ULD empfiehlt Alternative zu Google Analytics
Tracking ist datenschutzrechtlich nach wie vor ein Problem. Nun empfiehlt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine – unter Umständen – datenschutzkonforme Lösung. Piwik heißt die Software, die Tracking auch für Datenschützer erträglich machen soll. Doch die Empfehlung des ULD hat einige Haken.
Piwik
Piwik ist eine Open Source Software, die – anders als Google Analytics – nicht zentral auf dem Server eines externen Anbieters, sondern auf dem Server des jeweiligen Webseitenbetreibers installiert wird. Allein dieser Umstand ist datenschutzrechtlich schon ein Vorteil: Die Daten müssen nicht an Dritte übertragen werden, sondern verbleiben dort, wo sie auch erhoben wurden. Außerdem haben Webseitenbetreiber Kontrolle und Gewissheit darüber, welche Daten gespeichert werden und welche nicht.
So sieht es auch das ULD und hat eine ausführliche Stellungnahme zu Piwik veröffentlicht – inklusive einer Installationsanleitung und Empfehlungen zu den Einstellungen. Doch genau hier liegt der Teufel im Detail: Denn auch Piwik ist von Haus aus nicht datenschutzkonform und muss mit Plugins und einigen Optionen erst an die deutsche Rechtslage angepasst werden.
Verarbeitung von IP-Adressen
Auch Piwik arbeitet mit IP-Adressen, das liegt in der Natur der Sache bei Tracking-Software. Eine Erhebung der Adressen findet also auch bei Piwik statt. Anders als bei vielen anderen Tracking-Tools bietet Piwik jedoch die Möglichkeit, IP-Adressen anonymisiert zu speichern, indem die letzten Stellen gekürzt werden. Daneben wird die IP-Adresse lediglich dazu genutzt, gemeinsam mit anderen Daten eine eindeutige Kennung für einzelne Nutzer zu erstellen, um diese wiederzuerkennen.
Das ist datenschutzrechtlich immer noch nicht ideal. Immerhin wird weiterhin die IP-Adresse – ein nach Ansicht der Datenschutzbehörden personenbezogenes Datum – zumindest erhoben und intern verarbeitet. Lediglich die Speicherung der IP-Adresse findet anonymisiert statt. Und so muss sich auch das ULD hier etwas verbiegen, um eine Nutzung dennoch empfehlen zu können: Die IP-Adresse werde nicht zur Analyse des Nutzungsverhaltens genutzt, sondern werde zur Erstellung eines Pseudonyms genutzt, was dem Ziel der „Datenvermeidung und Datenminimierung” diene. Mit dem Pseudonym spielt das ULD auf § 15 Abs. 3 TMG an, wonach Nutzungsprofile „bei Verwendung von Pseudonymen” erstellt werden dürfen.
So ganz sauber ist diese Argumentation aber nicht: Sieht man IP-Adressen als personenbezogenes Datum an, wäre ohne Einwilligung des Nutzers bereits die Erhebung rechtswidrig. Zum Zeitpunkt der Erhebung liegt ja noch gar kein Pseudonym vor – und Piwik kann man als Nutzer nicht ansehen, ob eine Pseudonymisierung bzw. Anonymisierung der IP-Adressen überhaupt stattfindet. Abgesehen davon ist der Zusammenhang mit dem Ziel der „Datenvermeidung und Datenminimierung” nicht ganz klar: Nach den §§ 3 Abs. 6a, 3a BDSG sollen stets so wenige personenbezogene Daten wie möglich gespeichert werden. Wenn aber die Speicherung ganzer IP-Adressen nach Ansicht des ULD rechtswidrig wäre, dient die Pseudonymisierung nicht der Datensparsamkeit, sondern vermeidet schlicht einen Verstoß gegen das Gesetz. Es werden also nicht Daten gespart, sondern lediglich nicht rechtswidrig gespeichert.
Sonstige Daten
Auch bei anderen Daten, die Piwik erhebt, tut sich das ULD etwas schwer. So empfehlen die Datenschützer „Referrer sparsam zu verwenden”. Bei Referrern handelt es sich um die Angabe, ob ein Nutzer auf die Webseite über einen Link gelangt ist und wenn ja, welche Seite diesen Link gesetzt hat. Für Webseitenbetreiber sind die Referrer ganz entscheidende Daten: Wer verlinkt meine Webseite und wieviele Nutzer gelangen über diesen Link zu mir? Wieviele Nutzer gelangen über Suchmaschinen auf die eigene Seite, wieviele Nutzer Bookmarks? Wie genau man mit diesen Daten „sparsam” umgehen soll, ist völlig unklar. Entweder man erhebt die Referrer – wie gesagt, ein essentieller Bestandteil jeder Tracking-Software, ohne den man sich das Tracking eigentlich auch sparen kann – oder man erhebt sie nicht. Sparsamkeit ist schlicht nicht möglich.
Darüber hinaus empfiehlt das ULD, die erhobenen Daten regelmäßig und anlasslos zu löschen. Die Löschung soll sich nicht nur auf die Liste aller Besucher, sondern auch auf die Archive von Piwik beziehen. Während in der Liste der Besucher zumindest pseudonymisierte Daten gespeichert sind, enthalten die Archive lediglich statistische Zusammenfassungen über die vergangenen Wochen, Monate und Jahre. Warum diese datenschutzrechtlich völlig harmlosen Statistiken gelöscht werden sollen, bleibt offen.
Fazit
Es ist ja zu begrüßen, dass sich Datenschutzbehörden nicht nur über Verbote, sondern auch über praxistaugliche Alternativen Gedanken machen. Und die Empfehlung von Piwik ist sicher richtig und pragmatisch. Doch zeigt die Stellungnahme auch, dass selbst eine Software, die Datenschutz sehr ernst nimmt, bei Weitem nicht den strengen Anforderungen gerecht wird. Und das aus gutem Grund: Wer auf Cookies verzichtet, Referrer „sparsam” (bedeutet gar nicht) einsetzt und Archive ständig löscht, der kann sich die statistische Auswertung seiner Webseite auch schenken. Statistik beruht auf einer zuverlässigen Datenerhebung. Scheitert es schon an dieser Stelle, sind die Statistiken wertlos.
Und auch die Argumentation zur Erhebung und Verarbeitung von IP-Adressen ist von dem Bemühen gezeichnet, eine praxisuntaugliche Rechtslage pragmatisch anzuwenden. Das ist löblich und macht Hoffnung. Aber es ist noch lange keine Lösung. Und eine Lösung wäre das, was das Datenschutzrecht im Internet dringend bräuchte.
