Webanalyse-Tools
Webanalyse-Tools
06. Januar 2021
Unter welchen Voraussetzungen können Webanalyse-Tools wie z.B. Matomo DSGVO-konform eingesetzt werden?
In diesem Artikel soll es um den Einsatz von Open-Source-Webanalysetools gehen, die lokal, d.h. auf eigenem Server in Deutschland gehostet werden und ohne das Setzen von Cookies angewendet werden können.
Die Frage nach der Rechtmäßigkeit des Einsatzes von eben solchen Webanalysetools bemisst sich aufgrund des möglichen Personenbezuges der Datenverarbeitung in erster Linie nach der Datenschutzgrundverordnung (DSGVO) und der EU-Richtlinie 2009/136/EG (Cookie-Richtlinie). Maßgeblich hierbei ist vor allem die Beantwortung der Frage, ob tatsächlich personenbezogene Daten verarbeitet werden und ob dieses durch ein „berechtigtes Interesse“ des/der Einsetzenden im Sinne der DSGVO gerechtfertigt werden kann oder ob eine explizite Einwilligung der Nutzer:innen eingeholt werden muss.
I. Verarbeitung personenbezogener Daten / Möglichkeit der Erstellung eines Nutzerprofils
Zunächst wird geprüft, ob bei dem Einsatz des Webanalysetools personenbezogene Daten verarbeitet werden bzw. die Erstellung eines Bewegungs- und Nutzungsprofils möglich ist.
1. Cookies
Cookies können zwecks Tracking von Webseitenbesuchen und Optimierung von Nutzerverhalten auf einer Webseite platziert werden, um Nutzerinformationen zu speichern und zu verarbeiten. Sie können so personenbezogene Daten sammeln und verarbeiten und einen Rückschluss auf eine zumindest identifizierbare Person zulassen.
Das Analysetool kann oft so konfiguriert werden, dass keine Tracking-Cookies gesetzt werden. Sollen diese aber zum Einsatz kommen, ist zu berücksichtigen, dass nach einem Urteil des EuGH vom 1.10.2019 (C-673/17) zwingend die vorherige Einwilligung der Nutzer:innen notwendig ist, wenn die Verwendung der Cookies nicht erforderlich ist. Der Einsatz erforderlicher Cookies verlangt demnach keine Einwilligung.
2. „Device Fingerprinting“
Oftmals sind die Analysetools in der Lage auch neben dem Einsatz oder auch ohne den Einsatz von Cookies bestimmte Informationen der Nutzer:innen zu speichern, auszulesen und derart zusammenzuführen, dass ein „digitaler Fingerabdruck“ erstellt werden kann („Device Fingerprinting“). Ein bestimmtes Gerät kann so mitsamt dem von diesem aus gesteuerten Nutzerverhalten relativ genau identifiziert werden.
II. Rechtmäßigkeit der Datenverarbeitung
Die Datenverarbeitung durch Cookies und „Device Fingerprinting“ ist rechtmäßig, wenn sie ausdrücklich erlaubt ist, dem berechtigten Interesse des/der Einsetzenden gem. Art. 6 Abs. 1 lit. f DSGVO entspricht oder eine Einwilligung vorliegt.
1. Berechtigtes Interesse / Erforderlichkeit
Welche Cookies als (noch) erforderlich angesehen werden können, ist im Einzelfall streitig. Als grobe Richtlinie kann man annehmen, dass solche Cookies, die für den technischen Betrieb der Webseite und das Bereitstellen deren Funktionalität notwendig sind, keiner Einwilligung bedürfen. Hierunter werden z.B. Cookies verstanden, die für digitale Warenkörbe verantwortlich sind.
Cookies, die zu Marketing-, Tracking- und Analysezwecken eingesetzt werden, sind als nicht erforderliche Cookies zu verstehen, in deren Verwendung aktiv eingewilligt werden muss.
Unter das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO fallen solche Datenverarbeitungen, die dem rechtlichen, tatsächlichen, ideellen oder wirtschaftlichen Interesse des/der Verantwortlichen entsprechen und die der Rechtsordnung nicht entgegenlaufen. Darüber hinaus muss die Datenverarbeitung für die Wahrung dieser berechtigten Interessen erforderlich sein und schließlich einer Interessenabwägung standhalten.
Basierend auf diesen Grundsätzen hat der EuGH in seinem Urteil vom 01.10.2019 (C-673/17) Bezug auf Art. 5 Abs. 3 der EU-Richtlinie 2002/58/EG (ePrivacy-RL) und die Anforderung der Erforderlichkeit genommen. Diese Vorschrift stellt klar, dass die technische Speicherung von Informationen ohne Einwilligung möglich sein soll, wenn diese unbedingt erforderlich ist. Umfasst werden sämtliche technische Speicherungsvorgänge, nicht lediglich die Speicherung von Informationen durch Cookies.
Das „Device Fingerprinting“ ist als technischer Speicherungsvorgang einzuordnen. Beim Aufrufen einer Webseite werden durch die verwendeten Protokolle technisch bedingt Informationen übermittelt. Bei den auf diese Weise generierten Informationen handelt es sich z.B. um den Gerätetyp, das Betriebssystem, die Geräteleistung, Log-In-Files, Auflösung und Plug-Ins. Das „Device Fingerprinting“ kann so, genau wie Cookies, dazu verwendet werden, das Nutzungsverhalten der Webseitenbesucher:innen im Sinne der DSGVO zu verarbeiten. Der EuGH behandelt in seinem Urteil zwar nur explizit das Setzen von Cookies, jedoch sind hierunter alle Technologien zu verstehen, die Daten auf den Geräten der Nutzer:innen speichern und auslesen. Die Reichweite des Urteils erstreckt sich somit auf sehr viel mehr Anwendungsfälle als das reine Setzen von Cookies.
Soweit das „Device Fingerprinting“ nicht eingesetzt wird, um einen von dem/der Nutzer:in ausdrücklich verlangten Dienst zu erbringen, wird dieser technische Vorgang als nicht erforderlich bewertet.
2. Einwilligungspflicht
Ist der Einsatz von Cookies oder das „Device Fingerprinting“ nicht erforderlich, kann nur eine explizite Einwilligung der Nutzer:innen der Datenverarbeitung zur Rechtmäßigkeit verhelfen.
Der EuGH führt zudem in einer Pressemitteilung aus, dass auch wenn Cookies keinen wirklichen Bezug zu einer konkreten Person zulassen, es sich also nicht um personenbezogene Daten im engeren Sinne handelt, die explizite Zustimmung zur Datenverarbeitung erteilt werden muss. Gleiches müsste dann ebenso für das „Device Fingerprinting“ gelten, d.h. eine Einwilligungspflicht wäre gegeben.
Eine Einwilligung in die Verwendung von Cookies durch ein voreingestelltes Ankreuzkästchen, das der/die Nutzer:in zur Verweigerung seiner Einwilligung abwählen muss, gilt hierbei nicht als wirksam erteilte Einwilligung. Die Einwilligung kann über ein Cookie-Banner oder ein konformes Cookie-Consent-Tool geschehen. Gleichzeitig muss eine entsprechende Möglichkeit des Widerrufs (Opt-Out) für die Zukunft bereitgestellt werden.
III. Risikobewertung
Zu der Frage, ob der/ Nutzer:in in die Datenverarbeitung durch die angewandte „Device Fingerprinting“ Methode einwilligen muss oder nicht, gibt es aktuell unterschiedliche Stellungnahmen. Exemplarisch sollen hier vier Meinungen aufgezeigt werden.
1. Keine Einwilligungspflicht
1.1. Landesbeauftragter für den Datenschutz und die Informationssicherheit Baden-Württemberg
Der Landesbeauftragte für den Datenschutz und die Informationssicherheit Baden Württemberg hat in einem „FAQ zu Cookies und Tracking“ vom 29. April 2019 Stellung zum Einsatz von Webanalysetools bezogen. Auf die Frage, ob Werkzeuge zur Reichweitenanalyse ohne Einwilligung der Nutzer:innen verwendet werden dürfen, gibt der Verfasser eine eindeutige Antwort:
„Ja, wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen wird. Eine Reichweitenanalyse funktioniert nämlich auch ohne Dritten (wie Google Analytics) Informationen über das Nutzungsverhalten der Website-Besucher weiterzugeben. Stattdessen kann eine LogfileAnalyse gemacht oder es können lokal installierte Analysewerkzeuge [Ein Beispiel für ein entsprechendes Analyse-Tool ist die kostenlose Open-Source-Software Matomo, siehe https://matomo.org/ – aber auch hier sind datenschutzfreundliche Voreinstellungen zu wählen.] ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg verwendet werden.“
1.2. Webanalysetool Matomo
Eine entsprechende Ansicht vertritt zum Beispiel auch Matomo selber und stellt auf der eigenen Webseite fest, dass der Dienst ohne Einwilligung genutzt werden kann, s. https://matomo.org/privacy/.
2. Einwilligungspflicht
2.1. Artikel-29-Datenschutzgruppe
Die Artikel-29-Datenschutzgruppe hat bereits im Jahr 2014 eine Einschätzung ausgesprochen und erachtet die Datensammlung und hieraus entstehenden Kombinationsmöglichkeiten bis hin zur Erstellung eines Bewegungsprofils und eindeutigen Nutzeridentifizierung als weitaus risikoreicher für Nutzer:innen als das Setzen von Cookies. Die Datenschutzgruppe spricht sich deutlich für eine vorherige Zustimmung (Opt-In) der Nutzer:innen aus. Zwar wurde die Datenschutzgruppe mittlerweile vom Europäischen Datenschutzausschuss abgelöst und es ist unklar, wie mit früher erstellten Papieren umgegangen wird. Jedoch hat der Ausschuss eine wichtige beratende Funktion im Rahmen aller Fragen des Schutzes personenbezogener Daten auf europäischer Ebene und damit durchaus Relevanz, auch wenn die Stellungnahmen lediglich Empfehlungen sind und keinen Gesetzescharakter haben.
2.2. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder untermauert die Forderung nach einer Einwilligung und stellt in ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ fest:
„Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z.B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder div. Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.“
3. Einschätzung
Verantwortliche, die lokale Analysetools einsetzen, könnten sich aktuell auf die Stellungnahme des Landesbeauftragten für den Datenschutz und die Informationssicherheit Baden-Württemberg berufen, gehen damit allerdings ein gewisses Risiko ein. Dies gilt insbesondere, wenn für den/die jeweilige/n Verantwortliche/n eine andere Aufsichtsbehörde zuständig ist.
Eine bisherige Rechtsprechung, die sich mit dem Thema „Device Fingerprinting“ und Einwilligungspflicht befasst, ist nicht bekannt und bleibt abzuwarten. Bis dahin bestehen die oben aufgezeigten widersprüchlichen Handlungsanweisungen.
IV. Opt-Out
Auch wenn keine Cookies gesetzt werden, muss der/die Nutzer:in die Möglichkeit des Widerrufs hinsichtlich des Tracking ohne Cookies haben, da auch hier eine Datenverarbeitung vorliegt. Eine entsprechender Opt-Out Option ist bereit zu stellen.
V. Anonymisierung der IP-Adressen
Die meisten Webanalysetools speichern standardmäßig die IP-Adressen der Nutzer:innen in der Datenbank. IP-Adressen stellen nach derzeitiger Rechtsprechung personenbezogene Daten dar. Allerdings können die Analysetools so konfiguriert werden, dass alle Daten automatisch anonymisiert und keine personenbezogenen Daten verarbeitet werden. Als anonymisiert gelten Daten dann, wenn die Identifizierung einer betroffenen Person aufgrund des Entfernens des Personenbezuges nicht mehr möglich ist. Weiterhin muss die Anonymisierung unumkehrbar sein. Im Zweifel sollte hier eine Anonymisierung von 3 Bytes vorgenommen werden, um den strengen Anforderungen der DSGVO gerecht zu werden.