Unsere Ideen für Ihr Projekt

Besucheranalyse trotz Datenschutz

Illustration eines Fingerabdruck-Scanners

Deutsche Datenschutzvorschriften, Verschlüsselungsmaßnahmen der großen Internetanbieter, Privacy-Maßnahmen der Browser - ist eine Analyse von Besuchern meiner Webseite überhaupt noch möglich und sinnvoll?

Jeder Webseiten-Betreiber ist daran interessiert, dass seine Webseite möglichst effektiv ist. Er möchte seinen Besuchern die gewünschten Informationen optimal bereitstellen und darüber längerfristig an sich binden. Und selbstverständlich erfüllt es uns mit Freude zu sehen, wie sich die Besucherzahlen positiv entwickeln. Solche Besucherinformationen können nach Verständnis des Telemediengesetzes (TMG) als persönliche Daten interpretiert werden und unterliegen daher strengen Datenschutzrichtlinien. Das TMG beschreibt in §15, Abs. 3 wie folgt:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Pseudonymisierung

Dem Interesse des Webseitenbetreibers wird also nicht grundsätzlich ein Riegel vorgeschoben, wenn er begründetes Interesse an der Erfassung solcher Daten vorweist (was in der Regel der Fall sein dürfte) und diese so pseudonymisiert, dass kein direkter Bezug zur realen Person des Besuchers hergestellt werden kann bzw. hergestellt wird. Da die IP-Adresse als Identifikationsmerkmal eines Internetzugangs unmittelbar als persönliches Datum gesehen wird, erfolgt der erste Schritt einer Pseudonymisierung oder auch Anonymisierung des Besuchers durch Kürzung seiner IP-Adresse vor der Speicherung im Analyse-System. Die Verantwortlichkeit liegt dafür beim Diensteanbieter. Bei Verwendung von Google Analytics tritt aber der Webseitenanbieter selbst als Dienstleister im Sinne des TMG auf und muss sich daher eigenhändig um die korrekte technische Implementierung entsprechend Google Analytics API kümmern. Wird das Tracking-Werkzeug Matomo (früher PIWIK) eingesetzt, kann dort zentral die Aufbereitung der IP erfolgen, für den Webseiten-Betreiber ändert sich an der einfachen Einbindung des Tracking-Codes nichts. In dem Fall liegt die Verantwortung für den Datenschutz mit beim Dienstanbieter, sofern dies vertraglich geregelt ist.

Do not track - DNT und andere Tracking-Opt-Out-Varianten

Eine Fotografie vieler Menschen auf einem Bürgersteig.

Das Kürzel DNT steht für eine Erweiterung der verbreitetsten Internet-Browser. Sie sorgt dafür, dass mit jeder Anforderung einer Internet-Seite dem ausliefernden Server der Wunsch mitgeteilt wird, nicht getrackt zu werden. Diese Wunschäußerung bewirkt nicht automatisch eine Verhinderung der Speicherung von Zugriffsdaten. Ihr muss aber entsprechend obiger Formulierung des TMG §15, Abs. 3 nachgekommen werden, wenn der Webseitenbetreiber nach deutschem Recht datenschutzkonform arbeiten möchte. In Matomo (früher PIWIK) ist die Berücksichtigung des DNT-Merkmals seit der Version 1.8 enthalten und ermöglicht dem Diensteanbieter, auch über dieses Merkmal dem Widerspruch des Besuchers nachzukommen. Interessant hierbei ist, dass die DNT-Option beim Internet Explorer ab Version 11 automatisch aktiv ist. Microsoft geht also davon aus, dass Benutzer ihre Zugriffe prinzipiell nicht gespeichert sehen wollen. Die anderen Browser stellen die Option zwar in den Konfigurationsmöglichkeiten bequem bereit, belassen die Voreinstellung aber auf "deaktiviert", bis der Anwender der Nutzung seiner Besuchsdaten explizit widerspricht.

Ein ebenso explizites Opt-Out oder einen Hinweis darauf muss der Webseiten-Betreiber auch auf seiner Webseite selbst anbieten. Realisiert wird dies z.B. bei Matomo durch einen Hinweistext und einem Kontrollkästchen, über das man für seinen Browser die Erstellung und Speicherung von Nutzungsdaten widersprechen kann. Im Hintergrund wird dafür ein langlebiger Cookie gesetzt, der den Tracker über den Opt-Out-Wunsch des Anwenders informiert. Unnötig kompliziert und aufwändig macht es Google, indem der Benutzer dazu angehalten wird, ein Plugin für jeden seiner verwendeten Browser zu installieren. Dieses sorgt dann über den selben Mechanismus eines Dauer-Cookies dafür, dass der Wunsch des Anwenders auf allen mittels Google Analytics überwachten Seiten respektiert wird.

Referrer

Nutzungsprofile und die Zuordnung zu Personen lassen sich auch bilden, wenn man weiß, woher der Besucher kommt. Diese Information wird über den sogenannten Referrer beim Seitenwechsel automatisch mit übertragen. So lassen sich unter anderem Aussagen über die Herkunft von Suchmaschinen oder Social Media treffen. Aber auch die Adressen von Webseiten, die einen Link auf die eigene Präsenz anbieten, liefern damit eine Herkunftsinformation über den Besucher. Nach Bewertung des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) kann hier das Tracking-Werkzeug Matomo ebenfalls dem Datenschutz-Anspruch gerecht werden. Das ULD empfiehlt eine gründliche Analyse der Notwendigkeit zur Erfassung dieser Daten, da dies ggf. einen Bußgeldtatbestand darstellen kann.

Und es geht doch!

Eine Illustration mit Goldfischen, die von einem Glas in ein anderes springen

Bei so vielen Einschränkungen und reduzierten Daten stellt man sich zu Recht die Frage: Lohnt das Tracking von Besuchern noch? Kann man da überhaupt noch etwas Brauchbares herausziehen?

Die Antwort lautet: Ja!

Doch damit dies gelingt, müssen auch die Statistik- und Analyse-Werkzeuge mit den Gegebenheiten mithalten und sich ständig weiter entwickeln. Wo früher ein einfacher Webalyzer noch nackte Abrufzahlen präsentierte, die sich rudimentär auf übermittelte Browserkennungen verließen, nutzen die heutigen Programme ausgefeilte Funktionen und Auswertungen. Es wird unterschieden nach Einstiegs- und Ausstiegsseiten, Dauer des Aufenthalts, Klickwege durch die Webseite (sogenannten Funnels), Downloads oder auch z.B. über Newsletter mitgegebene Kampagnen-Kennungen. Dies alles sind Informationen die entsprechend TMG "zur bedarfsgerechten Gestaltung" nützen und bei der Optimierung des Web-Angebots helfen, selbst wenn die absoluten Besucherzahlen aufgrund von DNT-Funktionen oder Opt-Out-Kennzeichnungen niedriger als tatsächlich vorhanden ausfallen. Die Pseudonymisierung hat nahezu keinen Einfluss auf die Ermittlung von Ländern und Regionen, auch die Referrer sind nur noch begrenzt relevant. So ist auch eine Zielgruppen-spezifische Analyse weiterhin möglich. Wo früher die für Webentwickler wichtigen Anteile von Internet Explorer-Besuchern wegen der zu berücksichtigenden Inkompatibilitäten eine Rolle spielten, hat sich Microsoft mit der Einführung des default-DNT klar dafür ausgesprochen, keine Sonderrolle mehr im technischen Umfeld der Browserkompatibilitäten spielen zu wollen.

Unwidersprochen ist die statistische Aussagekraft umso größer, je mehr Zahlenmaterial für die Auswertung herangezogen werden kann. Doch ist die Analyse von Besucherverhalten zur Verbesserung des eigenen Internetauftritts inzwischen so vielschichtig, dass bereits mit den erfassbaren Daten ausreichende Entscheidungsgrundlage vorliegt - selbst unter Berücksichtigung der strengen Datenschutzrichtlinien in Deutschland.