2009 wurde von den obersten Aufsichtsbehörden genau festgelegt, welche 5 Faktoren eine datenschutzkonforme Web-Analyse ausmachen.
- Anonymisierte Nutzungsprofile
- Hinweispflicht
- Trennung der Daten
- Auftragsdatenverarbeitung
- Widerspruchsrecht
1. Anonymisierte Nutzungsprofile
Im Hinblick auf eine datenschutzkonforme Web-Analyse spielt die IP-Adresse eine äußerst wichtige Rolle. Die Nutzerprofile von den Besuchern einer Webseite dürfen ausdrücklich nur in der Form eines Pseudonyms erstellt werden. Die IP-Adresse der Besucher ist definitiv kein Pseudonym. Ohne eine eindeutige und bewusste Einwilligung des jeweiligen Nutzers darf die komplette IP-Adresse auf keinen Fall verarbeitet werden.
Die Geolokalisierung stellt bereits eine illegale Form der Verarbeitung dar. Eine vollständige IP-Adresse ist wie ein personenbezogenes Datum. Aus diesem Grund darf sie definitiv nicht ohne Einwilligung des jeweiligen Inhabers erhoben und verarbeitet werden.
2. Hinweispflicht
Der Betreiber muss auf seiner Webseite auf jeden Fall darauf hinweisen, dass Nutzerprofile von den Besuchern erstellt werden. Ein einfacher Hinweis ohne ausführliche Erklärung reicht im Hinblick auf eine datenschutzkonforme Web-Analyse nicht aus. Auf der Webseite müssen genaue Angaben zum Zweck und zu dem Umfang der Datenspeicherung gemacht werden.
Alle Hinweise müssen auf jeden Fall verständlich formuliert und für die Besucher der Website zu jeder Zeit zugänglich sein. Am besten wird auf der Seite ein Hinweis unter dem Begriff "Datenschutz" platziert. Die meisten Webseiten-Betreiber nutzen für den Hinweis den Footer (Fusszeile) ihrer Seite.
3. Trennung der Daten
Eine datenschutzkonforme Web-Analyse zeichnet sich auch dadurch aus, das die jeweiligen Daten strikt voneinander getrennt werden. Die personenbezogenen Daten und auch die Pseudonyme dürfen auf keinen Fall zusammengeführt werden und müssen stets strikt voneinander getrennt gespeichert werden.
Dadurch wird gewährleistet, dass Dritte die Pseudonyme mit den personenbezogenen Daten nicht in Verbindung bringen können.
4. Auftragsdatenverarbeitung
Wird für das Web-Controlling ein spezielles Tool verwendet, dass die Nutzungsdaten auf den externen Webservern verarbeitet, dann ist im Hinblick auf die datenschutzkonforme Web-Analyse ein Vertrag vonnöten. Dieser Vertrag dient der Auftragsdatenverarbeitung und muss zwischen dem jeweiligen Unternehmen, das das Tool in der Praxis einsetzt und dem Anbieter des Web-Controlling-Tools geschlossen werden. Im § 11 vom Bundesdatenschutzgesetz (BDSG) ist dies genau gesetzlich geregelt.
5. Widerspruchsrecht
Werden auf einer Webseite Nutzungsprofile erstellt, dann müssen die Besucher auf jeden Fall ein Widerspruchsrecht in Anspruch nehmen können. Wünscht ein Besucher nicht, dass auf Basis seiner Daten ein individuelles Nutzungsprofil erstellt wird, dann kann er die Erstellung durch sein Widerspruchsrecht verhindern. Der Betreiber der Website muss in diesem Fall den Widerspruch des Besuchers wirksam umsetzen. Für diesen Zweck bieten verschiedene Web-Controlling-Tools ganz unterschiedliche Möglichkeiten an.
Fazit – Was sollten Sie genau unternehmen?
Wenn Sie eine Webseite betreiben und Tools für die Web-Analyse einsetzen, dann müssen Sie sich auf jeden Fall an die Datenschutzbestimmungen halten. Wenn Sie eine datenschutzkonforme Web-Analyse einsetzen, dann sind Sie auf der sicheren Seite und müssen keine rechtlichen Probleme befürchten. Der etracker ist bereits von Hause aus ein datenschutzkonformes Tool. Bereits in der Standardeinstellung verarbeitet das Tool ausschließlich verkürzte IP-Adressen.
In Ihrem etracker-Account finden Sie für die Datenschutzerklärung einen vorgefertigten Text. Diesen können Sie einfach auf eine separate Unterseite Ihrer Webseite kopieren. Wenn Sie das Tool einsetzen, dann sollten Sie mit dem etracker unbedingt einen Vertrag zur Auftragsdatenverarbeitung schließen. Nutzen Sie stattdessen Google Analytics, dann wird standardmäßig die vollständige IP-Adresse verarbeitet.
Dies müssen Sie im Tracking-Code ändern. Des Weiteren sollten Sie im Hinblick auf die datenschutzkonforme Web-Analyse einen Auftragsdatenverarbeitung-Vertrag mit Google Deutschland schließen. Für Ihre Datenschutzerklärung bietet Ihnen Google Analytics ebenfalls eine Muster-Vorlage.