Piwik PRO & Datenschutz – Was bedeutet die neue DSGVO für die Webanalyse in Unternehmen?

, ,

Geschrieben von Britta Behrens

Veröffentlicht Februar 21, 2017

Verschärfung der ePrivacy-Verordnung

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) wird im Mai 2018 endgültig in Kraft treten Unternehmen müssen bis dahin beim Umgang mit personenbezogenen Daten und deren Speicherung zahlreiche Änderungen vornehmen und neue Prozesse entwickeln. Einige des insgesamt 99 Artikel umfassendes Gesetzes beeinflussen bestehendes deutsches Datenschutzrecht. Die Verordnung löst aus den 1980er Jahren stammende Regelungen ab und erweitert diese. Eine Anpassung an das digitale Zeitalter war längst überfällig. Somit tangiert die neue DSGVO auch die Speicherung, Verarbeitung und Nutzung von Webanalyse-Daten und stellt neue Regeln auf. Diese Anforderungen müssen Web Analytics-Anbieter erfüllen.

Das Rechtetrio bei der Webanalyse: DSGVO, Privacy-Shield & ePrivacy-Richtlinie

Wir klären Sie auf, warum Sie mit Piwik PRO schon jetzt auf der sicheren Seite sind und der Datenschutzgrundverordnung gelassen für den Bereich Webanalyse entgegenblicken können und welche Überlegungen Sie vornehmen sollten, wenn Sie derzeit auf Tools wie Google Analytics zurückgreifen. Hier sollten Sie sich nicht allein auf das fixe Datum Mai 2018 und die DSGVO konzentrieren, sondern auch unbedingt immer die Berichterstattung zum Privacy-Shield und der ePrivacy-Richtlinie verfolgen. Diese haben den größten Einfluss auf die Datennutzung und Speicherung im Zusammenhang mit Webanalyse.

Datenschutzkonformes Setup von Piwik PRO

Mit Piwik PRO sind Sie in Sachen Datenschutz bereits jetzt langfristig sehr gut aufgestellt und erfüllen schon jetzt die hohen EU- und deutschen Datenschutzrichtlinien.
Sie erhalten von uns einen rechtsgültigen Vertrag zur Auftragsdatenverarbeitung (ADV) und können auf ihrem eigenen Servern (On-Premises) oder auf unserem Cloud-Service (Piwik PRO Hosting in Deutschland) Ihr Analytics-System betreiben. Aufgrund der Tatsache, dass die Daten auf ihrem self-hosted Web Analytics-System gespeichert werden, genießen Sie von Anfang an den Vorteil, dass Sie die Nutzerdaten über ein first-party Cookie speichern. Es findet keine Abfrage oder Speicherung und Weitergabe an eine dritte Partei statt. Ein Zugriff von außen ist nicht möglich. Somit sind die Daten sehr gut gesichert und Sie genießen Vertrauen.

Web Analytics & DSGVO – Das sollten Sie wissen!

In unserem Whitepaper zeigen wir Ihnen, wie Sie in 12 einfachen Schritten Ihre Analytics-Software DSGVO-konform einsetzen

Durch den Einsatz von self-hosted Analytics-Software müssen Sie auch nicht wie andere Unternehmen bei jedem Besuch der Website, dem Nutzer einen Cookie-Hinweis einblenden und die Erlaubnis einholen. Dieser Cookie-Hinweis, der seit 2009 notwendig ist, wird durch die ePrivacy-Richtlinie 2002/58/EC abgedeckt. Diese wird gerade ebenfalls überarbeitet und soll mit der EU-DSGVO in Einklang gebracht werden. Diese konzentriert sich auf das Daten-Prozessmanagement bei der elektronische Kommunikation: Mail, VOIP, Instant und Social Messaging u.v.m. werden dort geregelt. Diese Richtlinie muss nun einheitlich in den EU-Ländern umgesetzt werden. Bisher war sie nur eine Direktive und jedes Land konnte sie mit eigenen Verordnungen und Maßnahmen umsetzen. Hier spielte nur das Ziel und nicht der Weg eine entscheidende Rolle. Nun wird auch die prozessuale Umsetzung vereinheitlicht. Alle Länder agieren gleich. Nach Wunsch der Kommission soll die ePrivacy-Richtlinie zusammen mit der EU-DSGVO in Kraft treten. Da sie derzeit intensiv diskutiert und mit Sicherheit noch mehrmals überarbeitet wird, ist ein Termin noch nicht konkret absehbar.

Privacy-Shield in der Kritik

Wenn Sie die Daten sicher in Deutschland oder in Europa hosten, betrifft sie auch nicht das Geschehen rund um das Privacy-Shield-Abkommen zwischen den USA und Europa, das den Datenaustausch regelt und die Datenschutzrechte von europäischen Bürgern gegenüber US-Firmen schützt. Das Privacy-Shield wurde letztes Jahr nach der Aufkündigung von Safe Harbor verabschiedet. US-Firmen müssen sich freiwillig zertifizieren lassen, damit Sie Daten von EU-Bürgern transferieren dürfen. Derzeit steht das Privacy-Shield-Abkommen weiter in der Kritik und man befürchtet, dass es ebenfalls zu einer Aufkündigung kommen könnte.

Unsicherheit bei Privacy-Shield Abkommen betrifft Web Analytics

Manche behaupten, dass das Privacy-Shield alter Wein in neuen Schläuchen sei und sich im Vergleich zu Safe Harbor nichts signifikant geändert habe. Daher stünde es auf wackeligen Beinen. Zum anderen befürchtet man, dass die unsichere politische Situation durch Präsident Donald Trump dafür sorgen könne, dass seitens der USA das Privacy-Shield infrage gestellt oder sogar unbeabsichtigt außer Kraft gesetzt wird.

Executive Order glücklicherweise nicht auf Privacy Shield anwendbar

Donald Trump hatte zuletzt durch seine Executive Order bezüglich der Einreise von Bürgern verschiedener muslimischer Länder auch gleichzeitig den Privacy Act ausgehebelt und das Recht auf Datenschutz für Nicht-US-Bürger beeinflusst. Glücklicherweise ist dies mit dem Privacy Shield nicht so einfach möglich. Mehrere Gesetze schützen ihn und kann nicht durch eine Executive Order außer Kraft gesetzt werden. Sollte es aber zu Verstößen von US-Unternehmen kommen, drohen seitens der EU Sanktionen, die das Privacy Shield gefährden. Dies hätte gleichzeitig fatale Folgen für US-Firmen und europäische Unternehmen, die in Folge dessen zahlreiche Services und Dienste nicht mehr nutzen könnten und bei Zuwiderhandlung hohe Strafen zu befürchten haben.

Piwik PRO Consent Manager

Sammeln, Verarbeiten und Speichern Sie Einwilligungen und Anfragen betroffener Personen DSGVO-konform.

US Analytics- und Marketing-Tools für EU-Firmen datenschutzrechtlich nicht immer sicher

Wenn Sie Google Analytics oder andere Marketing-Toosl im Einsatz haben, die Daten in die USA austauschen, sollten Sie genau prüfen, ob Sie unter diesem Risiko weiter agieren oder besser nach Alternativen Ausschau halten, die auf das Privacy-Shield nicht angewiesen sind. Bedenken Sie: Im Herbst 2015 wurde Safe Harbor vom europäischen Gerichtshof einkassiert. Im Juli 2016 wurde Privacy Shield verabschiedet. Seit September 2016 ist Google gemäß dem Abkommen zertifiziert. Die datenschutzrechtliche Lage in der Zwischenzeit eine sehr dunkle Grauzone. Schon nach alter Rechtsprechung des BDSG (Bundesdatenschutzgesetzes) war in dieser Zeit der Datentransfer in die USA nicht datenschutzkonform. Ein teures Unterfangen, was bei einer Klage nach Mai 2018 noch fatalere Folgen hätte.

DoNotTrack-Funktion und IP-Anonymisierung Standard per default

Durch die Aktivierung der DoNotTrack-Funktion per default respektieren Sie zuverlässig die Privatsphäre der Nutzer. Es werden nur User getrackt, die in Ihrem Browser die DNT-Funktion deaktiviert haben. Die IP-Anonymisierung ist ebenfalls per default automatisch voreingestellt. In Google Analytics muss dies nachträglich manuell eingestellt werden. Erfahrungsgemäß kommt es hier häufig zu Fehlern, so dass durch falsche Implementierung der Anonymize-IP-Funktion, die IP-Adressen dennoch übertragen werden. Bei Piwik PRO ist kein nachjustieren notwendig und eine gefährliche Fehlerquelle von Anfang an ausgeschlossen. Dieser Fehler kann Sie zukünftig sehr teuer zu stehen kommen. Die Strafen bei Datenschutzverstößen werden stark angehoben.

Opt-out als zusätzlicher Privatsphäreschutz

Als weitere Möglichkeit kann sich der Nutzer auf Webseiten, die Piwik PRO einsetzen auch manuell über ein Opt-out eigenständig von einzelnen Webseiten vom Tracking ausschließen. Dies wird in einem gut zugänglichen Bereich, meist bei der Datenschutzerklärung, dem Impressum oder einer eigenen Seite, die im Footer verlinkt wird, angeboten. So respektieren Sie die Privatsphäre Ihrer Besucher.

Update (Dez. 2018): Nach der DSGVO ist vor der ePrivacy! Welche Folgen die ePrivacy-Verordnung für den Online-Markt und Ihr Marketing haben könnte, sollte sie in der aktuellen Fassung tatsächlich in Kraft treten, habe wir ausführlich betrachtet:

  • Was ändert sich im Online-Markt?
  • Welche Vorkehrungen können wir jetzt schon treffen?
  • Was können wir tun, um Einfluss auf die Gesetzgebung auszuüben?
  • Welche Nachteile gibt es für uns als Internetnutzer?
  • Wieso gibt es keinen Aufschrei seitens der Publisher?

Hier geht es zum Artikel:

ePrivacy-Verordnung: Tickende Zeitbombe für Ihr Online-Marketing? – So bereiten Sie sich vor!

Machen Sie Ihr Unternehmen fit für die EU-DSGVO

Die gesamte EU-Datenschutzgrundverordnung können Sie sich auf den Webseiten der EU komplett anschauen und studieren. Beim Bundesverband der Datenschutzbeauftragten finden Sie ausführliche Stellungsnahmen und weiteres Infomaterial zum Thema.

Holen Sie sich eine begleitende Rechtsberatung ins Haus

Die Datenschutzgrundverordnung betrifft alle Unternehmen und hat Einfluss auf die gesamte Organisation in Hinblick auf Prozesse und Compliance. Jede Abteilung und jeder Mitarbeiter, der mit Daten in Berührung kommt, sollte informiert und sensibilisiert werden. Noch hat jedes Unternehmen mehr als ein Jahr Zeit, alle notwendigen Maßnahmen einzuleiten und umzusetzen. Dies erledigen Sie nicht über Nacht oder in wenigen Wochen, also legen Sie los. Aufgrund der weitreichenden Folgen bei möglichen Verstößen, sollte sich jeder einen Rechtsbeistand zu Rate ziehen und die Umsetzung begleiten.

Der Bereich Webanalyse ist nur ein kleiner Teil vom großen Ganzen. Wir wünschen Ihnen viel Erfolg bei der Umsetzung und hoffen, ein wenig Licht ins Dunkle gebracht zu haben, wie Sie in Hinblick auf Webanalyse- und Marketing-Tools zukünftig sicher agieren können. Bei Fragen stehen wir jederzeit zur Verfügung.

Analytics & DSGVO = Piwik PRO

Wir sorgen dafür, dass Sie sich wegen der DSGVO nicht mehr den Kopf zerbrechen müssen. Wir bieten Ihnen professionelle Analytics – DSGVO ready.