.

Donnerstag, November 29, 2007

Xamit Studie: Datenschutz, Web Analyse und Websitebetreiber

Nach längerem Urlaub gibt es nun wieder in kürzeren Abständen weitere Posts. Es ist ja einiges im November passiert über das ich noch berichten werde.

Zunächst aber ein aktuelles Tagesthema. In diversen Medien wurde heute von einer Studie von Xamit berichtet die Seiten Betreiber und den Schutz der Besucherdaten bei der Verwendung von Web Analyse Tools untersucht hat (Heise Online berichtet hier bspw. darüber). Das Ergebnis der Studie zeigt auf, dass die wenigsten Seitenbetreiber ihr User darauf hinweisen, dass ein Web Analyse Tool benutzt wird. So weisen gemäß Studie nur 1% der Website die Google Analytics nutzen darauf hin, dass dieses Tool zum Tracken der Seite verwendet wird. Bei anderen Anbietern sieht der Prozentsatz zwar etwas besser, aber auch nicht rosig aus.

Für die Verwendung von Google Analytics müssen die Analytics AGBs akzeptiert werden (für diejenigen die sie nicht komplett durchgelesen haben: die Analytics AGBs). Unter Punkt 8.1 wird auf den Datenschutz einigegangen und explizit darauf hingewiesen, dass der Seitenbetreiber und Nutzer von Google Analytics seine User darauf hinzuweisen hat, dass Google Analytics verwendet wird. Google gibt sogar eine rechtlichen geprüften Satz vor, der bspw. auf der Impressums oder Disclaimer Seite eingebaut werden soll:

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“) Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglicht. Die durch den Cookie erzeugten Informationen über Ihre Benutzung diese Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten der Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.“

Mit dem Einbau dieses Satzes ist der Seitenbetreiber rechtlich auf der sicheren Seite. Zwar sind mir bisher keine Probleme bekannt geworden, wenn dieser Satz nicht eingabaut ist, dennoch kann ich absolut nur empfehlen dies zu machen. Dies ist dem User gegenüber auch nur fair.

9 Kommentare:

  1. Hallo Timo,

    danke für den Hinweis und auch für den Link zur Meldung von Xamit. Ich finde es immer wieder verwunderlich, wie sorglos mit dem Datenschutzthema Schlagzeilen gemacht werden: So weit ich weiss, spricht überhaupt nichts dagegen, einen externen Dienstleister mit der Traffic-Analyse zu beauftragen - die Daten es Nutzers bleiben dabei ja vollständig anonym.

    Die Speicherung der IP-Adressen wird von der Mehrzahl der deutschen Website-Betreiber dagegen ungeachtet eines gerichtlichen Urteils gegen das Speichern der IP-Adressen ganz naiv fortgesetzt (http://www.golem.de/0710/55076.html).

    Das ist ja nun auch der wunde Punkt von Google Analytics. Gibt es dazu Neues? Wird Google weiterhin die IP-Adressen aller Website-Besucher über mehr als zwei Jahre speichern oder gibt es Bestrebungen, dies zu ändern?

    Grüsse nach Hamburg,
    Frank Reese

    AntwortenLöschen
  2. Ich denke, es existiert für diese ganzen Bedingungen mittlerweile eine gewisse Betriebsblindheit. Bei jeder Software werden seitenweise Bedingungen zum Lesen und Akzeptieren "angeboten". Ich tippe mal, dass die wenigsten Nutzer das auch wirklich komplett durchlesen.
    Im Fall Google Analytics habe ich es neulich auch erst durch Durchlesen der Bestimmungen gemerkt, dass ein entsprechender Hinweis auf der Website veröffentlicht werden muss. Positiv anzumerken ist, wie oben schon beschrieben, der vorgefertigte Text.
    Aber wahrscheinlich ist Google Analytics zu einfach zu implementieren, so dass die Mehrheit getrost darüber hinwegliest. :)

    AntwortenLöschen
  3. Positiv ist auf jeden Fall, dass Google mit diesem Thema offen umgeht und Websitebetreibern hier diesen expliziten Text empfiehlt und zur Verfügung stellt (in allen wichtigen EU-Sprachen). Andere amerikanische Web-Analytics-Anbieter halten sich hier diskret zurück und überlassen dem Websitebetreiber den schwarzen Peter.

    Was die sonstigen Aussagen in der oben genannten Studie betrifft, wenn man mal näher reinschaut: Die Argumentationslinie läuft in etwa so, dass Logfile-Analyse gut ist (weil man dann weiß, was die Unternehmen mit den Daten machen) und Pixel-Analyse böse (weil man dann nicht weiß, was die Unternehmen mit den Daten machen). Etwas irritierend, bis man entdeckt, dass der Herausgeber der Studie selbst ein Web-Analytics-Anbieter ist - für Logfile-Analyse ...

    AntwortenLöschen
  4. Die Kommentare lassen erkennen, dass es sich um ein Thema handelt welches von Interesse ist. Von meiner Seite gibt es noch ein paar Updates und Gedanken.

    Wie Christoph schreibt geht Google mit dem Thema sehr offen um. Das Thema betrifft letztendlich drei Parteien, den Anbieter, den Publisher und den User. Der Anbieter kann durch Transparenz und vor allem Offenheit dafür sorgen, dass der Publisher entsprechend sensibilisiert ist. Dies geschieht durch eine einfache Sprache in den Nutzungsbedingungen. Also keinen technisch oder juristisch hochgestochenen Sprachstil, sondern so formulierte Bedingungen, dass wirklich jeder sie verstehen kann. In meinen Augen ist dies bei Google Analytics der Fall - vor allem dadurch, dass der Satz vorgegeben wird.

    Der Publisher hat dafür zu sorgen, dass der User darauf hingewiesen wird. Der User hat dann die Chance diesen Satz zu lesen und sich bei Bedarf entsprechend zu informieren bzw. Inititive zu ergreifen, wenn er partout nicht getrackt werden möchte.

    Im Grunde genommen ist das Tracking aber ja für den User vor Vorteil! Die Websites werden besser (Stichwort Usability), Kampagnen werden besser getargetet, etc. Und so lange keine individuellen Daten für irgendetwas benutzt werden sollten doch eigentlich alle glücklich sein, oder?

    @Frank:Ich habe Informationen. Die IP Adressen werden direkt (!) gelöscht, sobald die Geo Location des Users festgestellt worden ist. D.h. sie werden nicht (!) dauerhaft gespeichert.
    Der Wiedererkennungscookie (_utma) bleibt zwei Jahre lang erhalten. Warum dies nicht konform mit den üblichen 18 Monaten ist kann ich nicht sagen, sondern nur vermuten. Der Grund könnte sein den Analytics Nutzern eine Vergleichbarkeit der Daten auf Jahresbasis zu geben.

    Ich hoffe diese zusätzlichen Infos helfen ein wenig.

    AntwortenLöschen
  5. zum Beitrag: @Frank:Ich habe Informationen. Die IP Adressen werden direkt (!) gelöscht, sobald die Geo Location des Users festgestellt worden ist. D.h. sie werden nicht (!) dauerhaft gespeichert.
    Das steht doch diametral entgegen des Absatzes in der Google-Analytics Disclaimer "Ihre Benutzung diese Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert." - oder habe ich da was falsch verstanden?

    AntwortenLöschen
  6. In den Kommentaren wird des öfteren geschrieben: "Google geht mit dem Thema Datenschutz offen um".
    Da sollte man sich einmal die Reaktion der Google Führung ansehen wenn es um das Thema Datenschutz geht. Wie sagte Larry Page demletzt: "Wer etwas zu verbergen hat, sollte es lieber gleich lassen" Woher kennt man diese Rhetorik noch gleich?
    Quelle:
    http://derstandard.at/1259281655394/Privacy-Google-Chef-Wer-etwas-zu-verbergen-hat-sollte-es-lieber-gleich-lassen?_seite=6&sap=2

    Es gibt offenbar eine Art Betriebsblindheit was die kritische Betrachtung von Google angeht. Die bieten tolle Dienste kostenlos an und da wird das kritische Fragen gerne mal hintern angestellt.

    AntwortenLöschen
  7. Timo schrieb:
    -----
    Der Wiedererkennungscookie (_utma) bleibt zwei Jahre lang erhalten. Warum dies nicht konform mit den üblichen 18 Monaten ist kann ich nicht sagen, sondern nur vermuten. Der Grund könnte sein den Analytics Nutzern eine Vergleichbarkeit der Daten auf Jahresbasis zu geben.
    ------
    Das ist nur die halbe Wahrheit. Das Wiedererkennungscookies wird bei jedem Besuch wieder aktualisiert und bleibt von da ab wieder zwei Jahren lang gültig. Theoretisch also unendlich lange.

    AntwortenLöschen
  8. Daniel Rosner1/30/2010 11:57 AM

    Um nicht den Eindruck des Google-Hasser aufkommen zu lassen: Ich schätze das Tool sehr, aber es erfüllt im derzeitigen Status, bzw. in der Art seiner Anwendung nicht ie rechtlichen Vorgaben: Im Telemediengesetz "§ 13 Pflichten des Diensteanbieters" Artikel 1 steht:
    (2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

    1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
    2. die Einwilligung protokolliert wird,
    3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
    4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

    Demnach müsste jede Website zu Beginn den User aktiv abfragen, ob er bereit ist, dass Google seine personenbezogenen Daten (IP-Adresse) speichert und weiterverarbeitet. Ein sogenanntes Optin setzt derzeit aber kein Websitenbetreiber ein der GoogleAnalytics am Laufen hat. Ebenso müsste der User jederzeit der Datenerhebung widersprechen können (Optout). Dies ist auch nicht der Fall bzw. nur über NoScript etc.

    Timo und alle anderen Kommentarschreiber, wie seht Ihr das Thema?

    AntwortenLöschen
  9. Ich sehe das so, dass man die IPs wie hier beschrieben anonymisieren könnte, ist es nicht mittlerweile datenkonform?

    Laut diesem Beitrag könnte man es anonymisieren.

    http://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

    AntwortenLöschen

 
Google