Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet Angeboten
Aus aktuellem Anlass weisen wir auf folgende Rahmenbedingungen für den Betrieb von Webauftritten hin: Der Betrieb von Softwareprodukten, die von Fremdfirmen angeboten werden und eine Analyse des Benutzerverhaltens auf einem Webauftritt ermöglichen, ist problematisch und sollte daher unterlassen werden. Nutzer des Webdienstes des RRZE erhalten bereits als Alternative zu solchen
Werkzeugen eine anonymisierte und automatisch erstellte Statistik über die Zugriffe auf ihre Webauftritte.
Am 26./27.November 2009 erging durch die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich der Beschluss:
Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet Angeboten
Viele Web Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden.
Die obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich weisen darauf hin, dass bei Erstellung von Nutzungsprofilen durch Web Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.
Auf Ersuchen des Staatsministeriums um Weiterleitung der Information und gemäß dem oben zitierten Beschluss, empfiehlt das Webteam des RRZE allen Webmastern der Universität Erlangen-Nürnberg dringend, möglichenfalls eingesetzte Werkzeuge zum Web-Controlling und zur Nutzeranalyse zu beseitigen. Bitte leiten Sie diese Information zum Datenschutz auch an alle weiteren betroffenen Kolleginnen und Kollegen weiter.
Der berechtigte Wunsch nach einer Statistik zur eigenen Website stößt dann an seine Grenzen, wenn Analysewerkzeuge genutzt werden, die es Dritten erlauben, die Daten des einen Webauftritts mit denen eines anderen zu kombinieren. Ein sogenanntes Bewegungsprofil, das mit Hilfe der Software erzeugt werden kann, dokumentiert jeglichen „Verkehr“ eines Nutzers und damit jede von ihm besuchte Webseite. Diese Art der Besucheranalyse wird als User Tracking, bzw. als Webtracking bezeichnet.
Um Webmastern die Identifikation der Webauftritte zu erleichtern, die Webtracking praktizieren, hat das Webteam des RRZE eine Liste der am häufigsten eingesetzten Web-Controlling-Tools zusammengestellt: ‚Google Analytics‘, ‚eTracker‘, ‚Quantcast‘, ‚IVW‘, ‚Spring‘, ‚OEWA‘, ‚WEMF‘,’Opentracker‘, ‚Sitestat‘, ‚Sitecatalyst‘, ‚ProspectFinder‘, ‚eStat‘, ‚WiredMinds‘, ‚Reinvigorate‘, ‚Piwik‘, ‚StormAnalytics‘, ‚Webtrends‘, ‚Sitemeter‘, ‚Gallup‘, ‚XiTi‘, ‚W3Statistics‘.
Google Analytics wird als prominentestes Analysewerkzeug namentlich im Beschluss der Datenschützer erwähnt. Dass die Gefährdung durch andere Analysewerkzeuge, die nicht im Fokus der Berichterstattung stehen, genauso groß bzw. noch größer ist, sollte dabei jedoch nicht unbeachtet bleiben. So wird beispielsweise das ebenfalls weit verbreitete Tool IVW oft unbemerkt mit Hilfe von Werbebannern auf den Servern der Werbeträger aufgerufen.
Bitte beachten Sie darüber hinaus, dass nicht ausschließlich nur die IP Adresse geeignet ist, einen Personenbezug herzustellen. Im Beschluss wird sie zwar ausdrücklich erwähnt, der Schwerpunkt des Beschlusses bezieht sich jedoch grundsätzlich auf allgemeine pseudonymisierte Nutzungsdaten. Es ist daher nicht unwahrscheinlich, dass neben der IP Adresse künftig auch andere pseudonymisierte Nutzungsdaten, wie beispielsweise spezielle Angaben zum verwendeten Browser, gekoppelt mit dessen Plugins und der entsprechenden Einsatzumgebung, in Betracht kommen.
Das Webteam des RRZE weist ausdrücklich darauf hin, dass zwischen Website übergreifendem professionellem Webtracking durch Marketingunternehmen und dem Anfertigen einfacher Zugriffsstatistiken unterschieden werden muss. Gegen den Einsatz einer lokalen Analysesoftware die keinen Abgleich mit anderen Datenbanken vornimmt und damit auch keinen Personenbezug herstellen kann, spricht – auch unter Berücksichtigung des obigen Beschlusses – nichts. Allen Einrichtungen, die einen Webauftritt beim RRZE hosten, steht deshalb auch eine automatisierte Statistik ihres Webauftritts zur Verfügung. Wenn Sie sich im Webmasterportal anmelden, finden Sie dort auch den direkten Link zu Ihrer eigenen Statistik.