Webstatistiken sind ein wichtiges Werkzeug zur Optimierung von Webseiten. Die hierfür eingesetzten Tools werden jedoch immer wieder von Datenschützern kritisiert, allen voran Marktführer Google Analytics. Wie schon im letzten Jahr beurteilte nun das IT-Beratungsunternehmen Xamit erneut die Zulässigkeit der wichtigsten Tools.

Lesen Sie, welche Tools laut Studie nicht legal nutzbar sind Am 10. August ist die sogenannte Xamit-Studie, in der verschiedene Webanalyse-Dienste auf die Möglichkeit zum rechtskonformen Einsatz untersucht werden, erneut aktualisiert worden. Die vollständigen Ergebnisse des inzwischen 6. Updates seit der Erstveröffentlichung am 28. April 2010 sind hier abrufbar.

Vorgaben der Datenschutzbehörden maßgeblich

Maßgeblich für die von Xamit aufgestellten Prüfkriterien sind die Vorgaben der Datenschutzbehörden, die im November 2009 als “Düsseldorfer Kreis” gemeinsam einen Kriterienkatalog für datenschutzkonforme Webanalyse vorgelegt haben. Zu den Kriterien gehören insbesondere

  • Informationspflichten des Betreibers (Hinweis auf die Erstellung von Nutzungsprofilen)
  • technische und organisatorische Anforderungen an den Statistikdienstleister (Widerspruchsmöglichkeit, Datenlöschung, Verkürzung der IP-Adresse etc.)
  • Anforderungen an den Vertrag zwischen Shopbetreiber und Dienstleister (da Auftragsdatenverarbeitung gemäß § 11 BDSG)

Nur sechs Tools legal nutzbar

Die Studie untersucht 11 Statistikdienstleister, die insgesamt 91,4 % des deutschen Marktes abdecken. Davon seien im Ergebnis gegenwärtig nur 6 Tools datenschutzkonform einsetzbar:

„Nun können Webseitenbetreiber zwischen sechs getesteten Anwendungen zur legalen Reichweitenmessung wählen: Die Dienste von Econda, eTracker, stats4free, Webtrends, Webtrekk und WiredMinds ermöglichen eine datenschutzkonforme Verwendung.“

Sowohl eTracker als auch Econda stellten eine „Vereinbarung zur Auftragdatenverarbeitung“ bereit, nach deren Unterzeichnung das Tool legal genutzt werden könne.

Bei stats4free, Webtrends, Webtrekk und WiredMinds sei eine legale Nutzung bei Abschluss eines entsprechenden Individualvertrages möglich.

Ãœbrige Tools nicht datenschutzkonform

Die übrigen getesteten Dienste sind der Studie zufolge in Deutschland nicht legal nutzbar. Es handelt sich hierbei um den Marktführer Google Analytics sowie die Tools von Nedstat, StatCounter und Woopra, die allesamt an den Kriterien des Düsseldorfer Kreises scheitern:

„Alle übrigen Dienstleister stolpern insbesondere über

  • die Nutzung von unverkürzten IP-Nummern für eine Geolokalisation und
  • die fehlende Widerspruchsmöglichkeit gegen die Profilbildung.“

Es wird von den Verfassern vermutet, dass auch Omniture die Kriterien nicht erfüllt, allerdings könne dies nicht mit Sicherheit festgestellt werden, da z.B. Informationen über eine Verkürzung der IP-Adresse fehlten:

„Deshalb können wir nicht bewerten, ob die Anforderungen an eine Auftragsdatenverarbeitung erfüllt sind oder nicht.“

Piwik nicht berücksichtigt

Die kostenlose Open-Source-Lösung Piwik blieb in der Studie unberücksichtigt. Da dieser Dienst in Eigenregie eingesetzt werde, läge die gesetzeskonforme Nutzung in der Hand des Anwenders.

Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat jedoch im März dieses Jahres einen Leitfaden veröffentlicht, in dem erläutert wird, wie Piwik datenschutzkonform genutzt werden kann.

Fazit

Die Ergebnisse der Studie haben sich seit dem 5. Update vor einem Jahr kaum verändert. Demnach entsprechen viele Analyse-Tools nach wie vor nicht den deutschen Datenschutzbestimmungen und bergen daher rechtliche Risiken:

Wer eine nicht datenschutzkonforme Webstatistik erstellt, riskiert damit ein Bußgeld von bis zu 50.000 Euro. Für Mängel in vertraglichen Regelungen mit einem Statistik-Dienstleister können noch einmal bis zu 50.000 Euro hinzukommen.

Unser Tipp für Shopbetreiber

Wer rechtlichen Problemen aus dem Weg gehen möchte, sollte beim Einsatz von Webanalyse-Diensten darauf achten, dass ohne ausdrückliche Einwilligung des Nutzers keine vollständigen IP-Adressen verarbeitet werden und Nutzungsprofile ausschließlich unter Verwendung von Pseudonymen erstellt werden.

Außerdem sollte in der Datenschutzerklärung transparent über die Verwendung des Analyse-Tools informiert werden und ein Widerspruchsrecht eingeräumt sein. Zudem sollte die Auftragsdatenverarbeitung mit dem jeweiligen Dienstleister gemäß § 11 BDSG schriftlich vereinbart werden.

Lesen Sie mehr zum Thema Datenschutz

?
image_pdfPDFimage_printDrucken