Die Möglichkeit der Auswertung und Analyse der Besucher sowie ihr Surfverhalten tragen entscheidend zum Erfolg eines Webangebots bei. Webtracker, wie Google Analytics oder Matomo (ehemals Piwik), bieten für diesen Zweck professionelle und einfach zu implementierende Lösungen an.
Dabei gibt es einen großen Unterschied: bei der Nutzung von Drittanbietern (hier Beispiel Google Analytics) werden Daten an Dritte übermittelt. Bei den sog. „Selfhosting-Lösungen“, wie die von Matomo, erfolgt keine Übermittlung an Dritte, da die Software vollständig auf dem eigenen Server installiert wird.
In jedem Fall gelten auch hier besondere Spielregeln. So dürfen IP-Adressen nur anonymisiert gespeichert werden. Google Analytics bietet hier mit der Funktion anonymizeIP eine entsprechende Option an.
Die Datenschutzerklärung muss über einen Passus erweitert werden, in dem exakt angegeben wird, wie und zu welchem Zweck die Besucherdaten gespeichert werden, sowie die Angabe, an wen sie weitergegeben werden. Auch muss es jederzeit möglich sein, der Erfassung der Daten über eine sog. „Opt-Out“-Funktion zu widersprechen.
Da es sich beispielsweise beim Einsatz von Google Analytics um eine Weitergabe von Daten an Dritte handelt, muss ein entsprechender Auftragsverarbeitungsvertrag mit Google geschlossen werden. Dieser Vertrag kann ausgedruckt und unterschrieben an Google zugeschickt oder direkt auf der Webseite von Google Analytics (Kontoeinstellungen > Zusatz anzeigen) online geschlossen werden.
Hinweis: Tracking nur noch mit Einwilligung
Am 26. April 2018 hat die Datenschutzkonferenz (DSK) ein Positionspapier zum Umgang mit personenbezogenen Daten veröffentlicht.
Unter anderem wurde auch das Thema Tracking behandelt. Die DSK ist der Auffassung, dass Tracking nur noch einer legitimen Zustimmung des Nutzers (Einwilligung) einsetzbar ist. Dieses Positionspapier ist unter Juristen und Datenschutzexperten höchst umstritten. Erst richterliche Urteile werden das Thema wohl abschließend klären. Strittig ist zudem auch, ob diese Auffassung auch für selbst gehostete Tracker wie Matomo gilt. Hierbei werden keine Daten weitergegeben, es erfolgt demnach keine Analyse eines Surfverhaltens.
Es ergeben sich daher folgende Risikoszenarien:
- Einsatz von Google Analytics mit Opt-Out
Gehostet bei einem Drittanbieter
Möglichkeit der Analyse des Surfverhaltens über die eigene Webseite hinweg
» hohes Risiko
- Einsatz von Matomo mit Opt-Out
Gehostet auf eigenem Server
Keine Weitergabe an Dritte
Keine Möglichkeit der Analyse
» erhöhtes Risiko
- Einsatz von Google Analytics oder Matomo mit Opt-In (Einwilligung)
Tracking darf erst nach informierter Einwilligung eingesetzt werden
Kopplungsverbot muss beachtet werden
» Gemäß DSK unstrittig