Laut einer aktuellen Studie des IT-Beratungsunternehmens Xamit verstoßen viele in Deutschland populäre Webstatistik-Tools gegen deutsche Datenschutzgesetze. Gerade einmal fünf von insgesamt elf getesteten Tools seien überhaupt legal nutzbar und dies auch nur nach Anpassungen.
Lesen Sie, welche Tools in der Studie durchgefallen sind
Update: Die Studie ist inzwischen aktualisiert worden.
Die bereits im April erstmals vorgestellte Studie, in der verschiedene Webstatistik-Dienste auf die Möglichkeit zum rechtskonformen Einsatz untersucht werden, sorgte von Anfang an für reichlich Aufregung und Unmut in der Branche.
Nach massiver Kritik einzelner Anbieter hinsichtlich der Objektivität und Aussagekraft wurde die Studie mehrfach aktualisiert. Die Ergebnisse des inzwischen 4. Updates der Xamit-Studie sind aber nach wie vor ernüchternd.
Die Studie orientiert sich insbesondere an den Vorgaben des Düsseldorfer Kreises, einem informellen Zusammenschluss der obersten Datenschutzbehörden, die im November letzten Jahres in einem gemeinsamen Beschluss einen Kriterienkatalog für den datenschutzkonformen Einsatz von Webanalyse-Verfahren definiert haben.
Die Kriterien des Düsseldorfer Kreises nennen
- Informationspflichten der Betreiber
- technische und organisatorische Anforderungen an Statistikdienstleister und
- Anforderungen an den Vertrag zwischen Betreiber und Statistikdienstleister
Die Studie kommt zu dem Ergebnis, dass gegenwärtig lediglich fünf der getesteten Tools legal in Deutschland genutzt werden dürfen. Nach individuellen Anpassungen können demnach Econda, eTracker, Stats4Free, Webtrends und WiredMinds datenschutzkonform eingesetzt werden.
Jedoch muss der Betreiber die entsprechenden Datenschutzoptionen erst einstellen.
Neben der richtigen Konfiguration des jeweiligen Tools, sei zudem eine Vereinbarung zur Auftragsdatenverarbeitung (§ 11 BDSG) erforderlich, die zur Zeit nur von eTracker standardmäßig bereitgestellt werde. Bei den übrigen Anbietern müsse dies individuell gelöst werden, um den gesetzlichen Vorgaben zu entsprechen.
Betreiber müssen deshalb Individualverträge abschließen oder eine Umgestaltung sämtlicher Standardverträge bzw. der AGB fordern.
Die übrigen getesteten Dienste sind der Studie zufolge nicht legal nutzbar. Es handelt sich hierbei um den Marktführer Google Analytics sowie die Tools von Nedstat, Omniture, StatCounter, Webtrekk und Woopra, die allesamt an den Kriterien des Düsseldorfer Kreises scheitern.
Alle übrigen Dienstleister stolpern insbesondere über
- die Nutzung von unverkürzten IP-Nummern für eine Geolokalisation und
- die fehlende Widerspruchsmöglichkeit gegen die Profilbildung
Die Open-Source-Lösungen Piwik und phpmyVisites (Vorgänger von Piwik) wurden in der Studie nicht berücksichtigt, denn:
Piwik und phpmyVisites werden in Eigenregie eingesetzt, d.h. ob sie gesetzeskonform genutzt werden, liegt in der Hand eines jeden Anwenders. Deshalb wurden beide Programme in der folgenden Bewertung nicht berücksichtigt.
Bei allen getesteten Diensten handele es sich ausschließlich um eingekaufte Dienstleistungen, wobei bei kostenfreien Diensten, wie etwa Google Analytics, mit den Nutzungsprofilen der Internetnutzer „bezahlt“ werde.
Marktführer Google Analytics sei der Studie zufolge auch nach den kürzlich von Google vorgestellten Nachbesserungen, nach wie vor nicht mit dem deutschen Gesetz vereinbar.
So stelle die angebotene Browsererweiterung lediglich eine herstellerspezifische Lösung dar, die nur mit wenigen Browsern funktioniere und zudem nicht die Übertragung der vollständigen IP-Adresse unterbinde:
Weil das Skript auch bei aktiver Erweiterung geladen wird, erfährt Google trotzdem die IP-Nummer des Besuchers.
Update:
Die Studie ist erneut aktualisiert worden. Hier erfahren Sie mehr über das inzwischen bereits fünfte Update.
Wer rechtlichen Problemen aus dem Weg gehen möchte, sollte beim Einsatz von Webanalyse-Diensten darauf achten, dass ohne ausdrückliche Einwilligung des Nutzers keine vollständigen IP-Adressen verarbeitet werden und Nutzungsprofile ausschließlich unter Verwendung von Pseudonymen erstellt werden.
Außerdem sollte in der Datenschutzerklärung transparent über die Verwendung des Analyse-Tools informiert werden und ein Widerspruchsrecht eingeräumt sein. Zudem sollte die Auftragsdatenverarbeitung mit dem jeweiligen Dienstleister gemäß § 11 BDSG schriftlich vereinbart werden.