Analysetools wie Google Analytics oder Piwik sind im Trend und auf vielen Webseiten eingebunden. Problematisch ist allerdings, dass offenbar weder Seitenbetreiber noch Webmaster bzw. Webdesigner genauere Kenntnisse darüber haben, wie eine datenschutzkonforme Einbindung erfolgen muss. So ist beispielsweise die bloße Anonymisierung der IP-Adressen nicht ausreichend. Hinzu kommt, dass auch wegen einer fehlenden oder fehlerhaften Datenschutzerklärung eine Abhmanung erfolgen kann.

Für die Nutzung von Webanalysetools hat der Düsseldorfer Kreis bereits im Jahr 2009 konkrete Vorgaben ausformuliert, konkret folgendes:

• Dem Besucher muss der Widerspruch ermöglicht werden
• Pseudonymisierte Daten müssen pseudonymisiert bleiben und gelöscht werden, wenn nicht mehr benötigt
• In der Datenschutzerklärung muss ausdrücklich auf die Verwendung von Analyse-Tools hingewiesen werden
• Ohne ausdrückliche Einwilligung dürfen keine vollständigen IP-Adressen verarbeitet werden
• Erfolgt die Analyse nicht auf dem eigenen Webserver, müssen die Vorschriften der Auftragsdatenverarbeitung eingehalten werden

Bevor es jedoch an die Umsetzung geht, muss die wichtigste Entscheidung getroffen werden: Google Analytics oder Piwik? Bei mir fiel die Entscheidung auf Piwik, sowohl aus politischen als auch als pragmatischen Gründen: Zunächst einmal ist Piwik Open-Source, also kostenfrei verfügbar und – jedenfalls im Gegensatz zu Google Analytics – relativ unabhängig. Auch vom Funktionsumfang her ist Piwik für die allermeisten Projekte ausreichend. Viel wichtiger aber noch: Die Daten liegen ausschließlich bei mir, was wiederum die Anforderungen an eine Auftragsdatenverarbeitung entfallen lässt. Diese ist in § 11 BDSG geregelt und besagt unter anderem, dass entsprechende Verträge schriftlich zu schließen sind. Will heißen: Nutzer [nbsp]von Google Analytics müssten einen schriftlichen Vertrag mit Google abschließen. Es gibt dafür einen Mustervertrag, der an die Zentrale in Irland gesendet werden muss. Einigen Nutzerberichten im Internet zufolge kann es hierbei wohl zu größeren Verzögerungen kommen; da ich selber das Problem durch Piwik umgangen habe, kann ich das aber weder bestätigen noch widerlegen.

Die Erfordernis entfällt natürlich nur, wenn Piwik von der selben Person betrieben wird wie die Webseite. Wird z.B. die Piwik-Installation eines Webdesigners genutzt, müsste ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden.

Nach diesem anfänglichen Erwägungen geht es nun also um die datenchutzkonforme Einbindung von Piwik, in meinem Fall in das Content-Management-System Contao. Dafür ist wie folgt vorzugehen:

1. Zunächst sind beide Systeme zu installieren
2. In Piwik oben rechts auf „Administration“ klicken, dann links auf Privatsphäre
3. Die Anonymisierung der IP-Adressen aktivieren
4. Auf der selben Seite etwas runter scrollen; dort findet[nbsp]sich unter „Piwik-Deaktivierung für Ihre Besucher“ ein iframe, der in die Datenschutzerklärung einzufügen ist. Das ist wichtig, weil dem Benutzer nur so eine Wahrnehmung des gesetzlich erforderlichen Widerspruchs möglich ist!
5. In der Datenschutzerklärung muss auf die Nutzung von Piwik hingewiesen werden, ein Muster gibt es z.B. hier.
6. Sodann kann im Seiten-Layout der Piwik-Tracking-Code eingebunden werden. dazu muss in Piwik auf Administration/Webseiten geklickt werden. Der Tracking-Code kann dort angezeigt werden.
7. Dieser Code wird im Seitenlayout unter „Eigener Javascript-Code“ eingefügt

Und schon läuft Piwik.[nbsp]

Zu beachten wäre jetzt noch, dass Piwik für das Tracking Cookies setzt. Auch hier ist die Rechstlage nicht gänzlich sicher. Für Contao-Nutzer könnte hier z.B. die Cookiebar interessant sein.