Zum Inhalt springen Zur Navigation springen
Piwik datenschutzkonform einsetzen

Piwik datenschutzkonform einsetzen

Seit Jahren diskutieren die Aufsichtsbehörden über den datenschutzkonformen Einsatz von Webanalysetools. Auf Grundlage der im November 2009 vom Düsseldorfer Kreis beschlossenen Eckpunkte zum datenschutzkonformen Umgang mit Webanalysetools wurde zwischen den Aufsichtsbehörden ein Einvernehmen erzielt. Das bekannteste Webanalysetool ist wohl Google-Analytics, bei dessen Nutzung eine Datenübertragung an Google stattfindet. Es gibt aber auch Konkurrenzprodukte, eines davon ist Piwik, welches den Vorteil hat, dass selbiges auf den eigenen Rechnersystemen gehostet werden kann, so dass eine Datenübermittlung an Dritte nicht notwendig ist. Nachfolgend werden die Voraussetzungen für einen datenschutzkonformen Einsatz von Piwik dargestellt.

Was ist zu tun?

Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Webanalysetools unter Beachtung der Vorgaben der Aufsichtsbehörden grundsätzlich insgesamt fünf Punkte, die einzuhalten sind:

  1. Vertrag zur Auftragsdatenverarbeitung bei Übermittlungen an Dritte (§ 11 BDSG – Vertrag)
  2. Anonymisierung der IP-Adressen
  3. Widerspruchsrecht der Betroffenen
  4. angepasster Datenschutzhinweis in der Datenschutzerklärung
  5. ggf. Löschung von Altdaten (bei zuvor rechtswidrig eingesetzten Analysetools)

1. Vertrag zur Auftragsdatenverarbeitung

Ein Vertrag zur Auftragsdatenverarbeitung (§ 11 BDSG) mit dem Hersteller ist bei Piwik im Gegensatz zu Google-Analytics nicht notwendig, da keine Daten an Piwik übermittelt werden.

Ein Vertrag gem. § 11 BDSG kann aber mit einem selbst ausgewählten Dienstleister notwendig werden, wenn Piwik nicht auf den eigenen Rechnern, sondern auf fremden Rechnern (z.B. Outsourcing der IT) gehostet wird, denn dann werden Daten im Auftrag erhoben. Zugleich würde selbiges eine Kontrolle des Dienstleisters noch vor Beginn der Datenverarbeitung notwendig machen. Die Nichteinhaltung dieser Voraussetzungen sind bußgeldbewehrt (§ 43 Abs. 1 Nr. 2b BDSG).

2. Anonymisierung der IP-Adressen

Weiterhin muss die Erfassung der IP-Adressen anonymisiert werden. Dies geschieht durch Einsatz des Plugins AnonymizeIP, welches über den Menupunkt „Einstellungen ->Plugins“ erreichbar ist.

3. Widerspruchsrecht / 4. Anpassung der Datenschutzerklärung

Daneben ist notwendig, dass den Betroffenen die Möglichkeit eines Widerspruchs gegen die Erfassung von Nutzungsdaten eingeräumt und der Nutzer auf die Verwendung seiner Daten und das Widerspruchsrecht hingewiesen wird (§ 13 Abs. 1 und § 15 Abs. 3 TMG).

Dabei empfiehlt es sich nach Möglichkeit das Widerspruchsrecht in die Datenschutzerklärung zu integrieren. Der hierzu erforderliche Code muss dann entsprechend auf der Webseite eingebunden werden. Beispiel:

<iframe frameborder="no" width="600px" height="200px" src="http://www.example.com/x_piwik/index.php?module=CoreAdmin Home&action=optOut"></iframe>

Zu beachten ist hierbei, dass derzeit der Hinweistext auf Englisch erscheint. Eine Übersetzung muss manuell in der Datei /lang/en.php beziehungsweise /lang/de.php vorgenommen werden.

Die vollständigen Datenschutzhinweise sollten dann wie folgt aussehen:

Analysedienste

Unsere Website verwendet Piwik, dabei handelt es sich um einen sogenannten Webanalysedienst. Piwik verwendet sog. „Cookies“, das sind Textdateien, die auf Ihrem Computer gespeichert werden und die unsererseits eine Analyse der Benutzung der Webseite ermöglichen. Zu diesem Zweck werden die durch den Cookie erzeugten Nutzungsinformationen (einschließlich Ihrer gekürzten IP-Adresse) an unseren Server übertragen und zu Nutzungsanalysezwecken gespeichert, was der Webseitenoptimierung unsererseits dient. Ihre IP-Adresse wird bei diesem Vorgang umge­hend anony­mi­siert, so dass Sie als Nutzer für uns anonym bleiben. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden nicht an Dritte weitergegeben. Sie können die Verwendung der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern, es kann jedoch sein, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können.

Wenn Sie mit der Spei­che­rung und Aus­wer­tung die­ser Daten aus Ihrem Besuch nicht ein­ver­stan­den sind, dann kön­nen Sie der Spei­che­rung und Nut­zung nachfolgend per Maus­klick jederzeit wider­spre­chen. In diesem Fall wird in Ihrem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass Piwik kei­ner­lei Sit­zungs­da­ten erhebt. Achtung: Wenn Sie Ihre Cookies löschen, so hat dies zur Folge, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von Ihnen erneut aktiviert werden muss.

Widerspruch:

5. Löschung von Altdaten (bestehende Analyseprofile)

Es ist zu beachten, dass die Anpassungen nur neue Analyseprofile erfassen. Zuvor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Die Frage zur Cookie-Lifetime wird in diesem Artikel überhaupt nicht (mehr) behandelt. Kein Thema mehr für den Datenschutz? Ich denke schon!
    Da auch ich mich mit Piwik und dem Datenschutz befasse, habe ich im September 2011 einen Artikel über die Cookie-Problematik auf redirect301.de veröffentlicht. Dies hilft sicherlich auch dem einen oder anderen Leser dieser Seite weiter.

    Den OptOut-Iframe-Text habe ich bei meinen Piwik-Installationen bisher immer auf deutsch angezeigt bekommen. Wurde hier bei den Installationen hier eventuell „englisch“ ausgewählt? Nichts desto Trotz kann man natürlich in den Sprachdateien Anpassungen vornehmen. Das Problem ist jedoch, dass nach einem Piwik-Update die eigenen Änderungen überspielt werden. Hier muss wohl derzeit jeder für sich einen entsprechenden Workaround finden.

  • Guten Tag, mich würde interessieren, ob ich mit meinem Provider bei dem ich für meine Webseite einen Webserver angemietet habe auch einen Vertrag zur Auftragsdatenverarbeitung abschließen muss? Ich meine die wenigsten Firmen haben einen eigenen Server im Haus stehen sondern meist bei einem Provider oder in dessen Rechenzentrum.

    Mit Gruß
    Marion

    • Da sprichst Du ein spannendes Thema an!

      Die rechtliche Zuordnung ist beim sog. Webhosting umstritten. Es werden in der Literatur beide Auffassungen, pro und contra Auftragsdatenverarbeitung, vertreten. Je nach dem Inhalt des gehosteten Objekts kann eventuell eine Auftragsdatenverarbeitung vorliegen. Die deutschen Aufsichtsbehörden gehen anscheinend zumindest von einer Datenverarbeitung im Sinne des § 11 BDSG aus, wenn auf dem Webspace ein Online-Shop betrieben wird. Als Anhaltspunkt für das Vorliegen eines § 11-Verhältnisses könnte demnach das Erheben und Verarbeiten von personenbezogenen Daten im Rahmen des Webseiten-Betriebs dienen. Allerdings existiert (noch) keine einheitliche Regelung, die für Webseiten-Betreiber Rechtssicherheit gewährleisten würde. Im Zweifel ist es wohl empfehlenswert bei Vorliegen eines Personenbezugs vorsichtshalber einen § 11-Vertrag abzuschließen.

  • Hallo.
    Ich habe jetzt die Sache mit der Löschpflicht noch nicht so ganz verstanden. Ich hatte es bisher so verstanden, daß man sowieso verpflichtet ist die gespeicherten Daten schnellstmöglich zu löschen? So in etwa innerhalb von 4 Wochen.
    Hab ich da jetzt irgendetwas falsch verstanden oder existiert da kein konkretes Zeitfenster?
    Gruß, Max

    • Daten sind gemäß § 35 Abs. 2 Nr. 3 BDSG zu löschen, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Dabei ist der Grundsatz der Datensparsamkeit und -vermeidung zu beachten, wonach so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen sind.

      Daher ist die Frage, wie lange Daten aufbewahrt werden dürfen, oft eine vom Einzelfall abhängige. Dabei kommt es auch darauf an, ob es überhaupt um personenbezogene Daten geht. Wenn eine Anonymisierung der IP-Adressen vorgenommen wird, handelt es sich faktisch nicht mehr um personenbezogene Daten.

  • Golem berichtet (http://www.golem.de/news/urteil-zu-tracking-nutzer-muessen-piwik-analyse-widersprechen-koennen-1403-105055.html), dass ein Link zum Opt-Out bereits auf der Startseite erkennlich sein muss. Ist das wirklich immer nötig?

    • Das Urteil des Landgerichts Frankfurt am Main ist schon in seiner Deutlichkeit beachtlich. Demnach ist der Nutzer auch bei pseudonymisierten Analysen verpflichtet, „den Nutzer zu Beginn des Nutzungsumfang und später jederzeit abrufbar auf die Widerspruchsmöglichkeit hinzuweisen“.

      Derzeit noch nicht geklärt ist dabei, ob ein Hinweis in der Datenschutzerklärung, welche sowohl von der Startseite, als auch jeder Unterseite abrufbar, ausreichend ist. Als Beispiel einer ausreichenden Abrufmöglichkeit führt das Landgericht dabei eine „Einbindung in den Nutzervorgang indem der Nutzer zwangsläufig mit den Informationnen in Berührung kommt“ oder „ein deutlich hervorgehobener Hinweis mit einem Hyperlink auf der Startseite vorhanden ist“. Eine nicht versteckte, prominenter oder hergehobene Verlinkung auf die Datenschutzerklärung könnte und sollte damit ausreichend sein.

  • Hallo,
    ich habe noch eine andere Frage: Webhoster, so wie Alfahosting, bieten automatisch eine Auswertung über AwStats oder andere Analysetools an. Zumindest bei Alfahosting erfolgt die Erfassung der IPs ohne Anonymisierung.
    Beim Abschluss eines Kontos beim Webhoster, wird das automatisch eingerichtet, ohne explizit darauf hinzuweisen. Meine Anfrage, ob das datenschutzkonform ist, wurde unkonkret beantwortet. Ebenso meine Anfrage, ob es dafür eine Formulierung gibt, die ich auf meiner Webseite einbinden kann. Mir wurde lediglich mitgeteilt, dass ich auf schriftliche Anfrage das Tool abschalten kann.

    Wie geht man datenschutzrechtlich korrekt mit den Analysetools der Webhoster um? Kann man sie unbedenklich nutzen oder muss man sie abschalten, oder gibt es eine Formulierung dazu, die auf den Webseiten eingebunden werden kann?
    Vielen Dank vorab für jeglichen Hinweis!
    Katja

  • Guten Tag,

    Verfolge das Thema nun auch schon ein paar Jahre! Besser wird’s anscheinend nicht!? Leider!

    1. Mich interessiert ebenfalls die gleiche Frage wie meine Vorkommentiererin Katja.

    2. Außerdem, welche Verantwortung trifft eigentlich die Anbieter (und Tool-Verwalter) fertiger Blog- und Seitenangebote. Bei denen man praktisch fix und fertig die Software samt Analysetools bereitgestellt bekommt. Zum Beispiel: 1blu – myblog = AWStats oder jimdo – proVersion = google analytics, 1&1…) Die müssten das doch wissen? Und vor allem ihre in Deutschland angebotenen Dienstleistungen datenschutzkonform anbieten, oder? Warum verweisen diese Anbieter (auch Alfahosting, 1blu etc.) nur auf Entweder-oder-Lösungen: „Wir schalten das Tool ab oder wir lassen das Tool an, modifizieren können/werden wir es nicht.“

    Auch nach mehrmaligem nachfragen und Verweise auf den aktuellen Datenschutz, weiß man dort angeblich von überhaupt nichts und sieht sich auch gar nicht zum Handeln bewegt, die Tools entsprechend anzupassen.

    Danke für eine kurze Antwort.

    Beste Grüße Günther

    PS: Welche Verantwortung trifft den Tech-C und Zone-C Inhaber?

  • Im Vorschlagstext zu den Analysediensten steht „Unserer Website“ – richtig wäre „Unsere Website“.

  • Hallo,

    also wenn ich als Agentur Hosting anbiete und für die Kunden dann PIWIK installiere, dann muss ich auch einen Vertrag zur Auftragsdatenverarbeitung abschließen?

    • Die Antwort auf Ihre Frage hängt davon ab, ob Sie weisungsgebunden für Ihren Kunden tätig sind, also die im Rahmen des Hostings verarbeiteten personenbezogenen Daten nur für den jeweiligen Kunden verarbeiten oder ob Sie diese Daten für eigene Zwecke (z.B. eigene Werbung) verarbeiten.
      Im ersten Fall fungieren Sie im Verhältnis zum Kunden als sog. Auftragsdatenverarbeiter und zwischen dem Kunden und Ihnen müsste ein Auftragsdatenverarbeitungsvertrag nach den Anforderungen des § 11 BDSG geschlossen werden. Dies gilt unabhängig davon, ob Sie ein Webanalysetool für den Kunden einsetzen. Es genügt bereits, wenn im Rahmen des Hostings für den Kunden personenbezogene Daten bei Ihnen auflaufen, z.B. durch Eingabeformulare auf der Website, in welche die User Daten eingeben.
      Im zweiten Fall wären Sie vermutlich eher selbst als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen (dann Funktionsübertragung hinsichtlich der verarbeiteten personenbezogenen Daten). In diesem Fall läge keine Auftragsdatenverarbeitung vor, so dass auch kein Auftragsdatenverarbeitungsvertrag geschlossen werden müsste. Eine pauschale Aussage lässt sich aber aufgrund der vorliegend fehlenden Informationen nicht treffen. Es sind auch immer die konkreten Umstände des Einzelfalls zu betrachten, wenn es um die Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung geht.

      Von dem zuvor Beschriebenen ist aber noch abzugrenzen, dass Ihr Kunde, wenn Sie für diesen ein Analysetool wie Google Analytics verwenden, Ihr Kunde datenschutzrechtlich für die mittels Analysetool verarbeiteten personenbezogenen Daten verantwortlich ist und mit den Anbietern der Analysetools, wiederum einen Auftragsdatenverarbeitungsvertrag abschließen muss. Das ist z.B. bei Google Analytics , nicht aber bei Piwik (siehe Beitrag) erforderlich.

  • Sehr geehrter Herr Logemann, nach dem interessanten Artikel zu Piwik mit Hinweisen, was bei Google Analytics nicht erfüllt ist, vermutete ich, dass Sie bei der vorliegenden Website und bei der Ihrer AG Piwik einsetzen. Dem ist nicht so. Sie setzen hier, wie dort Google Analytics ein. Könnte das etwa daran liegen, dass Google Analytics Ihren werblichen und kommerziellen Interessen mehr dient?
    Mit freundlichen Grüßen

    Timotheus Adam

  • Pingback: Piwik Update auf Version 2.4.0 | daten:hunger
  • Sehr geehrter Dr. Datenschutz,
    ich habe eine Frage an Sie.

    Wenn ich Ihren vollständigen Datenschutzhinweis-Text verwende und ihn leicht modifiziere, indem ich statt PIWIK anderes Wort verwende wie Webanalysedienst, um nicht zu zeigen, dass ich PIWIK verwende…. Darf man das, oder muss immer der Name des Tools angegeben werden?
    Für den Besucher ist es doch egal, was für Tool es ist, oder? Hauptsache er wurde informiert.

    PS: ich habe das mit PIWIK-Wort auch in der de.json-Datei angepasst und plötzlich steht alles auf englisch in dem iframe. Wissen Sie zufällig woran es liegt?

    Vielen Dank im Voraus
    VG Andreas

  • Wie sieht es denn mit dem Cookie-Gesetz aus, eigentlich muss man dem Nutzer doch die Möglichkeit geben, beim Besuch der Seite der Benutzung von Cookies zu widersprechen.
    Kann ich Piwik über ein WordPress Plugin oder Script nach Aufruf der Seite veranlassen die Cookies für einen bestimmten Besucher auszuschalten?

  • Frage an das Super-Team von Dr. Datenschutz:

    Änderungen durch das Update bei Matomo?
    Bisher wurde ein Opt-out verlangt, da mit Piwik die Daten nur pseudonymisiert (weil nur gehasht) werden. Laut ULD nutzt Piwik auch bei aktivierten Anonymisierungs-Plugin für die Besucherwiedererkennung die volle IP-Adresse und führt diese mit anderen Daten dann in einen Hashwert. Dabei wird die IP-Adresse aber nicht zur Analyse der Nutzungsverhaltens, sondern zu Erstellung des Pseudonyms verwendet.

    Die DSK verlang laut Beschluss vom 26.4.2018 nun ein Opt-in für solche Trackingtools.

    Mit Matomo (Nachfolger von Piwik) ist es nun möglich, die IP-Adresse standardisiert zu anonymisieren (letzten 2 bzw. sogar 3 Stellen werden genullt) und nur die anonymisierte IP-Adresse (Unterschied zu früher!) wird für die Besucherwiedererkennung verwendet.
    Für anonymisiertes Tracking würde die DS-GVO ja nicht gelten, also benötige ich keine Einwilligung, ggf. erfolgt ein Hinweis in der Datenschutzerklärung.

    Nun aber meine Bedenken: Zum internen Piwik-Server wird (für ein paar Sekunden) ja die volle IP-Adresse übermittelt und erst dann anonymisiert. Also wird ein personenbezogenes Datum zunächst erhoben, nur die Speicherung und Verarbeitung erfolgt anonymisiert.

    Für das bloße Erheben gilt die DS-GVO, da Erheben unter die Verarbeitung fällt (Art. 4 Ziff. 2).
    Also kann (theoretisch) erst einmal überhaupt kein mit Anonymisierungsfunktion versehenes Tracking-Tool eingesetzt werden, da alle Tools die IP-Adresse ja kurzfristig übermittelt bekommen, um sie (erst dann) zu anonymisieren. Für das „Erheben“ ist es ja auch irrelevant, ob dies aktiv erfolgt oder rein technisch, ohne dass der User etwas tun muss.

    Also benötigen wir für das bloße Erheben die Einwilligung des Users, richtig? Oder kann man das Anonymisieren, weil zeitlich so unmittelbar mit der Erhebung verbunden, zur Erhebung zählen? Was ist mit dem Zweck der Übermittlung, der ja nun nur noch in der Anonymisierung besteht? Hilft uns das weiter?
    Wenn nein, dann nützt uns auch die Anonymisierung (statt Pseudonymisierung) im Tracking-Tool nichts, oder?

    Für eine Antwort wäre ich total dankbar!

    • Hinsichtlich der (kurzfristigen) Übermittlung der IP-Adresse an das Tool würde nach strenger Ansicht (insbes. der DSK) eine Einwilligung von Nöten sein. Erfolgt die Übermittlung zudem in ein Drittland, müssen zusätzlich die Artt. 44 ff. DSGVO beachtet werden. Fraglich ist zudem, ob man bei um 3 Ziffern gekürzten IP-Adressen von einer kompletten Anonymisierung sprechen kann, wenn genügend weitere Daten über das Verhalten zur Verfügung stehen.
      So stellt die DSK wohl auf die Erstellung von Nutzerprofilen generell ab. Geht man davon aus, dass es zur Erstellung eines Profils bereits ausreicht, wenn das Verhalten irgendeines Nutzers nachverfolgbar gemacht wird, ohne aber die IP-Adresse zu kennen, bräuchte man nach der strengen Ansicht der DSK auch hierfür bereits ein Opt-In.

      Folgt man dieser Meinung indes nicht, dürften allein aufgrund der Tatsache, dass das IP-Masking erst auf den Servern von Matomo erfolgt, keine zusätzlichen Pflichten erwachsen. Sofern die Anonymisierung in zeitlich unmittelbaren Zusammenhang und auf Servern in der EU erfolgt, stellt sich die Situation ähnlich wie bei Google Analytics dar. Hier wurde das Vorgehen (insbesondere vorangetrieben durch den Hamburgischen Datenschutzbeauftragten Johannes Caspar) als zulässig gebilligt, sofern die entsprechenden Voraussetzungen erfüllt sind. Dies war natürlich noch vor der Veröffentlichung des Positionspapiers der DSK.

      Verzichtet man derzeit also bei Einsatz eines Tracking-Dienstes, welcher (pseudonyme) Nutzerprofile erstellt, auf die Einholung der Einwilligung, riskiert man strenggenommen ein Bußgeld durch eine Aufsichtsbehörde oder eine Abmahnung. Die Ansicht der DSK wurde indes überwiegend kritisch gesehen. Letztlich werden über diese Frage im Laufe der Zeit die Gerichte zu entscheiden haben.

  • Eine Aktualisierung dieses Artikels wäre sehr hilfreich.
    Es ist doch so, dass der Nutzer einwilligen muss, damit eine Datenerhebung und Datenanalyse durchgeführt werden darf.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.