In dem Artikel „Haftung für Google Analytics vermeiden – Anleitung für Webmaster“ habe ich nach Alternativen zu Google Analytics gefragt und in den meisten Fällen „Piwik“ als Empfehlung erhalten. Auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat Piwik geprüft und (unter Bedingungen) als rechtssicher eingestuft.
Es gibt also viele Gründe, sich das Tool aus rechtlich-praktischer Sicht genauer anzuschauen.
Der größte Unterschied zwischen Piwik und Googles Statistiktool liegt darin, dass Piwik auf dem eigenem Server des Anwenders gehostet wird und dieser die volle Kontrolle über die Daten hat. Doch sind die Piwik-Nutzer dadurch automatisch auf der sicheren Seite? Nein – aber das lässt sich mit wenigen Schritten ändern.
Piwik datenschutzkonform nutzen
Auch bei Piwik müssen folgende Voraussetzungen erfüllt werden:
- IP-Adresse anonymisieren
(Plugin AnonymizeIP unter Einstellungen/Plugins aktivieren) - Opt-Out anbieten
(Hier beschrieben, wie man es einbinden kann. Sollten Sie eine ältere Versionen von Piwik nutzen, muss der Opt-Out-Hinweis auf Deutsch übersetzt werden) - Datenschutzerklärung ergänzen
Die beiden ersten Punkte werden in der umfassenden Anleitung „Hinweise und Empfehlungen zur Analyse von Internet-Angeboten mit ‚Piwik‚“ des ULD detailliert beschrieben. Eine Datenschutzerklärung fand ich dort nicht, daher schlage ich hier eine vor.
Sie dürfen das Muster gerne für Ihre Seite übernehmen, über einen Link auf diesen Artikel (z.B. Muster von spreerecht.de), würden wir uns sehr freuen. Über Hinweise zur Verbesserung selbstverständlich auch. Die roten Passagen deuten auf Punkte hin, die Sie beachten oder gegebenenfalls ändern müssen. Wenn es Updates gibt, werden wir darauf hinweisen. Abonnieren Sie unser Blog oder werden Fans unserer Facebook-Seite, um die Updates nicht zu verpassen.
Deutsch:
Diese Website benutzt Piwik, eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Piwik verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieses Internetangebotes werden auf dem Server des Anbieters in Deutschland gespeichert. Die IP-Adresse wird sofort nach der Verarbeitung und vor deren Speicherung anonymisiert. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. [IFRAME mit deutscher Übersetzung und Opt-Out Cookie entsprechend obiger Anleitung einsetzen]
Englisch:
This website uses Piwik, a web analytics open-source software. Piwik uses “cookies”, which are text files placed on your computer, to help the website analyze how users use the site. The information generated by the cookie about your use of the website (including your IP address anonymized prior to its storage) will be stored on the server of the service provider in Germany. You may refuse the use of cookies by selecting the appropriate settings on your browser, however please note that if you do this you may not be able to use the full functionality of this website. [IFRAME mit Opt-Out Cookie entsprechend obiger Anleitung einsetzen]
Ist Piwik dann datenschutzrechtlich komplett sicher?
Damit Piwik ganz unbedenklich eingesetzt werden kann, müssen nach der Anleitung vom ULD noch weitere Bedingungen erfüllt werden:
- Referrer sollen „sparsam“ verwendet werden,
- die Lebensdauer von Cookies sollte eine Woche nicht übersteigen und
- die Datensätze sollen anlasslos und regelmäßig gelöscht werden.
Adrian Schneider vom Telemedicus setzt sich mit den weiteren Anforderungen in dem lesenswerten Beitrag „ULD empfiehlt Alternative zu Google Analytics“ kritisch auseinander und zieht das Fazit:
Wer auf Cookies verzichtet, Referrer „sparsam” (bedeutet gar nicht) einsetzt und Archive ständig löscht, der kann sich die statistische Auswertung seiner Webseite auch schenken
Auch Jens Ferner sieht UDLs Dokument im Beitrag „ULD gibt Hinweise zu Piwik“ eher kritisch und sagt unter anderem zu der vorgeschlagenen Löschung von Datensätzen:
M.E. gilt die Löschpflicht nur bei personenbezogenen Daten, nicht bei anonymisierten Daten.
Wenn es darum geht potentielle Abmahnungen oder Bußgelder zu vermeiden, reicht es meines Erachtens aus, die ersten drei Voraussetzungen (IP-Anonymisierung, Opt-Out-Möglichkeit und Datenschutzerklärung) zu beachten. Dann ist das Tracking mit Piwik tatsächlich rechtssicherer als mit Google Analytics.
Dieses Mehr an Rechtssicherheit ergibt sich für die Anwender vor allem daraus, dass Piwik eine Opt-Out-Möglichkeit für alle Browser bietet und nicht wie Google nur für bestimmte Browser (Update – Google bietet ein Opt-Out für alle Browser, trotzdem ist Piwik aus der Sicht der Datenschützer die bessere Alternative, da die Daten der Nutzer nicht quer über das Netz gesammelt werden).
Fazit
Wer zur Datensicherheit beitragen und mehr Kontrolle haben möchte, der sollte zu Piwik greifen. Wegen der Möglichkeit eines umfassenden Opt-Outs ist es datenschutzrechtlich sicherer als Google-Analytics.
Dabei fällt jedoch auf, dass weder Piwik noch Google Analytics vom Haus aus datenschutzkonform sind. Die Anwender müssen selbst darauf achten, dass die IP-Adressen anonymisiert und die Datenschutzerklärung ergänzt wird.
Bitte beachten Sie, dass dies nur eine rechtliche Analyse ist, auf welche die technischen Qualitäten der beiden Tools gar keinen Einfluss genommen haben.
Falls Sie weitere Fragen zum Thema Datenschutz haben oder Hilfe bei datenschutzkonformer Gestaltung Ihres Angebotes benötigen, stehen wir gerne zu Ihrer Verfügung.
Update
14.03.2014 – LG Frankfurt & Piwik: Abmahnbarkeit fehlerhafter Datenschutzerklärung erneut bestätigt – LG Frankfurt urteilt, dass ein fehlender Datenschutzhinweis beim Piwikeinsatz abmahnbar ist. Bitte benutzen Sie das obige Muster.
Weitere Informationen
- Piwik Homepage
- Hinweise und Empfehlungen zur Analyse von InternetAngeboten mit ‚Piwik vom UDL
- ULD empfiehlt Alternative zu Google Analytics von Telemedicus
- ULD gibt Hinweise zu Piwik von der Anwaltskanzlei Ferner Alsdorf
- Haftung für Google Analytics vermeiden – Anleitung für Webmaster von uns. In diesem Artikel werden auch die datenschutzrechtlichen Grundsätze beim Besuchertracking erklärt.
Hallo,
nur ein kleiner Hinweis, in meiner Installation war die Übersetzung schon enthalten, den Schritt könnte man sich also sparen!
Danke für den Artikel.
Mike
Vielen Dank für den Hinweis, habe den Artikel entsprechend der neuesten Version ergänzt!
„Piwik als Alternative zu Google Analytics? (Mit Datenschutzmuster)“ von @thsch http://is.gd/Vo5N6G
RT @MichaelSeidlitz: „Piwik als Alternative zu Google Analytics“ von @thsch http://is.gd/Vo5N6G
RT @michaelseidlitz: „Piwik als Alternative zu Google Analytics? (Mit Datenschutzmuster)“ von @thsch http://is.gd/Vo5N6G #fb
RT @MichaelSeidlitz: „Piwik als Alternative zu Google Analytics? (Mit Datenschutzmuster)“ von @thsch http://is.gd/Vo5N6G
Ich benutze Piwik für meine eigene Internetseite und ich muss sagen, ich bin sehr zufrieden. Ich hatte vorher neben Google Analytics noch Clicky ausprobiert, doch mit diesem Tool ist es nicht möglich, IP-Adressen zu anonymisieren. Piwik ist zudem übersichtlicher und handlicher.
Es ist wirklich unfassbar in was für ein Land ich lebe. Am besten verbieten wir gleich allen Server IP´s zu loggen damit Hacker in Server eindringen können ohne zurückverfolgt werden zu können. Ich finde es richtig das meine Daten nicht ohne Hinweis in Amerika gespeichert werden aber wenn Leute meine Internetseite besuchen und MEIN Server der in Deutschland steht und auf den nur ich und ggf. mein Provider Zugriff haben die Besucherdaten zur Analyse speichert dann ist das in meinen Augen rechtskonform. Piwik Betreiber nutzen meine Daten sicher nicht im bösen Sinne sondern zur Analyse. Ich finde man sollte etwas auf dem Boden bleiben und die Webseiteninhaber eher loben eine eigene Software einzusetzen für die Kosten anfallen anstatt diese noch mehr mit den Füßen zu treten.
Ich bin verunsichert bzgl. einer Passage des ULD-Dokuments. Dort heißt es auf Seite 15:
„Nach der neuen Version ist die Verwendung von Web-Analyse-Cookies nur zulässig, wenn der Nutzer vor dem erstmaligen Setzen eines Cookies alle relevanten Informationen erhält und auf dieser Grundlage seine Einwilligung erteilt (sog. Opt-In). Der späteste Zeitpunkt für eine Umsetzung in nationales Recht ist der 25. Mai 2011.“
Ich lese das so, dass bis morgen eine nationale Regelung erfolgt sein muss, in der jeder Besucher vor dem Setzen eines Cookies informiert werden muss. Ein Opt-Out im Impressum wäre dann ja nicht mehr ausreichend.
Gibt es hierzu aktuelle Erkenntnisse oder Empfehlungen?
Bis jetzt ist noch keine Umsetzung in verbindliches Recht erfolgt. Wir werden hier im Blog informieren, wenn es soweit ist.
Der Link zum Opt-Out ist nicht ganz korrekt, oder? Wenn man ihm folgt, dann landet man in einem Formular einen neuen Beitrag im Forum zu erstellen (So man denn im Piwik-Forum einen Account hat.)
Grüße
Christoph
Wie es aussieht ist der Beitrag nunmehr nur noch für registrierte Forenmitglieder erreichbar. Aber laut Titel des Forenbeitrags stimmt der Link selbst noch.
nun – G. ist ja nicht gerade für seinen Umgang mit Userdaten bekannt – ich denke eigene Lösungen sind da wo es realisierbar ist immer zu bevorzugen. Die Kontrolle über die Daten sollte nicht leichtfertig aus der Hand gegeben werden (auch bei Text und Tabellen, und anderen Services)
Hallo der Link funktioniert nicht an dieser Stelle:
Opt-Out anbieten
(Hier beschrieben, wie man es einbinden kann. Sollten Sie eine ältere Versionen von Piwik nutzen, muss der Opt-Out-Hinweis auf Deutsch übersetzt werden)
Der „hier beschrieben“ Link führt lediglich auf eine leere Seite. Ich hab jetzt einfach mal die IPs anonymisiert und den Iframe der einem angeboten wird in die Datenschutzbestimmung mit eingefügt.
Der unter Punkt 2. Opt-Out anbieten mit „Hier beschrieben“ titulierte Link führt ins Leere, die aktuelle und funktionsfähige URL lautet http://forum.piwik.org/read.php?5,56981
Ist die obige Mustererklärung ausreichend und abschließend? Piwik speichert schließlich noch mehr Daten als die IP-Adresse (zB Browserversion). Muss die Speicherung dieser Daten nicht erwähnt werden?
Hallo Herr Schwenke,
bin erst jetzt zu Piwik umgestiegen und fand Ihren Artikel wie immer sehr hilfreich.
Beim technischen Teil des ULD bin ich entweder zu alt oder es stimmt nicht. Auf jeden Fall ist der Piwik Link falsch (bei mir ist der Pfad nicht /x-piwik/)
Allerdings ist es viel einfacher als (so wie ich es verstanden habe) beschrieben, den IFRAME zum logout des Lesers anzubieten. In Piwik wird dieser IFRAME zum kopieren unter Einstellungen -> Privatsphäre ganz unten unter „Piwik-Deaktivierung für Ihre Besucher“ angeboten. Einfach in Ihren Text kopieren und fertig.
Falls dies schon alle ausser mir wussten, sagt es mir bitte nicht.
Ansonsten Viel Erfolg.
Daniel
PS.: Was soll ich von einem Land halten, in dem der verbotene Bundestrojaner dennoch losgeschickt wird, die Bürger auszuspionieren.
Aber ich darf anonyme Daten nicht auswerten … 1984 anyone?
Seid den Piwik bei mir auf den Rechner platz gefunden hat ist der jeden tag im Einsatz.
Hallo, ich bin rein zufällig auf Ihre Seite „hinein“ gefallen, zum Glück wohl nicht auf die Nase, als ich nach Berichten zum Jetpack von WordPress.com suchte, wobei ich schon Piwik als Alternativ heranziehen wollte.
Ich betreibe selbst WordPress auf anderem Server als von WordPress.com, ist also nicht beim Letzteren herbergert.
Dennoch stellt sich die Frage, was IP-anonymisieren wohl heißen soll. Im Grunde speichern alle Anbieter von Websites IPs im Log vom Apache-Server auch für für ganz normale Webseiten.
Es steht nämlich nach dem deutschen Gesetz, daß alle Anbieter verpflichtet sind, alle IPs 6 Monate lang zu speichern und zu bewahren, für den Fall einer Ermittlung durch die Behörden zur Verfolgung einer Straftat oder sehe ich irgendwie falsch diesbezüglich?
Meinerseits sehe ich nicht ein, was daran schlimm ist, IPs zu speichern, die nur zum Anbieter wie Telekom oder 1&1 etc. führt, aus dem eine dynamische IP bei der Internet-Verbindung zugewiesen worden ist. Personenbezogene Daten sind dabei nicht direkt zu ermitteln, es sei denn die Behörden suchen auf Antrag bei einer Fahndung danach.
Danke vorweg, wenn Sie dies gerne klären.
Im Übrigen habe ich gleich auf meine Cookies unter meiner Webseite angeschaut und es steht dennoch von WordPress (also ohne Askimet und ohne stats – ich habe gar keine plugins eingesetzt) nur diese Angaben, die sicherlich harmlos sind:
wp-settings-1
wp-settings-time-1
Klar wird, wie dies für Datum gebraucht wird, wenn ein Beitrag im Blog veröffentlicht wird…