Piwik datenschutzkonform einsetzen

webanalyse 06
Fachbeitrag

Seit Jahren diskutieren die Aufsichtsbehörden über den datenschutzkonformen Einsatz von Webanalysetools.

Auf Grundlage der im November 2009 vom Düsseldorfer Kreis beschlossenen Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools wurde zwischen den Aufsichtsbehörden ein Einvernehmen erzielt. Das bekannteste Webanalysetool ist insoweit Google-Analytics, wobei hier eine Datenübertragung an Google stattfindet.

Es gibt aber auch Konkurrenzprodukte, eines davon ist Piwik, welches den Vorteil hat, dass selbiges auf den eigenen Rechnersystemen gehostet werden kann, so dass eine Datenübermittlung an Dritte nicht notwendig ist. Nachfolgend werden die Voraussetzungen für einen datenschutzkonformen Einsatz von Piwik dargestellt.

Was ist zu tun?

Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Webanalysetools unter Beachtung der Vorgaben der Aufsichtsbehörden grundsätzlich insgesamt fünf Punkte, die einzuhalten sind:

  1. Vertrag zur Auftragsdatenverarbeitung bei Übermittlungen an Dritte (§ 11 BDSG – Vertrag)
  2. Anonymisierung der IP-Adressen
  3. Widerspruchsrecht der Betroffenen
  4. angepasster Datenschutzhinweis
  5. ggf. Löschung von Altdaten (bei zuvor rechtswidrig eingesetzten Analysetools)

1. Vertrag zur Auftragsdatenverarbeitung

Ein Vertrag zur Auftragsdatenverarbeitung (§ 11 BDSG) mit dem Hersteller selbst ist bei Piwik im Gegensatz zu Google-Analytics nicht notwendig, da keine Daten an Piwik übermittelt werden.

Ein Vertrag gem. § 11 BDSG kann aber notwendig werden, wenn Piwik nicht auf den eigenen Rechnern, sondern auf fremden Rechnern (z.B. Outsourcing der IT) gehostet wird, denn dann werden Daten im Auftrag erhoben. Zugleich würde selbiges eine Kontrolle des Dienstleisters noch vor Beginn der Datenverarbeitung notwendig machen. Die Nichteinhaltung dieser Voraussetzungen sind bußgeldbewehrt (§ 43 Abs. 1 Nr. 2b BDSG).

2. Anonymisierung der IP-Adressen

Weiterhin muss die Erfassung der IP-Adressen anonymisiert werden. Dies geschieht durch Einsatz des Plugins AnonymizeIP, welches über den Menüpunkt „Einstellungen ->Plugins” erreichbar ist.

Die Einstellungen sollten dann wie folgt aussehen:

3. Widerspruchsrecht / 4. Anpassung der Datenschutzhinweise

Daneben ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt und der Nutzer auf die Verwendung seiner Daten und das Widerspruchsrecht hingewiesen wird (§ 13 Abs. 1 und § 15 Abs. 3 TMG).

Dabei empfiehlt es sich nach Möglichkeit das Widerspruchsrecht in den Datenschutzhinweisen zu integrieren. Der hierzu erforderliche Code muss dann entsprechend auf der Webseite eingebunden werden. Beispiel:

<iframe frameborder="no" width="600px" height="200px" src="http://www.example.com/x_piwik/index.php?module=CoreAdmin Home&action=optOut"></iframe>

Zu beachten ist hierbei, dass derzeit der Hinweistext auf Englisch erscheint. Eine Übersetzung muss manuell in der Datei /lang/en.php beziehungsweise /lang/de.php vorgenommen werden.

Die vollständigen Datenschutzhinweise sollten dann wie folgt aussehen:

Analysedienste

Unsere Website verwendet Piwik, dabei handelt es sich um einen sogenannten Webanalysedienst. Piwik verwendet sog. “Cookies”, das sind Textdateien, die auf Ihrem Computer gespeichert werden und die unsererseits eine Analyse der Benutzung der Webseite ermöglichen. Zu diesem Zweck werden die durch den Cookie erzeugten Nutzungsinformationen (einschließlich Ihrer gekürzten IP-Adresse) an unseren Server übertragen und zu Nutzungsanalysezwecken gespeichert, was der Webseitenoptimierung unsererseits dient. Ihre IP-Adresse wird bei diesem Vorgang umge­hend anony­mi­siert, so dass Sie als Nutzer für uns anonym bleiben. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden nicht an Dritte weitergegeben. Sie können die Verwendung der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern, es kann jedoch sein, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können.

Wenn Sie mit der Spei­che­rung und Aus­wer­tung die­ser Daten aus Ihrem Besuch nicht ein­ver­stan­den sind, dann kön­nen Sie der Spei­che­rung und Nut­zung nachfolgend per Maus­klick jederzeit wider­spre­chen. In diesem Fall wird in Ihrem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass Piwik kei­ner­lei Sit­zungs­da­ten erhebt. Achtung: Wenn Sie Ihre Cookies löschen, so hat dies zur Folge, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von Ihnen erneut aktiviert werden muss.

Widerspruch:

Gerne kann unsere Formulierung unter Angabe der Quelle www.datenschutzbeauftragter-info.de übernommen werden.

5. Löschung von Altdaten (bestehende Analyseprofile)

Es ist zu beachten, dass die Anpassungen nur neue Analyseprofile erfassen. Zuvor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Stand: 28.12.2011

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonformer Einsatz von Webanalyse-Tools, wie z.B. Google Analytics und Piwik
  • Prüfung und Gestaltung der Datenschutzerklärung auf Ihrer Website
  • Erstellung und Anpassung erforderlicher datenschutzrechtlicher Vereinbarungen

Informieren Sie sich hier über unser Leistungsspektrum: Webanalyse und Datenschutz

20 Kommentare zu diesem Beitrag

  1. Die Frage zur Cookie-Lifetime wird in diesem Artikel überhaupt nicht (mehr) behandelt. Kein Thema mehr für den Datenschutz? Ich denke schon!
    Da auch ich mich mit Piwik und dem Datenschutz befasse, habe ich im September 2011 einen Artikel über die Cookie-Problematik auf redirect301.de veröffentlicht. Dies hilft sicherlich auch dem einen oder anderen Leser dieser Seite weiter.

    Den OptOut-Iframe-Text habe ich bei meinen Piwik-Installationen bisher immer auf deutsch angezeigt bekommen. Wurde hier bei den Installationen hier eventuell “englisch” ausgewählt? Nichts desto Trotz kann man natürlich in den Sprachdateien Anpassungen vornehmen. Das Problem ist jedoch, dass nach einem Piwik-Update die eigenen Änderungen überspielt werden. Hier muss wohl derzeit jeder für sich einen entsprechenden Workaround finden.

  2. Guten Tag, mich würde interessieren, ob ich mit meinem Provider bei dem ich für meine Webseite einen Webserver angemietet habe auch einen Vertrag zur Auftragsdatenverarbeitung abschließen muss? Ich meine die wenigsten Firmen haben einen eigenen Server im Haus stehen sondern meist bei einem Provider oder in dessen Rechenzentrum.

    Mit Gruß
    Marion

    • Da sprichst Du ein spannendes Thema an!

      Die rechtliche Zuordnung ist beim sog. Webhosting umstritten. Es werden in der Literatur beide Auffassungen, pro und contra Auftragsdatenverarbeitung, vertreten. Je nach dem Inhalt des gehosteten Objekts kann eventuell eine Auftragsdatenverarbeitung vorliegen. Die deutschen Aufsichtsbehörden gehen anscheinend zumindest von einer Datenverarbeitung im Sinne des § 11 BDSG aus, wenn auf dem Webspace ein Online-Shop betrieben wird. Als Anhaltspunkt für das Vorliegen eines § 11-Verhältnisses könnte demnach das Erheben und Verarbeiten von personenbezogenen Daten im Rahmen des Webseiten-Betriebs dienen. Allerdings existiert (noch) keine einheitliche Regelung, die für Webseiten-Betreiber Rechtssicherheit gewährleisten würde. Im Zweifel ist es wohl empfehlenswert bei Vorliegen eines Personenbezugs vorsichtshalber einen § 11-Vertrag abzuschließen.

  3. Hallo.
    Ich habe jetzt die Sache mit der Löschpflicht noch nicht so ganz verstanden. Ich hatte es bisher so verstanden, daß man sowieso verpflichtet ist die gespeicherten Daten schnellstmöglich zu löschen? So in etwa innerhalb von 4 Wochen.
    Hab ich da jetzt irgendetwas falsch verstanden oder existiert da kein konkretes Zeitfenster?
    Gruß, Max

    • Daten sind gemäß § 35 Abs. 2 Nr. 3 BDSG zu löschen, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Dabei ist der Grundsatz der Datensparsamkeit und -vermeidung zu beachten, wonach so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen sind.

      Daher ist die Frage, wie lange Daten aufbewahrt werden dürfen, oft eine vom Einzelfall abhängige. Dabei kommt es auch darauf an, ob es überhaupt um personenbezogene Daten geht. Wenn eine Anonymisierung der IP-Adressen vorgenommen wird, handelt es sich faktisch nicht mehr um personenbezogene Daten.

    • Das Urteil des Landgerichts Frankfurt am Main ist schon in seiner Deutlichkeit beachtlich. Demnach ist der Nutzer auch bei pseudonymisierten Analysen verpflichtet, „den Nutzer zu Beginn des Nutzungsumfang und später jederzeit abrufbar auf die Widerspruchsmöglichkeit hinzuweisen“.

      Derzeit noch nicht geklärt ist dabei, ob ein Hinweis in der Datenschutzerklärung, welche sowohl von der Startseite, als auch jeder Unterseite abrufbar, ausreichend ist. Als Beispiel einer ausreichenden Abrufmöglichkeit führt das Landgericht dabei eine „Einbindung in den Nutzervorgang indem der Nutzer zwangsläufig mit den Informationnen in Berührung kommt“ oder „ein deutlich hervorgehobener Hinweis mit einem Hyperlink auf der Startseite vorhanden ist“. Eine nicht versteckte, prominenter oder hergehobene Verlinkung auf die Datenschutzerklärung könnte und sollte damit ausreichend sein.

  4. Hallo,
    ich habe noch eine andere Frage: Webhoster, so wie Alfahosting, bieten automatisch eine Auswertung über AwStats oder andere Analysetools an. Zumindest bei Alfahosting erfolgt die Erfassung der IPs ohne Anonymisierung.
    Beim Abschluss eines Kontos beim Webhoster, wird das automatisch eingerichtet, ohne explizit darauf hinzuweisen. Meine Anfrage, ob das datenschutzkonform ist, wurde unkonkret beantwortet. Ebenso meine Anfrage, ob es dafür eine Formulierung gibt, die ich auf meiner Webseite einbinden kann. Mir wurde lediglich mitgeteilt, dass ich auf schriftliche Anfrage das Tool abschalten kann.

    Wie geht man datenschutzrechtlich korrekt mit den Analysetools der Webhoster um? Kann man sie unbedenklich nutzen oder muss man sie abschalten, oder gibt es eine Formulierung dazu, die auf den Webseiten eingebunden werden kann?
    Vielen Dank vorab für jeglichen Hinweis!
    Katja

  5. Guten Tag,

    Verfolge das Thema nun auch schon ein paar Jahre! Besser wird’s anscheinend nicht!? Leider!

    1. Mich interessiert ebenfalls die gleiche Frage wie meine Vorkommentiererin Katja.

    2. Außerdem, welche Verantwortung trifft eigentlich die Anbieter (und Tool-Verwalter) fertiger Blog- und Seitenangebote. Bei denen man praktisch fix und fertig die Software samt Analysetools bereitgestellt bekommt. Zum Beispiel: 1blu – myblog = AWStats oder jimdo – proVersion = google analytics, 1&1…) Die müssten das doch wissen? Und vor allem ihre in Deutschland angebotenen Dienstleistungen datenschutzkonform anbieten, oder? Warum verweisen diese Anbieter (auch Alfahosting, 1blu etc.) nur auf Entweder-oder-Lösungen: “Wir schalten das Tool ab oder wir lassen das Tool an, modifizieren können/werden wir es nicht.”

    Auch nach mehrmaligem nachfragen und Verweise auf den aktuellen Datenschutz, weiß man dort angeblich von überhaupt nichts und sieht sich auch gar nicht zum Handeln bewegt, die Tools entsprechend anzupassen.

    Danke für eine kurze Antwort.

    Beste Grüße Günther

    PS: Welche Verantwortung trifft den Tech-C und Zone-C Inhaber?

  6. Hallo,

    also wenn ich als Agentur Hosting anbiete und für die Kunden dann PIWIK installiere, dann muss ich auch einen Vertrag zur Auftragsdatenverarbeitung abschließen?

    • Die Antwort auf Ihre Frage hängt davon ab, ob Sie weisungsgebunden für Ihren Kunden tätig sind, also die im Rahmen des Hostings verarbeiteten personenbezogenen Daten nur für den jeweiligen Kunden verarbeiten oder ob Sie diese Daten für eigene Zwecke (z.B. eigene Werbung) verarbeiten.
      Im ersten Fall fungieren Sie im Verhältnis zum Kunden als sog. Auftragsdatenverarbeiter und zwischen dem Kunden und Ihnen müsste ein Auftragsdatenverarbeitungsvertrag nach den Anforderungen des § 11 BDSG geschlossen werden. Dies gilt unabhängig davon, ob Sie ein Webanalysetool für den Kunden einsetzen. Es genügt bereits, wenn im Rahmen des Hostings für den Kunden personenbezogene Daten bei Ihnen auflaufen, z.B. durch Eingabeformulare auf der Website, in welche die User Daten eingeben.
      Im zweiten Fall wären Sie vermutlich eher selbst als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen (dann Funktionsübertragung hinsichtlich der verarbeiteten personenbezogenen Daten). In diesem Fall läge keine Auftragsdatenverarbeitung vor, so dass auch kein Auftragsdatenverarbeitungsvertrag geschlossen werden müsste. Eine pauschale Aussage lässt sich aber aufgrund der vorliegend fehlenden Informationen nicht treffen. Es sind auch immer die konkreten Umstände des Einzelfalls zu betrachten, wenn es um die Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung geht.

      Von dem zuvor Beschriebenen ist aber noch abzugrenzen, dass Ihr Kunde, wenn Sie für diesen ein Analysetool wie Google Analytics verwenden, Ihr Kunde datenschutzrechtlich für die mittels Analysetool verarbeiteten personenbezogenen Daten verantwortlich ist und mit den Anbietern der Analysetools, wiederum einen Auftragsdatenverarbeitungsvertrag abschließen muss. Das ist z.B. bei Google Analytics , nicht aber bei Piwik (siehe Beitrag) erforderlich.

  7. Sehr geehrter Herr Logemann, nach dem interessanten Artikel zu Piwik mit Hinweisen, was bei Google Analytics nicht erfüllt ist, vermutete ich, dass Sie bei der vorliegenden Website und bei der Ihrer AG Piwik einsetzen. Dem ist nicht so. Sie setzen hier, wie dort Google Analytics ein. Könnte das etwa daran liegen, dass Google Analytics Ihren werblichen und kommerziellen Interessen mehr dient?
    Mit freundlichen Grüßen

    Timotheus Adam

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen.