Gerade für die Beurteilung und Bewertung, welche Inhalte besonders relevant und welche weniger beliebt sind, hilft die Auswertung der Zahl und Art der Website-Besucher. Der erste Gedanke geht hierbei oft Richtung Google Analytics, doch es gibt viele deutlich datenschutzkonformere Alternativen, bei denen neben der Rechtssicherheit auch keine Einwilligung der Website-Besucher selbst nötig ist.
Übersicht
- Besucherströme
- Erste Empfehlung: lokales Betreiben von Analysediensten
- Zweite Empfehlung: Deaktivierung von Cookies
- Dritte Empfehlung: Deaktivierung von kritischen Endgeräte-Zugriffen
- Vierte Empfehlung: Minimierung der Datenverarbeitung
- Fünfte Empfehlung: weitere Maßnahmen
- Vorteile datenschutzkonformer Besucherzähler
- Fazit
1) Besucherströme
Während früher war ein Besucherzähler lediglich eine Zahl in Form einer Grafik, während heute oft mehr Daten gesammelt als die meisten Website-Betreiber benötigen oder gar verarbeiten können.
Die Daten und Statistiken werden meist in anschaulichen Diagrammen dargestellt und durch Verlaufskurven lässt sich die entsprechende Relevanz erkennen. Damit ein Besuchszähler auch wirklich nützlich ist, benötigt eine Website mit wenigen Website-Besuchern zunächst eine mehr und relevantere Inhalte. Google Analytics ist übrigens für solche Website die schlechteste Wahl, denn der Nutzen gegenüber den ausgesprochen hohen Risiken ist sehr gering. Sobald regelmäßig eine nennenswerte Besucheranzahl verzeichnet wird, können Statistiken zielführend sein, da diese dabei helfen, was und welche der Seiteninhalte gut funktionieren und wo Optimierungspotential besteht.
2) Erste Empfehlung: lokales Betreiben von Analysediensten
Google Analytics ist dafür bekannt, viele (auch nicht relevante) Daten zu erheben. Da hier immer eine Einwilligung des Website-Besuchers nötig ist, kommt das Tool gleichzeitig jedoch nur bei einer Minderheit der Website-Besucher zum Einsatz. Dahingegen können andere datenschutzkonforme Tools, die ohne eine Einwilligung immer arbeiten dürfen, 100 % aller Besucher erfassen.
Zwei der weitverbreitetsten Alternativdienste für Websites sind Matomo (früher Piwik) und WP Statistics. Während WP Statistics ausschließlich für WordPress-Websites gemacht ist, kann Matomo für alle Arten von Websites kostenfrei verwendet werden.
Übrigens hat sich die Frage nach einem Auftragsverarbeitungsvertrag dann auch erledigt, wenn der Verantwortliche die Zahl der Website-Besucher nur lokal verwendet und das Tool damit keine Daten an Dritte sendet.
3) Zweite Empfehlung: Deaktivierung von Cookies
Cookies sind nur dann einwilligungsfrei, wenn sie zwingend erforderlich sind, um die entsprechende Website bereitzustellen (§ 25 TTDSG). Cookies, die Besucherströme messen, sind aus technischer Sicht nicht dafür notwendig. Daher ist zu empfehlen, keine Cookies zu verwenden. Mehr Informationen, wie das gelingen kann, finden Sie hier. Im Letzten dienen sie dazu, einen Besucher von einem anderen unterscheiden zu können.
WP Statistics nutzt (mit Stand Feb. 2023) gar keine Cookies. Die Cookies für WordPress lassen sich im Matomo-Plug-in in den Einstellungen (Bereich „Tracking“ > „Cookies deaktivieren“) leicht deaktivieren. Darüber hinaus sollten Sie im Admin-Bereich unter „Privatsphäre“ die Option „Tracking ohne Cookies erzwingen“ aktivieren.
4) Dritte Empfehlung: Deaktivierung von kritischen Endgeräte-Zugriffen
Neben Cookies fällt auch jeder Zugriff auf Daten, die im Endgerät gespeichert sind in den Anwendungsbereich des § 25 TTDSG. Dies trifft beispielweise auch dann zu, wenn die Größe des Browser-Fensters (= Viewport) über eine JavaScript-Funktion ausgelesen wird. Was konkret „im Endgerät gespeichert“ bedeutet, ist juristisch noch nicht abschließend geklärt. Das Auslesen der IP-Adresse ist jedoch kein Endgerätezugriff, da diese aus technisch notwendigen Gesichtspunkten „frei Haus“ geliefert wird. Dennoch muss die Verarbeitung den Grundzügen der DSGVO entsprechen.
5) Vierte Empfehlung: Minimierung der Datenverarbeitung
Häufig wird bei Tracking-Tools jedem identifizierten Nutzer eine eigene Identifikationsnummer (= Besucher- / Client-ID) vergeben. Dies lässt sich bei Matomo beispielsweise über die Funktion „Benutzer-ID mit Pseudonym austauschen“ verhindern.
Sie sollten darauf achten, dass IP-Adressen ausschließlich gekürzt gespeichert werden, da diese Daten als personenbezogen gelten. In Matomo beispielsweise lässt sich dies unter „Privatsphäre“ > „Tracking-Daten anonymisieren“ umsetzen. Bei WP Statistics lässt sich unter „Privatsphäre“ > „Anonymisiere IP-Adressen“ en ähnliches Ergebnis erzielen.
Wir empfehlen außerdem einen Blick auf die Dauer der Datenhaltung zu werfen. Im Admin-Bereich lässt sich meist einstellen, dass das Tool alte Daten in regelmäßigen Abstanden selbstständig löscht.
Auch die automatisch übermittelten Daten des User-Agents sollten nicht im Klartext, sondern gekürzt gespeichert oder gar nicht erst verarbeitet werden.
6) Fünfte Empfehlung: weitere Maßnahmen
- Es lohnt sich grundsätzlich, alle Einstellungen kritisch zu prüfen und gegebenenfalls entsprechende Anpassungen der Konfiguration vorzunehmen.
- Auch die Datenweitergabe der Website-Besucher an Dritte sollten Sie vermeiden.
- Achten Sie darauf, dass das Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO umgesetzt wird.
- Es empfiehlt sich, den Einsatz eines Besucherzählers mit dem berechtigten Interesse auch in den Datenschutzhinweisen zu erwähnen.
7) Vorteile datenschutzkonformer Besucherzähler
- Der Dschungel von Vertragsdokumenten wird für Verantwortliche vermieden.
- Es liegt weniger Aufwand und gleichzeitig eine höhere Rechtssicherheit vor.
- Die Einwilligungspflicht entfällt. Im Idealfall kann eine Website sogar ganz ohne Pop-up auskommen.
- Tools wie Matomo können 100 % der Besucher erfassen.
8) Fazit
Möchte man Website-Besucher zählen, muss es nicht immer Google Analytics sein – auch mit datenschutzkonformeren Tools wie Matomo oder WP Statistics kann eine leistungsfähige Besucherauswertung kostenfrei gelingen. Wenn Sie die richtigen Einstellungen auswählen, gelingt eine Verwendung des Besucherzählers ohne Einwilligung auf Basis des berechtigten Interessens nach Art. 6 Abs. 1 Buchst. f DSGVO.
Wenn Sie einen Besucherzähler verwenden möchten, sollten Sie zuvor den Nutzen prüfen. Der Einsatz lohnt sich nur dann, wenn sich auch jemand die gelieferten Statistiken anschaut, Auswertungen vornimmt und einen Vorteil für die Website darauf ziehen kann. Wenn Sie nur wissen möchten, welche Inhalte sich am besten finden lassen, sollten Sie die unkritische Google Search Console bzw. das Microsoft-Pendant Bing Webmaster Tools benutzen.
Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe 02/2023