Update: Mit Inkrafttreten der EU-DSGVO entspricht dieser Artikel nicht mehr den neuen datenschutzrechtlichen Anforderungen, die sich aus der Datenschutzgrundverordnung ergeben.

Datenschutz – Regelungen bei dem Einsatz von Digital Analytics

Datenschutz ist allgemein geregelt im Bundesdatenschutzgesetz (BDSG). Einen Überblick zu dem BDSG findet man beispielsweise hier.

Die Grundlage für einen datenschutzkonformen Umgang mit Digital Analytics Tools bilden daneben die im November 2009 vom Düsseldorfer Kreise getroffenen Beschlüsse zur Reichweitenmessung.

Datenschutz in Verbindung mit dem Einsatz von Digital Analytics

Für einen datenschutzkonformen Einsatz vonDigital Analytics ergeben sich für dieDigital Analytics durch die Vorgaben der Aufsichtsbehörden sowie der Digital Analytics Tool Herstellerfolgende Punkte, die zu beachtenund anzuwenden sind:

Vertrag zur Auftragsdatenverarbeitung

Ein Vertrag zu Auftragsdatenverarbeitung regelt den Umgang mit erhobenen Daten nach §11 BDSG. Nach Ansicht der Aufsichtsbehörden sind Betreiber von Websites und anderen digitalen Angeboten beim Einsatz von Digital Analytics als Auftraggeber und Hersteller von Digital Analytics Tools als Auftragnehmer anzusehen und so ist mit dem Tool-Hersteller ein schriftlicher Vertrag zur Auftragsdatenverarbeitung abzuschließen.

In den meisten Fällen sind diese vertraglichen Regelungen in dem Vertrag zwischen dem Betreiber der Website oder des digitalen Angebotes und dem Hersteller des Digital Analytics Tools in einem Absatz des Lizenzvertrages zum Thema Datenschutz geregelt.

Zu erwähnen sind hier Besonderheiten bei beispielsweise Google Analytics und Piwik

Bei den Tools Google Analytics und piwik wird dies etwas anders gehandhabt. Eine Property in Google Analytics kann angelegt werden, ohne dass ein Vertrag zwischen Google und dem Betreiber einer Website unterzeichnet wird. Möchte man hier datenschutzkonform handeln, muss man sich den separat zur Verfügung gestellten Vertrag zur Auftragsdatenverarbeitung bei Google herunterladen, ausdrucken und dann unterschrieben an Google senden. Eine Antwort von Google sollte man nach einiger Zeit ebenfalls postalisch erhalten.

piwik dagegen wird in der Regel durch den Betreiber der Website selbst bereitgestellt und Betrieb, Datenzugriff und Datenschutz sind von dem Betreiber des digitalen Angebotes zu gewährleisten.

Wird piwik als eine Art SaaS-Lösung betrieben und Accounts an eigene Kunden vermietet, muss sich der Betreiber der piwik-Lösung eigenständig um einen Vertrag zur Auftragsdatenverarbeitung mit seinen Kunden kümmern.

Datenschutzkonforme Anpassung der Digital Analytics

Anonymisierung der IP-Adressen

Ein weiterer Punkt zu dem Thema Datenschutz ist die Anpassung der Digital Analytics Messung oder Tools bezüglich einer anonymisierten Speicherung der IP-Adressen der getrackten Besucher. Zumindest das letzte Oktett muss verschleiert werden um eine ausreichende Anonymisierung herzustellen.

Dies wird ebenfalls bei den Digital Analytics Tools unterschiedlich gehandhabt und eingerichtet. Bei manchen Tools geht es über die Konfigurationseinstellungen des eigenen Accounts, bei anderen wiederum wird der Tracking-Code entsprechend angepasst und spezielle Konfigurationsparameter hinzugefügt.

Um verschiedene Stufen der Anonymisierung konfigurieren zu können, bieten die meisten Tools erweiterte Einstellungen zur Speicherung der IP-Adresse. So kann zum Beispiel auch mehr als das letzte Oktett verschleiert werden. Hier muss man abwägen, wie wichtig für eigene Richtlinien des Datenschutzes eine erweiterte Anonymisierung ist. Je mehr Teile der IP-Adresse anonymisiert werden um so ungenauer wird eine IP-basierte Geolocation.

Die Aufsichtsbehörde hat die Anonymisierung des letzten Oktetts als ausreichend erklärt.

Zusatz: Neutralisierung und Anonymisierung der übermittelten Daten

Für die Messung von Besuchern einer Website oder auch Benutzern von digitalen Angeboten ist des Weiteren zu beachten, dass die erhobenen Daten keinen Rückschluss auf einen eindeutig identifizierbaren User erlauben dürfen. Werden zum Beispiel Daten in einem Web-Formular erhoben, die zusammen erlauben einen User zu identifizieren, so sind die Daten soweit zu neutralisieren, dass keine Rückschlüsse auf den User gezogen werden können. Dies könnte beispielsweise der Fall sein, wenn ein besonderer Titel (Prof. Dr. Dr.) einer Person in Verbindung mit der Postleitzahl einer sehr kleinen Gemeinde gemessen werden. Unter Umständen ist es in diesem Fall möglich eine individuelle Person zu identifizieren. Werden hingegen nur die ersten 4 Stellen einer Postleitzahl übertragen, ist dies ziemlich sicher nicht mehr möglich.

Notwendige Anpassung des Datenschutzhinweis in digitalen Angeboten

Der Einsatz von Digital Analytics Tools ist in der Datenschutzerklärung bzw. im Impressum zwingend anzugeben.

Die meisten Tool-Hersteller bieten für ihr Digital Analytics Tool eine Formulierung für die Datenschutzerklärung an, um den Betreibern von Websites und digitalen Angeboten die Anpassung der Datenschutzerklärung zu vereinfachen.

Vorformulierte und anpassbare Textpassagen für einen Datenschutzhinweis findet man zum Beispiel bei www.e-recht24.de

Widerspruchsrecht gegen die Nutzung von Digital Analytics

Um datenschutzkonform zu agieren ist es notwendig, dass Besuchern oder Benutzern von digitalen Angebotenund Websites die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt wird.Der Nutzer muss sowohl auf die Verwendung seiner Daten als auch auf das Widerspruchsrecht hingewiesen werden.Regelungen hierzu findet man in § 13 Abs. 1 sowie in § 15 Abs. 3 TMG.

Dabei empfiehlt es sich nach Möglichkeit das Widerspruchsrecht in den Datenschutzhinweisen zu integrieren. Der hierzu erforderliche Text und Code muss dann entsprechend auf der Webseite eingebunden werden, damit Besucher auf einfache Art und Weise von ihrem Widerspruchsrecht Gebrauch machen können.

Es ist notwendig, dass den Nutzern die Möglichkeit des Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt wird.

Digital Analytics Tools bieten durch ein Verfahren über einen sogenannten Opt-Out-Cookie eine Möglichkeit, den Einsatz von Digital Analytics für einen Besucher zu deaktivieren. Der Nutzer hat dazu die Möglichkeit, durch Klicken eines Links in der Datenschutzerklärung das Opt-Out-Cookie zu setzen. Für das Opt-Out-Cookie bieten die Hersteller der Digital Analytics Tools unterschiedliche Mechanismen an, um die Regelungen des Datenschutzes umsetzen zu können. In der Regel wird in der Datenschutzerklärung ein Link auf eine spezielle Webpage des Hersteller eingefügt, die dann nach einem Klick auf den Link das Opt-Out-Cookie setzt. Dadurch wird sichergestellt, dass das Tracking im weiteren Verlauf verhindert wird, wenn das Opt-Out-Cookie gesetzt wurde.

Andere Hersteller bieten eine Javascript-Funktion an, die in der Webseite hinterlegt werden muss. Durch einen Aufruf der Funktion über beispielsweise einen Link wird dann ebenfalls das Opt-Out-Cookie gesetzt.

Datenschutzkonform erst durch das Löschen von Altdaten

Damit der Datenschutz und die Regelungen der Aufsichtsbehörde korrekt umgesetzt werden, ist noch zu beachten, dass die oben aufgeführten Punkte zunächst umgesetzt sein müssen, bevor Digital Analytics zum Einsatz kommt. Sind Daten vorher schon erhoben worden, müssen diese gelöscht werden um die Regelungen der Aufsichtsbehörde hinsichtlich des Datenschutzes voll zu erfüllen.

Zusammenfassung der Punkte zu dem datenschutzkonformen Einsatz von Digital Analytics

1. §11 BDSG zu Abschluss eines Vertrages zur Auftragsdatenverarbeitung

2. Datenschutzkonforme Anpassung der Digital Analytics

3. Angepasster Datenschutzhinweis für die digitalen Angebote

4. Widerspruchsrecht von Besuchern oder Benutzern digitaler Angebote

5. Löschung von Altdaten in Digital Analytics Accounts

Ein Fazit zu Datenschutz und Digital Analytics:

Ein datenschutzkonformer Einsatz von Digital Analytics ist möglich und die umzusetzenden Regelungen der Aufsichtsbehörden lassen sich relativ einfach und schnell in das eigene digitale Angebot zu integrieren.

Die einzelnen Details unterscheiden sich etwas bei den unterschiedlichen Analyse-Tools. Die Hersteller helfen hier aber in der Regel gerne weiter.

Die hier aufgeführten Punkte zum Datenschutz sollten für das eigene Angebot nochmals überprüft werden. Je nach Unternehmen und den eigenen Datenschutzrichtlinien ergeben sich weitere Punkte die zu beachten sind.

Auf Grund sich verändernder Regelungen und Gesetze zum Thema Datenschutz, insbesondere auch in Verbindung mit dem Einsatz von Digital Analytics, erhebt dieser Artikel keinen Anspruch auf Vollständigkeit und der Autor übernimmt keine Verantwortung für die Richtigkeit und Aktualität der zusammengetragenen Themen in diesem Beitrag.

Für einen praktischen Einsatz von Digital Analytics in digitalen Angeboten sollte vorab in jedem Fall ein Datenschutzbeauftragter oder ein Rechtsanwalt kontaktiert werden.

• Über
• Letzte Artikel

Michael Antony

Managing Consultant bei NTT DATA Deutschland GmbH

Michael Antony arbeitet als Managing Technical Consultant in den Bereichen Digital Marketing und Digital Analytics Consulting. In diesen Bereichen und im Customer Management konnte er in seiner beruflischen Laufbahn langjährige Erfahrung sammeln und ist unter anderem Adobe Certified Expert und comScore Certified Digital Analytix Professional.

Letzte Artikel von Michael Antony (Alle anzeigen)

• Vergleichszeiträume mit Adobe Analytics Workspace nutzen - 31. Mai 2018
• Digital Marketing Kampagnen messen mit Google Analytics - 13. August 2015
• Attributionsmodelle einer Customer Journey im Multi-Channel-Marketing - 9. Juni 2015