Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten
Aus aktuellen Anlass geben wir hiermit folgende Informationen an alle Webmaster der Universität, sowie an alle weiteren Interessierten weiter.
Am 26.und 27.November wurde Seitens der obersten Aufsichtsbehörden für den Datenschutz ein Beschluss zur „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ getroffen.
Download: (Uniportal, Öffentlicher Download: http://go.fau.de/2m1)
Auszug aus dem Beschluss:
Viele Web-Seitenbetreiber analysieren zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung ihres Angebotes das Surf-Verhalten der Nutzerinnen und Nutzer. Zur Erstellung derartiger Nutzungsprofile verwenden sie vielfach Software bzw. Dienste, die von Dritten kostenlos oder gegen Entgelt angeboten werden.
Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen darauf hin, dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.
Tracking-Software
Da des einzelnen Webmasters oft nicht möglich ist zu erkennen, welche Fremdsoftware diese Gefährdung beeinhaltet, haben wir folgende Liste zusammengestellt:
‚eTracker‘, ‚Google Analytics‘, ‚Quantcast‘, ‚IVW‘, ‚Spring‘, ‚OEWA‘, ‚WEMF‘,’Opentracker‘, ‚Sitestat‘,
‚Sitecatalyst‘, ‚ProspectFinder‘, ‚eStat‘, ‚WiredMinds‘, ‚Reinvigorate‘, ‚Piwik‘, ‚StormAnalytics‘, ‚Webtrends‘,
‚Sitemeter‘, ‚Gallup‘, ‚XiTi‘, ‚W3Statistics‘
(Die Liste beruht wiederum auf einer Liste des Firefox-Addons Counterpixel. Das Addon wiederum wird vom unabhängigen Datenschutzzentrum Schleswig-Holstein empfohlen um Website festzustellen, die User-Tracking-Software einsetzen).
Google Analytics ist dabei das prominenteste Tool und wird deswegen in den Beschluss der Datenschützer auch namentlich erwähnt. Es darf jedoch keinesfalls übersehen werden, dass die Gefahr durch andere Tools besteht und teilweise sogar größer ist, da die damit verbundenen Firmen nicht im Fokus der Berichterstattung stehen.
Neben Google Analytics werden IVW, Piwik und eTracker am häufigsten benutzt.
Der Einsatz von IVW ist nicht immer offensichtlich, da dieses oft indirekt durch Werbeagenturen, die Werbebanner auf Websiten plazieren auf derren Servern aufgerufen wird.
Piwik kann mit Hilfe eines zusätzlichen Plugins datenschutzkonform betrieben werden. In der Default-Version tut es dies jedoch nicht.
Aufgrund des oben zitierten Beschlusses und der Weitergabe durch das Staatsministerium legen wir allen Webmastern der Universität nahe, die oben genannten Tracker-Software zu entfernen, so sie denn in Benutzung waren.
Anmerkungen
- Zu beachten ist, daß nicht allein die IP-Adresse geeignet ist um einen Personenbezug herzustellen.
Zwar wird die IP-Adresse im Beschluss gesondert erwähnt, jedoch bezieht sich der Kern des Beschluss grundsätzlich auf allgemeine pseudonymisierte Nutzungsdaten.
Es ist daher nicht unwahrscheinlich, daß neben der IP-Adresse in Zukunft auch andere pseudonymisierte Nutzungsdaten, wie beispielsweise spezielle Angaben des verwendeten Browsers in Kombination mit dessen Plugins und Einsatzumgebung in Betracht kommen. - Die Datenschutzbehörde des Freistaats ist gegenüber den Einrichtungen des öffentlichen Dienstes nicht weisungsbefugt. Die Universitäten erhielten den beschluss jedoch über das Bayerisches Staatsministerium für Wissenschaft, Forschung und Kunst mit der Vorgabe, den Beschluss zu beachten.
- Wie bereits in der Benutzerinformation 83 im Artikel „Logdateien auf zentralem Logserver gehostet“ (Seite 16+17) geäußert, ist das Webteam des RRZE der Ansicht, daß unterschieden werden muss zwischen dem Website-übergreifenden professionellen Webtracking durch Marketingunternehmen und dem durchaus berechtigten Wünschen von den Betreibern einzelner Webauftritte Informationen über Ihre Zugriffe zu erlangen.
Gegen den Einsatz von lokaler Analysesoftware, die keinen Abgleich mit anderen Datenbanken macht und somit auch keinen Personenbezug herstellen kann, spricht -auch unter Rücksichtnahme des obigen Beschlusses nichts.
Daher steht auch allen Einrichtungen, die einen Webauftritt beim RRZE hosten, eine automatisierte Statistik ihres Webauftritts zur Verfügung. Sie finden alle Statistiken, sowie weitere Auswertungen unter der Website http://www.statistiken.rrze.uni-erlangen.de. Wenn Sie sich im Webmasterportal anmelden, finden Sie dort auch den direkten Link zu ihrer eigenen Statistik.
Die berechtigten Wünsche nach einer Statistik der eigenen Website treffen dann auf Grenzen, wenn Fremdsoftware genutzt wird, die es Dritten (den Anbieter der Software und dessen Geschäftspartnern) es ermöglicht, die Daten eines Webauftritts mit denen von anderen Webauftritten zu kombinieren. Damit ist es diesen Anbietern möglich, ein Bewegungsprofil zu erstellen, in dem sichtbar wird, welcher Nutzer wann welche Website besuchte.
Dies wird dann als User-Tracking, bzw. als Webtracking bezeichnet.
Wir bitten alle Webmaster um Weitergabe dieser Informationen an weitere ihnen bekannte betroffene Kollegen.