Websiteanalyse – juristische Fallstricke und wie Sie sie vermeiden

Juristische Anforderungen an WebSite-analyse Werkzeuge

Wenn Sie eine Website-Analyzer Software zur Websiteanalyse der Besucherströme einsetzen, um “mehr über Ihre Gäste” zu erfahren, sind Sie dabei, Personen-bezogene Daten im Sinne des BDSG zu verarbeiten.

Damit müssen Sie rechtliche Anforderungen an die Verarbeitung Personen-bezogener Daten beachten und sich damit auseinander setzen. Es spielt hierbei keine Rolle, ob Sie die Software bzw. die Auswertung auf dem eigenen Server einsetzen oder ob Sie sich der Dienste eines Dritten bedienen. Entweder “verarbeiten” Sie die Daten oder ein Dritter in Ihrem Auftrag. Die Verantwortung liegt beim Betreiber der WebSite.

Juristen können zu diesem Thema ganze Bücher und Vortragsveranstaltungen füllen. Das liegt nicht nur daran, dass Juristen gerne schreiben (denn damit verdienen sie ja einen Teil ihrer Einnahmen), sondern eben auch daran, dass die Materie einigermassen vielfältig und mitunter recht komplex ist. Wer sich in die Materie einarbeiten möchte, sollte jedenfalls die weiter unter verlinkten Dokumente entsprechend interessiert lesen und beachten.

Wer “nur” auf der sicheren Seite sein möchte, dem genügen als Einstieg vielleicht die folgenden Anmerkungen, die ausdrücklich KEINE Rechtsberatung darstellen.

Anforderungen

  • Anonymisierung der IP-Adressen
    Die zur Verarbeitung, genauer zur Analyse notwendige IP-Adresse des Besuchers muss vor der Speicherung anonymisiert werden. Dies kann regelmäßig durch das Ersetzen eines oder mehrerer Oktette der IP-Adresse durch z.B. Nullen geschehen.
    So sieht das dann aus: aus 213.160.88.22 wird entweder 213.160.88.0 oder 213.160.0.0 . Damit ist eine nachträgliche Rückverfolgung zu einer Person ausgeschlossen.
    Für Piwik steht ein spezielles Plug-In für diesen Zweck zur Verfügung.
  • Opt-Out-Möglichkeit
    Dem Gast muß die Möglichkeit zum “Widerspruch” zur Verfügung stehen. Das kann so umgesetzt werden, dass an sinnvoller Stelle, also beispielsweise im Impressum, ein “Opt-Out/Opt-In” angebracht wird. Ein entsprechender erklärender Text sollte hier ebenfalls angebracht werden. Dieser ist sehr sorgfältig zu formulieren. Es sollte ja nicht angekündigt werden, was nicht auch erfüllt wird. Für Piwik steht diese Möglichkeit zur Verfügung.
  • Daten-sparsamer Einsatz von Referrern
    Die sogenannten “Referrer” sollen “daten-sparsam” eingesetzt werden. Das bedeutet, dass nur die für den eigentlichen Zweck der Analyse tatsächlich notwendigen Daten wie Herkunft, Suchbegriffe etc. verwendet werden sollen. Ein privat betriebener Blog oder die Website eines kleines Vereines dürften dem entsprechend Referrer gar nicht einsetzen.
    Für Piwik steht ein spezielles Plug-In zur Verfügung.
  • Verbot der Datenzusammenführung
    Die bei der Analyse über den Besucher erhobenen und anonymisierten Daten dürfen nicht mit weiteren Daten, die beispielsweise bei einem Bestellvorgang erhoben werden, zusammengeführt werden. In diesem Zusammenhang empfiehlt es sich, dass das Werkzeug zur WebSite-Analyse nicht auf demselben System läuft, wie beispielsweise das Shop-System. Dann muss nur noch durch Arbeitsanweisung oder einfache Dokumentation “belegt” werden, dass eine Zusammenführung nicht stattfindet.
  • Verfallsdatum des Cookies
    Das beim Tracking eingesetzte Cookie hat, wie jedes andere auch, eine vordefinierte Lebensdauer. Diese beträgt meistens 12 oder 24 Monate. Es wird empfohlen, die Lebensdauer des Cookies auf eine Woche zu beschränken.
    Bei Piwik lässt sich die Lebensdauer der Cookies sekundengenau justieren.Anmerkung: da nach gültigem EU-Recht eine Information mit Opt-Out-Möglichkeit VOR dem erstmaligen Setzen eines Cookies notwendig ist, es aber derzeit kein “Best-Practice” für diese Anforderung gibt, ist eine formal rechtssichere Anwendung von gängigen Analyse-Werkzeugen eventuell wenigstens fraglich.