen falls der GATC vom Besucher deaktiviert wird.

//doGA_Tracking()?pageTracker._trackEvent('Links', 'Subscription', 'RSS-Mainfeed'):'';

</script>
<script type="text/javascript">
   var el=document.getElementById('GA_OptOut');
   if (el!=null) el.checked = doGA_Tracking();
</script>

<script type="text/javascript">
   if (doGA_Tracking())
   {
  var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
  document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
   }
</script>

<script type="text/javascript">
   if (doGA_Tracking())
   {
  try{
var pageTracker = _gat._getTracker("UA-xxxxxx-x");
pageTracker._trackPageview();
  }
  catch(err) {}
   }
</script>
</body>
</html>

Ein zentraler Teil von Web Analytics Systemen ist die Sammlung der Daten zu Website Besucher. Egal ob ein Web Anlaytics System dahinter steht oder nicht, hinterlassen wir bei jedem Website-Beusch Informationen über uns selbst auf einer Website. Doch was genau wird denn da an Informationen hinterlassen? Genau diese Ungewissheit schürt viele Ängste und Sicherheitsbedenken bei Website-Besuchern und verleitet Gerichte zu voreiligen und nicht ganz nachvollziehbaren Entscheiden (siehe der Diskussion zur Legalität von Google Analytics).

Den Sicherheitsbedenken kann man etwas entgegnen, wenn man genauer anschaut, was für Informationen denn zu einem Websitebesucher ausgelesen werden können. Dazu gehört:

Bei jeden normalen Aufruf einer Website mit jedem Browser:

• die IP-Adresse
• Über die IP-Adresse kann der Hostname (meist der Name des ISPs, oder bei grösseren Firmen der Firmenname ersichtlich) ausfindig gemacht werden. Die Aufschlüsslung von IP-Adress zu Hostname kann man sich zum Beispiel bei myip.dk anzeigen lassen
• Mittels Geo-Datenbanken wie MaxMind oder Hostip kann das Land und unter Umständen die ungefähre Region ausfindig gemacht werden (im Maximalfall das Firmengebäude eines grösseren Unternehmens). Wie dies bei der eigenen IP-Adresse aussieht, zeigt dieses Beispiel.
• Betriebssystem (Windows, Mac etc. und welche Version), verwendeter Browser (Firefox, Internet Explorer etc und genaue Version davon) sowie Browsersprache (Erfolgt alles über den User Agent)

Wenn JavaScript aktiviert ist (standardmässig) lassen sich zudem folgende Infos auslesen:

• Installierte Plugins und deren Versionen  (Acrobat Reader, Java, Flash, Silverlight, Media Player ...)
• Bildschirmauflösung in Pixel sowie Farbtiefe
• Position und Grösse des aktiven Browserfensters innerhalb des Bildschirms
• Sämtliche Aktionen des Mauszeigers innerhalb des Browserfensters, z.B. Position des Mauszeigers, Klicks auf eine Button, Link oder innerhalb eines Videos etc.
• Sämtliche Tastatureingaben des Benutzers innerhalb des Browserfenster (z.B. Texteingabe in ein Formular)
• Messung der verfügbare Netzwerk Bandbreite wie zum Beispiel mit checkinternetspeed.info (hier allerdings in Java realisiert)

Soweit funktioniert die Datenkollektionsmethode über Page Tags bei Web Analytics Systemen. D.h. die genannten Daten oder wären mit einem Pag Tag eines Web Analytics Systems auslesbar. Darüber hinaus lassen sich maschinell je nach installieretm Plugins (insbesondere ActiveX, Java-Applets) und deren Sicherheitseinstellungen  weitere Systeminformationen auslesen, zum Beispiel:

• Installierte Soundkarte (über Media Player)
• Verwendeter CPU
• usw.

Browserspy zeigt in verscheidenen Beispielen ziemlich interessant, was aus einem System alles möglich und legal ist. Mit Hacks und Ausnützen von Sicherheitslücken insbesondere Plugins wie ActiveX oder Java-Applets wär noch das ein oder andere mehr möglich - das ist dann allerdings illegales Ausspionieren. Bleibt man im legalen Bereich - und etwas anderes werden sich namhafte Web Analytics Hersteller nicht leisten können - werden eigentlich nur Daten gesammelt, welche für die Sicherheit oder für den Datenschutz irrelevant sind. Die persönliche Identifikation eines Benutzer ist so grundsätzliche nicht möglich.

Die einzige Situation, wo ein Benutzer einem Website Betreiber wirklich persönlich bekannt ist, besteht dann, wenn sich dieser irgendwo eingeloggt, wo er seinen Namen und evtl. seine Adresse hinterlassen hat. Dies kann z.B. in einem Self Service Portal eines Telekomanbeiters oder auf eine Site eines Sozialen Netzwerks wie Xing oder Facebook sein, sofern man sich dort registriert hat. In so einem Fall wäre es grundsätzlich für den Betreiber möglich, sämtliche Tätigkeiten auf der betreffenden Website einem bekannten Besucher zuzuordnen. Die Abspreicherung dieser Daten bedarf jedoch dem expliziten Einverständnis durch den Benutzer, z.B. durch Akzeptieren eines entsprechenden Disclaimers (wobei: wer liest den die langen Nutzungsbestimmungen bei der Registrierung für einen Dienst wirklich ganz durch...). Auch über eine Website hinaus besteht von solchen persönlichen Datenablagen ausgehend das Risiko, identifiziert zu werden - zum Beispiel über eingebettete Widgets oder Autologins, wie dies dieser frühere Post über Xing zeigt.

Dies sind aber generelle Sicherheitsrisiken im Internet und haben nichts mehr mit Web Analytics zu tun. Wer also Sicherheitsbedenken hat im Internet: Vorsicht bei der Preisgabe von persönlichen Daten im Internet - und keine Angst vor Web Analytics Page Tags.

Wieder mal etwas Bewegung in der der seit letzten Sommer schwelenden Diskussion über die im Datenschutz begründete Rechtswidrigkeit in der Verwendung von Google Analytics und anderen Web Analytics Systemen (siehe diesem Post): Der Bundesverband Digitalte Wirtschaft (BVDW) bemüht sich um Aufklärung und äussert, dass der Einsatz von Google Analytics und anderen Web Analytics Systeme rechtmässig sei, sofern eine entsprechende Datenschutzerklärung auf der Website hinterlegt sei. Als Vorlage dafür soll der Vorschlag von Google selbst dienen, nämlich folgender Wortlaut:

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“) Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglicht. Die durch den Cookie erzeugten Informationen über Ihre Benutzung diese Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten der Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.“

Und was bedeutet die Aussage vom BVDW nun? Danke für das in die richtige Richtung zeigende Statement von einem Verband - eine Verbandsaussage löst die rechtliche Situation aber nicht. Solange nicht ein höheres Gericht geklärt hat, ob die IP-Adresse ein personenbezogenes Datum ist oder nicht und die Speicherungen der IP-Adresse rechtswidrig ist oder nicht, ändert sich die Ausgangslage nicht. Lässt sich einzig hoffen, dass die Gerichte durch weitere solche Aussagen endlich einen vernünftigen Entscheid fällen.

Solange gilt weiterhin als Empfehlung:

• Datenschutz-Erklärung im Minimum ähnlich obiger Formulierung auf der Website gut sichtbar verlinkt unterbringen

• Einverständnis des Benutzers mittels Checkbox (Opt-In) abholen, sobald persönliche Daten zum Beispiel in einem Kontaktformular erfragt und gespeichert werden

• Ort der Datenspeicherung von Web Analytics Daten beachten und wenn möglich Anbieter aus dem europäischen Raum bzw. mit Datencenter in Europa wählen (unterliegen ähnlichen Datenschutzbestimmung, härter als USA)

• Rechtliche Entwicklung weiterhin beobachten

Wann immer es um die Speicherung von Nutzerinformationen geht, ist Datenschutz ein Thema. Denn für die Speicherung von personenbezogenen Daten gibt es in vielen Staaten einschränkende Gesetzte, welche beachtet werden müssen. Erschwerend dabei ist, dass die Vorgaben von Staat zu Staat sehr unterschiedlich sein können. Währenddem sich die Gesetzgebung in den USA wenig einschränkend bezüglich dem Schutz von persönlichen Informationen gibt, ist dies in Europa wesentlich restriktiver gehandhabt.

Der grösste gemeinsame Nenner länderübergreifend ist jedoch das Bestreben, dass jede Person darauf Einfluss haben kann, welche Daten über sie gespeichert werden. Dies prägt sich meist in einer expliziten Erlaubnis durch den Betroffenen zur Datenspeicherung und einer Einsichtmöglichkeit über z.B. bei einer Unternehmung gespeicherten personenbezogenen Daten aus. Gleichzeitig soll mit entsprechenden gesetzlichen Vorschriften einer Person die Mittel gegeben werden, auf Verlangen die Löschung seiner Daten zu bewirken.

Im Endeffekt bedeutet dies, dass sobald man personenbezogene Daten speichert, man in den Wirkungsbereich solcher Datenschutz-Gesetzte gelangen kann. Entscheidend bei den Betrachtungen ist das Wort »personenbezogen«. Das heisst dass erst Daten, welche einer natürlichen Person zugeordnet werden können, unter die Betrachtungen fallen. Unpersönliche oder anonymisierte Daten irgendwelcher Natur damit grundsätzlich nicht betroffen.

Für Web Analytics Systeme heisst dies Folgendes: Nutzungsdaten, welche im Rahmen von Web Analytics Betrachtungen gespeichert werden, können nun in gewissem Masse und in bestimmten Staaten von diesen Bestimmungen tangiert werden. Mit den handelsüblichen Web Analytics Sytemen werden zwar grundsätzlich keine personenbezogenen Daten gespeichert – zumal ist in entsprechenden Auswertungen keinen Ruckschluss auf das Surfverhalten von Herr Müller oder Frau Meier möglich. Vielmehr interessiert in den Auswertungen ja auch gesamtheitliche Betrachtungen wie z.B. die Anzahl (anonymer) Besucher einer Website. Speichert man nun aber zu einem Website-Besucher noch persönliche Informationen – beispielsweise wenn dieser ein Kontakt-Formular ausfüllt und darin seine Personalien angibt – gelangt man in den Wirkungsbereich der Datenschutzgesetzte. Auch wenn sich Website-Besucher in einen personalisierten Bereich einloggen können, ist eine solche Zuordnung von anaonymen Daten zu Personalien möglich.

Soweit lassen sich personenbezogenen Datenspeicherung und die Speicherung von Website Nutzungsdaten noch gut voneinander trennen. In der Umsetzung muss man so einfach beachten, dass sobald ein Besucher persönliche Daten preisgibt – zum Beispiel bei der Anmeldung für einen Service oder der Kontaktaufnahme über ein Formular – seine Einwilligung zur Abspeicherung der Daten gibt. Mit einer einfachen Check-Box, welche der Benutzer bestätigen muss und dadurch seine Einwilligung gibt, lässt sich so etwas realisieren. Wichtig dabei ist allerdings noch, dass dies nach dem sogenannten »Opt-in-Verfahren« passiert, d.h. der Benutzer muss die Checkbox selbständig auswählen. Eine vorausgewählte Checkbox, welche der Benutzer deaktivieren müsste, um seine Einwilligung zu unterbinden (»Opt-out-Verfahren«) ist nicht ausreichend um seinen Willen Kund zu tun.

Nun hat aber darüber hinaus die Rechtsprechung einiger Staaten – und dazu zählt beispeilsweise auch Deutschland – eine etwas unterschiedliche Auslegen dessen, was als personenbezogenes Datum gilt und was nicht. Konkret ist beispielsweise die IP-Adresse ein solcher Graubereich zwischen personenbezug und anonym. Im Prinzip ist dabei eine IP-Adresse unpersönlich, d.h. sie kann von einem Website-Betreiber nicht mit verhältnismässigem Aufwand einer Person zugeordnet werden. In gewissen Ausnahmefällen ist dies aber möglich. Beispielsweise dann, wenn ein privater Benutzer über eine DSL-Leitung verbunden ist,  dabei explizit eine fixe (statt dynamisch zugeordnete) IP-Adresse bezieht und dahinter eine eigene Website betreibt, deren URL er wiederum unter seinem Namen bei einer Domain-Registrierungsstelle angemeldet hat. Unter diesen Umständen ist es mit vertretbarem Aufwand und mit verhältnismässig hoher Treffgenauigkeit möglich, eine IP-Adresse einer natürlichen Person zuzuordnen.
Würde man nun aufgrund dieser oder ähnlicher Ausnahmefälle die IP-Adresse als personenbezogenes Datum auslegen, dürfte man IP-Adressen nicht ohne explizite Einwilligung des Nutzers speichern. Da Web Analytics Systeme jedoch genau dies im Normalfall tun – und je nach Verfahren ja sogar die IP-Adresse zwingend benötigen, um verscheidene Besucher voneinander unterscheiden zu können – ist ein gewisses Konfliktpotenzial vorhanden.

In Deutschland ist  genau diese Diskussion zur IP-Adresse im Zusammenhang mit dem Telemediengesetz (TMG) entfacht worden. Konkret geht es darum, dass das Landesgericht Berlin die Speicherung der IP-Adresse als nicht gesetzteskonform erklärt hat. Unbedingt lesenswert zu diesem Thema ist folgender Post vom Rechtsanwalt Carsten Ulbricht, der im Endeffekt aussagt, dass Google Analytics heute in Deutschland nicht gesetzteskonform eingesetzt werden kann. Klingt nach einem schlechten Witz - scheint aber mit der derzeitigen Rechtsprechung tatsächlich so zu sein. Dann würd ich doch mal die Herren Richter dazu auffordern, sich mit Materie und Hintergründen nochmals auseinanderzusetzen!