Im Online-Marketing hat sich die Webanalyse zu einem unverzichtbaren Instrument entwickelt. Schließlich möchten Unternehmen genau wissen, wie viele Besucher sich auf ihren Webseiten bewegen und wie gut die einzelnen Marketingmaßnahmen wirken. Als Folge werden Daten erhoben, die Auskunft darüber geben, wie viele Nutzer sich zu welchem Zeitpunkt auf einer Website bewegen und woher die Nutzer stammen. Diese und viele weitere Daten gestatten es, Website und Marketing gezielt zu optimieren.

Beim Erheben der Daten muss jedoch Vorsicht angebracht sein, insbesondere im Hinblick auf die geltenden Datenschutzbestimmungen. Die Webanalyse sollte unbedingt datenschutzkonform erfolgen.

Warum Datenschutz bei der Webanalyse?

Dreh- und Angelpunkt der gesamten Thematik sind die erhobenen Daten. Sie sind als personenbezogen zu betrachten – je nach Auslegung des Datenschutzrechts im weiteren oder gar im engeren Sinne. Immerhin besteht beispielsweise die Möglichkeit, auf Basis der ermittelten IP-Adresse herauszufinden, woher ein Seitenbesucher stammt. Mit Zugriff auf entsprechende Daten lässt sich sogar die genaue Person identifizieren. Zumal dies längst nicht alles ist: Anhand von IP-Adressen und Cookie-Daten lässt sich häufig sogar ein website-übergreifendes Nutzungsverhalten ermitteln.

Angesichts dieser Genauigkeit müssen Unternehmen ein Datenschutzkonzept entwickeln. Nur so ist gewährleistet, dass die Rechte der Besucher gewahrt bleiben und somit eine rechtssichere Nutzung der Webanalyse erfolgt.

Wie ist das Datenschutzrecht anwendbar?

Prinzipiell ist gegen eine Untersuchung der Nutzungsaktivitäten einer Website nichts einzuwenden. Doch die bereits erwähnte Erhebung personenbezogener Daten ist zwingend zu berücksichtigen. Aufschluss darüber, wie sich Unternehmen absichern und eine rechtssichere Webanalyse betreiben können, geben gleich mehrere Gesetze. Im Kern werden die Grundlagen für den Webanalyse Datenschutz mit dem Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG) geschaffen.

Entscheidend ist die Auslegung der Gesetze. Datenschützer vertreten diesbezüglich zum Teil unterschiedliche Ansichten. Ein rechtskonformer Datenschutz in der Webanalyse ist nur realisierbar, wenn die Ansicht vertreten wird, dass es mithilfe der erhobenen Daten nicht möglich ist, den Betroffenen eindeutig zu identifizieren.

Datenschutzrechtliche Einwilligung?

Für die Erhebung und Verarbeitung personenbezogener Daten gilt grundsätzlich, dass eine Einwilligung der Betroffenen vorliegen muss. Der Einsatz von Tools, wie z.B. Google Analytics oder Piwik, stellt diesbezüglich keine Ausnahme dar. BDSG und TMG besagen, dass der Betroffene seine Einwilligung bewusst und ausdrücklich abgeben muss, damit Datenerhebung und Verarbeitung als zulässig gelten. Außerdem ist es erforderlich, den Betroffenen zugleich über den Umfang der Erhebung zu unterrichten.

Die Einwilligung stellt eine Erklärung dar, welche der Seitenbesucher an den Seitenbetreiber abgibt. Sie muss protokolliert werden und zugleich ist es erforderlich, den Inhalt der Erklärung für den Nutzer jederzeit abrufbar zu machen. Ergänzend ist ein Hinweis auf das Widerrufsrecht erforderlich.

Wie muss man darauf hinweisen?

Aufgrund der Hinweispflicht ist der Datenschutzhinweis auf der Website von hoher Bedeutung. Darin gilt es die zuvor genannten Punkte aufzuführen, um den Besucher umfassend zu informieren. Der Hinweis sollte von jeder einzelnen Seite (Unterseiten sind somit vollständig eingeschlossen) aus erreichbar sein. Einen Generator zu Erstellung eines Datenschutzerklärungs Muster finden sie hier.

Sollte im Rahmen der Webanalyse mit Cookies gearbeitet werden, ist außerdem die sogenannte Cookie-Richtlinie zu berücksichtigen. Hierbei handelt es sich um eine EU Vorgabe, die Seitenbetreiber dazu auffordert, Besucher über den Einsatz von Cookies zu informieren. In Deutschland wurde die Vorgabe der EU in den Gesetzen noch nicht vollständig bzw. nicht in selber Form verankert. Dennoch ist es nach weitläufiger Rechtsauffassung ratsam, den Cookie-Hinweis anzubringen, um das Risiko von Abmahnungen und Bußgeldern auszuschließen.

Kann Widerspruch eingelegt werden?

Es gibt Webseiten, die ihren Besuchern die Möglichkeit einräumen, Widerspruch einzulegen und somit das Tracking gänzlich anzuschalten. Einige Unternehmen betrachten solch eine Zusatzfunktionalität als freiwillig und verzichten deshalb auf die Umsetzung. Allerdings gilt die Webanalyse dann nicht als datenschutzkonform. Grund ist das Telemediengesetz: § 15 Abs. 3 schreibt eine Widerspruchsmöglichkeit vor. Sie muss zumindest so ausgestaltet sein, dass sie gegen ein Tracking mit Wirkung in Zukunft gerichtet ist.

Muss die IP anonymisiert werden?

Das Einholen der datenschutzrechtlichen Einwilligung gestaltet sich in der Praxis ungemein schwierig. Es wäre erforderlich, jeden Seitenbesucher zunächst mit dem Sachverhalt zu konfrontieren und ihn zur Einwilligung zu fordern. Aus diesem Grund ist das Prinzip der Einwilligung in der Praxis nicht anzutreffen. Unternehmen gehen stattdessen einen anderen Weg, indem sie die Daten ihrer Besucher anonymisieren. Hierdurch wird es möglich, eine Webanalyse zu betreiben, ohne eine Einwilligung einholen zu müssen.

Entscheidend hierbei ist, dass die Anonymisierung sofort stattfindet, sprich die Daten, mit denen sich ein Personenbezug herstellen ließe, unkenntlich gemacht werden. Die Voraussetzung ist der Einsatz eines Tools zur Webanalyse, das solch eine Funktion unterstützt. Aus diesem Grund entscheidet sich die Mehrheit der Seitenbetreiber für etablierte Standardlösungen, wie Google Analytics oder Piwik.

In diesem Zusammenhang möchten wir darauf hinweisen, dass der Einsatz der genannten Tools nicht automatisch einen angemessenen Webanalyse Datenschutz verspricht. Es ist zwingend erforderlich, die Tools entsprechend zu konfigurieren und beispielsweise um ein Datenschutzerklärungs-Muster zu ergänzen.

Was kann ein externer Datenschutzbeauftragter tun?

Eine datenschutzkonforme Webanalyse setzt nicht zwangsläufig (je nach Unternehmen) die Bestellung eines Datenschutzbeauftragten voraus. Allerdings kann ein externer Datenschutzbeauftragter wertvolle Unterstützung bei der Schaffung von Rechtssicherheit leisten. In diesem Zusammenhang möchten wir darauf hinweisen, dass es gerade in diesem Umfeld zu vergleichsweise häufigen Änderungen kommt und gelegentliche Nachjustierungen mit hoher Wahrscheinlichkeit nicht ausbleiben werden.

Unternehmen, die keinen Datenschutzbeauftragten bestellen möchten, aber dennoch eine datenschutzkonforme Webanalyse umsetzen möchten, treffen mit unserer Datenschutzberatung eine gute Wahl. Diese beschränkt sich im Übrigen keineswegs nur auf die rechtlichen Aspekte, sondern schließt ebenso die technische Realisierung ein.