Datenschutz in Deutschland ist erfreulich strikt, aber unerfreulich weltfremd. Strenger Datenschutz ist zu begrüßen und die seriöse Auseinandersetzung damit wichtiger denn je. Aber Datenschutz, der die Realität ignoriert und mit unsinnigen Spitzfindigkeiten das Wesentliche aus dem Auge verliert, ist kontraproduktiv und macht es vor allem kleinen Websitesanbietern fast unmöglich, sich konform zum Datenschutzrecht zu verhalten. Nicht nur, dass Abzock-Anwälte weiter ungehindert die schwierige Rechtslage für das Geschäftsmodell „Geld verdienen mit Massenabmahnungen“ schamlos ausnutzen dürfen. Es gibt noch nicht einmal einen Ansatz an Hilfestellung vor allem für kleine Websitebetreiber, wie sie mit der irrealen Rechtslage zurecht kommen sollen.
Google Analytics ist die einzige kostenlose und zugleich effiziente Traffic-Analyse, die auch bei Werbekunden anerkannt ist. Wenn ich mich als kleine Website ohnehin schon schwer tue, Anzeigen zu verkaufen, lachen potenzielle Kunden mich doch nur aus, wenn ich ihnen erkläre, dass ich wegen Datenschutz leider keine anerkannt aussagekräftigen Traffic-Zahlen vorlegen kann. Gesetzeskonforme (oder zumindet als solches zertifizierte) Anbieter sind für viele einfach zu teuer.
Und soll ich mich wirklich vom Social-Media-Netz abkoppeln, auf meiner Website keinen Facebook-Like-Button anbieten, weil ich mir als Klein-Website nicht die Anwälte großer Portale leisten kann, die eine diesbezügliche Abmahnung notfalls abwehren oder bis vor den BGH tragen?
Datenschutzrechtlich saubere Varianten
Aber eigentlich wollte ich gar keinen politischen Beitrag schreiben, sondern zwei pragmatische Wege aufzeigen, wie man sowohl Google Analytics als auch den Facebook-Like-Button datenschutzrechtlich einigermaßen gesetzenkonform implementieren kann. Die Analytics-Lösung ist ganz simpel und nur mit dem kleinen Nachteil behaftet, dass auch damit noch nicht 100%ig klar ist, ob es wirklich völlig astrein ist. Die Facebook-Button-Lösung ist schlicht unelegant, aber zumindest einigermaßen praktikabel.
Google Analytics
Der Knackpunkt bei Google Analytics ist hauptsächlich die Speicherung der IP-Adresse der Besucher von Websites, die mit Analytics-Code getrackt werden. Google bietet hier eine wenig bekannte Erweiterung für den Analytics-Tracking-Code an, der eine Kürzung und damit eine Anonymisierung der IP-Adresse veranlasst. Für die meisten Websites macht das für die Qualität der Analytics-Zahlen keinerlei Unterschied und daher sollte man diese zusätzliche Code-Zeile auf jeden Fall verwenden. Dazu fügt man in den Analytics-Javascript-Code einfach eine Code-Zeile hinzu:
...
var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
...
Datenschutz-Puristen argumentieren allerdings, dass selbst diese Lösung nicht sauber sei, weil die IP-Adresse erst anoymisiert wird, nachdem sie an Google übermittelt wurde. Es findet also eine streng genommen unzulässige Übermittlung datenschutzrechtlich relevanter Daten (die volle IP-Adresse) statt, bevor sie durch Kürzung der IP-Adresse anonymisiert werden. Vermutlich werden sich Abmahn-Anwälte aber erst einmal auf die Opfer konzentrieren, bei denen die Sachlage eindeutiger ist – nämlich wo die IP-Adresse gar nicht anonymisiert wird.
Facebook Like
Heikel ist der Facebook-Like-Button auf Websites. Denn ohne aktives Zutun des Users werden hier bereits beim Laden der Website User-Daten an Facebook übermittelt, sofern der User bei Facebook gerade eingeloggt ist. Deshalb gibt es zum Facebook Like Button auch schon die ersten Abmahnungen.
Diskutiert wird unter Juristen heftig, ob allein eine Ergänzung der Datenschutzrichtlinien einer Website das Abmahnrisiko beseitigt. Wer sich darauf nicht einlassen will, müßte den Like-Button eigentlich komplett entfernen. Eine ziemlich unelegante, aber gangbare Variante schlägt die Anwaltskanzlei Ferner Alsdorf vor, die in Ansätzen auch schon ein passendes WordPress-Plugin dafür entwickelt hat. Die Idee: Den Facebook-Like-Button erst dann anzeigen, wenn der User per Mausklick explizit zugestimmt hat.
Eine immer noch nicht tolle, aber durchaus akzeptable Variante davon setzt der SWR3 bereits ein: Die Website zeigt statt des Facebook-Buttons einen Link mit dem Linktext „Facebook Like – Button anzeigen. Dadurch werden Daten an Facebook übermittelt“. Klickt der User darauf, kann man das wohl als Zustimmung zur Datenübermittlung verstehen. Entsprechend löst der Klick ein Javascript aus, dass den Text durch den eigentlichen Facebook-Like-Button ersetzt. Statt einmal muss der User also zweimal klicken, um ein „Like“ zu setzen. Dafür dann aber nach Einschätzung der Anwälte datenschutzrechtlich unbedenklich.
Der Javascript-Code ist auf der SWR3-Website im HTML-Code direkt eingebunden, sodass Ihr dort sehen könnt, wie’s gemacht ist. Danke an den SWR3 für die relativ schöne Umsetzung eines extrem nervigen Themas.
Marcos
on Feb 9th, 2011
@ 19:05:
Super Artikel! Vielen Dank für das Veröffentlichen!
Würde mich nur interessieren, wie sich der Datenschutz mit der kostenlosen Statistik PIWIK verträgt.
Nutze PIWIK bereits seit Monaten und es liefert mir sehr gute Statistiken. Sehe den Vorteil, dass sich zumindest die Daten in meiner Kontrolle, auf meinem Webspace, befinden.
Franz
on Feb 9th, 2011
@ 19:47:
Soweit ich weiß, speichert Piwik in der Standard-Installation die IP-Adressen ebenfalls mit. Man kann aber, wenn ich mich recht erinnere, die Speicherung der IP-Adressen deaktivieren oder mit einem Plugin unterbinden.
Piwik ist in Prinzip ein sehr guter Ersatz für Analytics, auch wenn es nicht die volle Funktionalität des Google-Tools hat. Meiner Erfahrung nach werden die Google-Analytics-Zahlen aber halt leider gerade von Media-Agenturen als deutlich glaubwürdiger angesehen, was natürlich darna liegt, dass Analytics jeder kennt und man dort nichts manipulieren kann, während man bei Piwik ja schon durch Verändern von Parametern viel Einfluß darauf nehmen kann, nach welchem Zeitraum beispielsweise eine PI als neuer Visit zählt. insofern führt für mein Gefühl an Google Analytics nach wie vor kaum ein Weg vorbei, wenn man eine kostenlose Lösung sucht.
Oliver Springer
on Feb 9th, 2011
@ 22:42:
Wenn es nur um Google und Facebook ginge, wäre das ja alles noch überschaubar. Aber zahlreiche Plugins und Widgets berühren die Problematik genauso. Nur dass darüber so gut wie nie geredet wird.
Im Internet fallen an allen Ecken und Enden Daten an. Natürlich spricht einiges dafür, Unternehmen wie Google und Facebook anders zu behandeln, weil Informationen hier ja gezielt gesammelt werden. Aber wenn man auf seinem eigenen Webspace nur für eigene, ganz harmlose Traffic-Auswertung Daten sammelt, hat man das Problem ja trotzdem. Und an dem Punkt wird es wirklich weltfremd.
Franz
on Feb 10th, 2011
@ 8:27:
@Oliver: Ja und nein. Denn nicht jede Speicherung und Verarbeitung von Daten ist ja grundsätzlich verboten. Solange man die Daten nur selbst speichert und nicht an Dritte weitergibt, kann man das über entsprechende Informationen in der Datenschutzerklärung ja durchaus tun – ich bin kein Jurist, weiß also nicht genau wo die Grenze ist … Das kritische scheint mir vor allem die (automatische und oft unbewußte) Weitergabe der Daten an Dritte (eben z.B. Google und Facebook) zu sein. und noch kritischer sehen Datenschützer das natürlich, wenn die Daten an ein US-Unternehmen mit den dort viel lascheren Datenschutzbestimmungen gesendet werden.
Aber prinzipiell hast Du natürlich Recht: An allen Ecken und Enden werden zumindest IP-Adressen gespeichert und übermittelt. Oft ist das zur Funktionalität des jeweiligen Features unabdingbar und wer sich strikt ans Gesetz hält, erleidet Nachteile gegenüber Mitbewerbern, die sich (ungestraft und unkontrolliert) darum nicht weiter scheren.
Ich bin überhaupt kein Verfechter des ohnmächtigen Aufgebens beim Datenschutz – nur weil im globalen Netz quasi alles erlaubt ist, müssen wir nicht einfach das Handtuch werfen. Aber ich erwarte von den Datenschützern schon, dass sie nicht nur sagen, was alles NICHT geht, sondern dass sie auch einen gangbaren Weg aufzeigen, wie Deutschland nicht im Internet-Mittelalter hängen bleibt, weil wir Vieles einfach nicht tun dürfen.
Und ganz vehement fordere ich, dass denjenigen Abmahn-Anwälte das Handwerk gelegt wird, die nur eine unsichere Rechtslage ausnutzen, um mit Serienbriefen wehrlose Klein-Websites abzuzocken. Die Abmahnung hat eine wichtige Funktion im Rechtssystem. Aber diese Anwälte pervertieren unser Rechtssystem viel mehr als Websites, die versuchen, sich bei undurchsichtiger und unpraktikabler Rechtslage irgendwie durchzuwursteln und dabei gelegentlich die Grenzen etwas überschreiten (oder sogar überschreiten müssen, um existieren zu können).
Und solange ich immer noch Werbe-Anrufe mit unterdrückter Anruferkennung auf meiner geheimen Privat-Nummer bekomme, will ich von keinem Datenschützer oder Politiker auch nur ein Wort über Speicherung von angeblich personenbezogenen IP-Adressen hören!
Marcos
on Feb 10th, 2011
@ 8:46:
@Franz: Ich stimme Dir voll zu, hinsichtlich der richtigen Wegweisung der Datenschützer.
Nicht jeder Onlineshop- und Homepagebetreiber ist ein Jurist. Die Abmahnungen in Deutschland gehören ja mittlerweile zu einem Wirtschaftszweig. Die Rechtslage sollte „klar“ und „verständlich“ definiert sein.
Wünschte mir, dass die erste Abmahnung, auch wenn diese gerechtfertigt wäre nur auf einen Betrag in Höhe von 100,-€ begrenzt wäre. So das Abmahnanwälte dies nicht mehr für lukrativ halten.
Manuel
on Feb 10th, 2011
@ 9:20:
@Franz:
Piwik speichert die IP-Adressen selbstverständlich mit, aber mit einem Plugin, das man nur aktivieren muss (ist mitgeliefert) werden die IP-Adressen um das letzte Oketett gekürzt (aus 85.142.14.20 wird 85.142.14.0, aus 85.142.14.99 ebenso).
Somit sehe ich keinen Grund, warum man das ganze nicht via Piwik nutzen sollte. Zumal man ja jederzeit via Opt-Out das eigene Tracking deaktivieren kann ;)
Franz
on Feb 10th, 2011
@ 9:37:
@Marcos: Ich würde sogar noch einen Schritt weitergehen und Abmahnungen durch Anwalt in der Regel komplett unterbinden wollen, wenn nicht eine (kostenfreie) Warnung per E-Mail vorausgegangen ist. „Sie tun auf Ihrer Website etwas, das Sie nicht dürfen, und zwar XYZ. Stellen Sie das bitte innerhalb von 7 Tagen ab“. Erst wenn der Websitebetreiber darauf nicht reagiert, sollte eine kostenpflichtige Abmahnung durch einen Anwalt überhaupt zulässig sein. Denn sind wir ehrlich: Einen Anwalt braucht’s für die meisten Abmahnungen wirklich nicht, denn da geht es nicht um hochkomplexe jurisitsche Sachverhalte, sondern um sehr triviale Dinge, die jeder mit etwas Intelligenz ausgestattete Normalmensch auch ohne Anwalt regeln kann.