Webanalyse-Tools und Auftragsdatenverarbeitung: welche Webanalyse-Tools können nach Inkrafttreten der Datenschutzgrundverordnung noch rechtssicher verwendet werden?
Die neue Datenschutzgrundverordnung sorgt für Verunsicherung und wirft viele Fragen auf, dazu gehört auch der Einsatz von Webanalyse-Tools und Auftragsdatenverarbeitung.
Webseitenbetreiber haben ein berechtigtes Interesse daran, mehr über ihre Besucher zu erfahren. Im Rahmen der DSGVO stellt sich für viele die Frage, ob sie das Webanalyse-Tool ihrer Wahl noch rechtssicher einsetzen können und ob sie einen AV-Vertrag (Vertrag zur Auftragsverarbeitung) abschließen müssen.
Da unsere Webagentur auf vielen Kundenwebsites Webanalyse-Tools einsetzt, haben wir uns intensiv mit dieser Fragen beschäftigt und stellen das Ergebnis für folgende Analysetools vor:
» Google Analytics
» Matomo (ehemals Piwik)
» Jetpack (WordPress-Stats)
» Statify
Webanalyse-Tools: wann ist ein Vertrag zur Auftragsdatenverarbeitung erforderlich?
Im Rahmen der neuen Datenschutzgrundverordnung (DSGVO) ist dann ein AV-Vertrag zwischen Auftraggeber und Auftragnehmer erforderlich, wenn der Auftraggeber dem Auftragnehmer benutzerbezogene Daten zur Verfügung stellt bzw. zugänglich macht.
Google Analytics
Am Beispiel von Google Analytics bedeutet das: setzen Sie als Webseitenbetreiber Google Analytics ein, so binden Sie im Quellcode der Website den zugehörigen Tracking-Code ein. Dieser sorgt dafür, dass Benutzeraufrufe erfasst und auf dem Server von Google gespeichert werden. Damit erhält Google Zugriff auf die Besucherdaten – unter anderem, woher die Besucher kommen, welche Seiten sie interessieren, wie lange sie auf der Website verweilen, mit welchem Gerät (Desktop-Computer, Tablet, iPad, Smartphone, iPhone) der Besuch erfolgt, etc. Google ist es in vielen Fällen (u.a. durch das Auslesen von Cookies) sogar möglich, Rückschlüsse auf das Alter und persönliche Interessen zu ziehen.
Damit diese Informationen nicht in direkte Relation mit einem bestimmten Benutzer gesetzt werden können, muss die IP unter anderem auf deutschen Webseiten anonymisiert werden. Diese Vorgabe sollte eigentlich dafür sorgen, dass die Benutzerdaten gar nicht in Korrelation mit einer bestimmten Person gesetzt werden können. Interessanter Weise besteht aber dennoch bereits seit 2016 die Verpflichtung, einen AV-Vertrag mit Google abzuschließen.
Jetpack / WordPress-Stats
Auch Jetpack erfasst über das in diesem WordPress-Plugin integrierten WordPress-Stats Benutzerdaten und stellt diese dem Online-Vermarkter Quantcast zur Verfügung. Damit ist es bei Verwendung von Jetpack erforderlich, einen AV-Vertrag mit WordPress abzuschließen. Weniger als drei Woche vor Inkrafttreten der DSGVO bietet WordPress aber noch immer keinen AV-Vertrag an.
Matomo
Wird Matomo auf dem eigenen Webserver betrieben, so erhält Matomo (bzw. die Firma Innocraft) keinen Zugriff auf die erhobenen Analysedaten. Somit ist in diesem Fall auch kein AV-Vertrag erforderlich. Anders sieht es aus, wenn Sie das Matomo Cloud-Hosting in Anspruch nehmen. Dann werden die Besucherdaten auf dem Matomo-Server gespeichert und Sie müssen einen Vertrag zur Auftragsdatenverarbeitung abschließen. Nach derzeitigem Kenntnisstand bietet das in Neuseeland ansässige Matomo weniger als 3 Wochen vor Inkrafttreten der DSGVO noch keinen solchen AV-Vertrag an.
Statify
Statify setzt weder Cookies ein, noch wird die IP-Adresse des Besuchers gespeichert und es wird auch keinerlei Technologie von Drittanbietern genutzt. Daher wird auch kein AV-Vertrag benötigt.
Muss in der Datenschutzerklärung auf Webanalyse-Tools hingewiesen werden?
Das hängt davon ab, wie sich das jeweilige Webanalyse-Tool verhält. Google Analytics, WordPress-Stats und Matomo setzen zum Tracking der Besucher Cookies ein. Auf diesen Einsatz müssen Sie in der Datenschutzerklärung hinweisen. Somit müssen Sie dort auch das jeweilige Webanalyse-Tool nennen. Außerdem müssen Sie dem Besucher die Möglichkeit einräumen, ein Opt-Out-Cookie zu setzen. Durch das Setzen eines solchen Cookies wird verhindert, dass sein Besuch getrackt wird.
Bei Matomo ist zu unterscheiden ob das Tool auf dem eigenen Server oder im Rahmen des Matomo Cloud-Hostings betrieben wird. Wird es im Rahmen des Cloud-Hostings eingesetzt, so erhält ebenso wie bei Google Analytics und WordPress-Stats ein Drittanbieter Zugriff auf die erfassten Nutzerdaten. Daher müssen Sie den Drittanbieter nennen und darüber Auskunft erteilen, wie der Drittanbieter die erhobenen Daten nutzt.
Hinweis: wir haben diese Informationen nach bestem Wissen und Gewissen zusammengestellt. Wir sind aber keine Fachanwälte und leisten keine Rechtsberatung. Für vorstehende Informationen übernehmen wir keine Haftung oder Gewähr.
Stichworte: Webanalyse-Tools und Auftragsdatenverarbeitung
0 Kommentare zu “Webanalyse-Tools und Auftragsdatenverarbeitung”