Jetpack und Datenschutzgrundverordnung. Jetpack und Auftragsdatenverarbeitung.

Was müssen Webseitenbetreiber beachten, um Jetpack auch im Rahmen der Datenschutzgrundverordung (DSGVO) rechtssicher zu nutzen?

Jetpack und Datenschutzgrundverordnung: Jetpack ist ein praktisches WordPress-Plugin mit vielen interessanten Features. Doch was ist im Kontext zwischen Jetpack und Datenschutzgrundverordung zu beachten?

So komfortabel und einfach Jetpack auf den ersten Blick erscheint: das Plugin hat seine Tücken. Nach der Installation und Aktivierung müssen Sie lediglich noch die Website bei WordPress anmelden und schon werden Ihnen im Redakteurbereich schick aufbereitetet statistische Daten bereitgestellt.

Werden keine möglichst detaillierten Analysen benötigen, so stellt Jetpack auf den ersten Blick eine interessante Alternative zu Analysetools wie Google Analytics oder Matomo / Piwik dar.

Auf den zweiten Blick offenbart sich allerdings, dass die Besucheranalyse mit Jetpack ihre dunklen Seiten hat und es Gründe dafür gibt, besser die Finger von Jetpack zu lassen. Was konkret spricht gegen die Nutzung von Jetpack?:

1. Jetpack und Datenschutzgrundverordnung: Einen Vertrag zur Auftragsdatenverarbeitung mit WordPress abschließen

Die Datenschutzgrundverordnung fordert, dass bei der Verarbeitung benutzerbezogener Daten ein Vertrag zwischen Auftraggeber und Auftragnehmer abgeschlossen wird. Ein solcher Vertrag hieß bisher „Auftragsdatenverarbeitungs-Vertrag“ bzw. kurz AV-Vertrag. Im Zuge der DSGVO ändert sich der Begriff zu „Auftragsdaten-Vertrag“.

Das Problem: WordPress bietet offenbar bis heute keinen solchen Vertrag an. Die Problematik Jetpack und Datenschutzgrundverordnung wird auch im WordPress eigenen Forum diskutiert.

2. Vermarktung der Analysedaten

Während andere Unternehmen wie Google oder Facebook längst reagiert haben und AV-Verträge anbieten, tut das WordPress bisher nicht. Nun könnte man argumentieren, dass WordPress seinen Firmensitz in den USA hat und dort eine wesentlich geringere Sensibilität in Bezug auf persönliche Daten vorhanden ist. Nur: Google und Facebook sitzen gleich nebenan und den Branchenriesen ist sehr wohl bewusst, dass sie europäische „Spielregeln“ einhalten müssen, wenn sie ihre Dienstleistungen in Europa anbieten.

Bei Jetpack stellt sich das Problem, dass die generierten Analysedaten durch die Firma Quantcast vermarktet werden. Daher müssen Webseitenbetreiber bei der Verwendung von Jetpack schon seit längerer Zeit in ihrer Datenschutzerklärung darauf hinweisen. Dies geschieht üblicher Weise unter dem Punkt Datenschutzerklärung bezüglich Nutzung von WordPress Stats. Bereits 2011 hat der Rechtsanwalt Dr. Schwenke darauf hingewiesen, dass das WordPress.com-Stats-Plugin als Trojaner für Werbetracker fungiert. Denn Quantcast erstellte mit Hilfe von Cookies Nutzerprofile. Eine Funktionalität, welcher der Nutzer nicht widersprechen konnte – beispielsweise durch das Setzen eines Opt-Out-Cookies. Nach heftiger Kritik an dieser Vorgehensweise hat Quantcast zugesagt, die Benutzer-IPs künftig zu anonymisieren und einen Link für das Setzen eine Opt-Out-Cookies bereitgestellt.

Doch damit nicht genug: ergänzend setzt WordPress zum Tracken der Benutzer ein Comscore-Beacon ein. Wer eine rechtssichere Datenschutzerklärung bereitstellen möchte, muss die Besucher also umfangreich aufklären.

Unabhängig von den Vorschriften der DSGVO sollten sich Webseitenbetreiber und Webagenturen grundsätzlich fragen, ob die Nutzung des in Jetpack integrierte Statistik-Tools eine gute Idee ist und das nicht nur im Hinblick auf Jetpack und Datenschutzgrundverordnung. Es bleibt trotz Zugeständnisse von Seiten WordPress‘ und Quantcast in Bezug auf den Datenschutz ein fader Beigeschmack.

Tracking mit DoNotTrack verhindern

Lange Zeit konnten sich Nutzer mit dem Plugin DoNotTrack von Frank Goossens behelfen. Damit ließ sich wohl auch der Konflikt zwischen Jetpack und Datenschutzgrundverordnung lösen. Denn mit DoNotTrack wird der Quantcast-Code unterdrückt und die Erstellung von Nutzerprofilen verhindert. Somit ersparte sich der Webseitenbetreiber sogar entsprechende datenschutzrechtliche Hinweise in der Datenschutzerklärung. Leider wurde DoNotTrack zuletzt vor 2 Jahren aktualisiert und ist nur bis WordPress in Version 4.6.11 getestet.

3. Kein Recht auf Vergessenwerden

Haben Sie schon einmal Domains in Ihrem WordPress-Account hinterlegt?

Beispielsweise um darüber die Anmeldung bei verschiedenen WordPress-Installationen zu managen? Oder Mittels Jetpack Informationen über die Besucher zu beziehen? Dann kennen Sie vermutlich das Problem: das Anmelden neuer Domains ist kein Problem, sie anschließend zu löschen hingegen unmöglich. Das erinnert an das Gebare des frühen Google-Mails (GMail) wo keine Löschfunktion integriert war. Was Google geschmeidig damit begründet hat, dass die Benutzer so viel kostenlosen Speicherplatz erhielten, dass eine Löschfunktion überflüssig sei.

Das „Recht auf Vergessenwerden“ ist nun allerdings auch in der DSGVO verankert. Daher besteht von Seiten WordPress dringender Handlungsbedarf – zumindest im Hinblick auf in der EU ansässige Nutzer.

Fazit: solange WordPress keinen Vertrag zur Auftragsdatenverarbeitung bereitstellt sollte auf den Einsatz von Jetpack unbedingt verzichtet werden. Webseitenbetreiber sind gut beraten, Jetpack zu deaktivieren oder direkt zu löschen.

Alternativen zu Jetpack

Statify

Im Bereich der WordPress-Plugin-Lösungen bietet sich Statify an. Dieses Plugin setzt weder Cookies ein, noch speichert es die IP-Adresse des Besucher und nutzt auch keine Technologien von Drittanbietern.

» Mehr über Statify erfahren

Statify macht genau das, was es soll. Statt Daten an Dritte zu übermitteln (die diese zu Vermarktungszwecken nutzen können) werden lediglich

• die Besucher gezählt
• erfasst, wo die Besucher herkommen
• und es wird angezeigt, welche Inhaltsseiten wie oft aufgerufen werden.

In Bezug auf den Funktionsumfang kann Statify nicht mit Google Analytics oder Matomo mithalten. Vielen Webseitenbetreibern und Agenturen reichen die vorgenannten Informationen aber vollkommen aus. Insbesondere fehlt vielen Webseitenbetreibern die Zeit und Motivation, sich in die umfangreichen Features von Google Analytics einzuarbeiten.

Google Analytics

Wer detaillierte Analyse über seine Besucher benötigt, kommt um Google Analytics kaum noch herum. Doch zu welchem Preis? Alle Informationen werden auf den Google-Servern gespeichert, ausgewertet und miteinander verknüpft. Die Entwicklung komplexer Software wie Google Analytics hat ihren Preis. Exzellente Entwickler haben lange an deren Realisation gearbeitet. Dennoch werden solche Tools kostenlos angeboten. Das sollte zu denken geben. „Kostenlos“ bedeutet nicht „umsonst.“ Sie bezahlen nicht in US-Dollar oder Euro, sondern indem Sie die Daten Google bereitstellen.

Immerhin: im Gegensatz zu WordPress bietet Google schon seit einigen Monaten einen Vertrag zur Auftragsdatenverarbeitung an, den Sie digital (per Checkbox und Absendebutton) betätigen können. Diese Möglichkeit wird von der DSGVO explizit erlaubt. Bisher erforderte das Bundesdatenschutzgesetz noch schriftliche Verträge mit Unterschrift beider Vertragspartner. Dazu musste ein 18-seitiger Vertrag zur Auftragsdatenverarbeitung mit Google ausgedruckt und nach Irland geschickt werden

Matomo / Piwik

Matomo (ehemals Piwik) schafft den Spagat zwischen Besucheranalyse und Datenschutz. Zwar sind die statistischen Daten weniger umfangreich als bei Google Analytics. Aber wesentlich detaillierter als beispielsweise bei Statify. Zudem lässt sich die statistische Ausgabe der Benutzerdaten in WordPress integrieren und so komfortabel vom Webseitenbetreiber einsehen. Hier erfahren Sie mehr über Matomo / Piwik.

Hinweis: wir haben diese Informationen nach bestem Wissen und Gewissen zusammengestellt. Wir sind aber keine Fachanwälte und leisten keine Rechtsberatung. Für vorstehende Informationen übernehmen wir keine Haftung oder Gewähr.

Stichworte: Jetpack und Datenschutzgrundverordnung, Jetpack DSGVO, Jetpack Auftragsdatenverarbeitung