Wichtiger Hinweis: Metoki ist eine Digital-Agentur – keine Anwaltskanzlei. Alle Aussagen zu rechtlichen Themen erfolgen ohne Gewähr. Bitte konsultieren Sie im Zweifelsfall eine juristische Fachperson.
Wer eine Website betreibt, will selbstverständlich wissen, ob sie auch genutzt wird. Dass Website-Zugriffe gemessen und ausgewertet werden, ist also legitim – aber nicht immer legal. Gewisse Methoden, die lange Zeit gang und gäbe waren, genügen den verschärften Datenschutzgesetzen nicht mehr. Das gilt insbesondere für Google Analytics, wo schon länger diskutiert wird, ob und wie es unter der DSGVO überhaupt noch genutzt werden darf. In diesem Artikel geht es um Ansätze, wie man Website Analytics und Datenschutz unter einen Hut bringt.
Vor einigen Wochen hat die österreichische Datenschutzbehörde entschieden, dass die Nutzung von Google Analytics gegen die Datenschutz-Grundverordnung DSGVO der Europäischen Union verstösst. Kurze Zeit später ist auch die französische Datenschutzbehörte zum gleichen Schluss gekommen. Wohl ist in dieser Sache noch nicht das letzte Wort gesprochen – aber es ist ein guter Anlass, um über datenschutzkonforme Alternativen zu Google Analytics nachzudenken.
Warum ist Google Analytics ein Problem für den Datenschutz?
Im Kern sind es drei Dinge, die bei Google Analytics problematisch sind:
- Erstens nutzt es gewisse technische Methoden wie IP-Adressen und Cookies, um die einzelnen Website-Besucher auseinanderhalten zu können. Aus Sicht des Datenschutzes sind das bereits personenbezogene Daten, auch wenn man daraus nicht direkt die Identität eines Besuchers ablesen kann.
- Zweitens sammelt Google Analytics die Zugriffsdaten von sehr vielen Websites auf der ganzen Welt. Damit kann Google das website-übergreifende Nutzungsverhalten auswerten und durch die Kombination verschiedener Datenquellen sehr viel mehr über Website-Besucher herausfinden, als uns bewusst ist. Dass Google Analytics beispielsweise demografische Merkmale und Interessen der Website-Besucher anzeigen kann, basiert auf solchen Auswertungen.
- Drittens speichert Google Analytics seine Daten in den USA, wo der Datenschutz nicht den europäischen Anforderungen entspricht. Seit der Europäische Gerichtshof die Datenschutz-Abkommen «Safe Harbor» und «Privacy Shield» für ungültig erklärt hat, ist der Export von personenbezogenen Daten in die USA generell problematisch. Die Entscheidungen aus Österreich und Frankreich stützen nun die Ansicht, dass Google Analytics wegen der Datenspeicherung in den USA nicht mit der DSGVO vereinbar ist.
Sucht man datenschutz-konforme Alternativen zu Google Analytics, so muss man also insbesondere diese drei Punkte anschauen.
Website-Statistiken und IP-Adressen
IP-Adressen (also Identifikationsnummern in der Form 111.222.333.444) sind im Internet technisch unverzichtbar. Wer eine Webseite aufruft, gibt dem Server zwangsläufig seine IP-Adresse bekannt, denn nur so weiss der Server, wohin er die angeforderte Webseite senden soll.
Die entscheidende Frage ist, ob diese Daten aufgezeichnet und zu welchem Zweck sie ausgewertet werden. Jeder Webserver führt ein Zugriffsprotokoll, in dem unter anderem die IP-Adresse jedes einzelnen Requests festgehalten ist. Solange dieses Protokoll nur genutzt wird, um Spammern und Hackern das Handwerk zu legen, ist dagegen auch nichts einzuwenden.
Für die Website-Statistik hingegen muss man IP-Adressen nicht zwingend speichern – zumindest nicht vollständig: Die datenschutzfreundliche Lösung besteht darin, die letzte der vier Zifferngruppen auf 0 zu setzen. Diese sogenannte IP-Anonymisierung (oder IP-Maskierung) bietet auch Google Analytics: Beim älteren Google Universal Analytics muss man sie als Website-Betreiber selbst aktivieren, beim neueren Google Analytics 4 ist die IP-Anonymisierung Standard. In diesem Punkt bieten alternative Statistik-Tools also keinen Vorteil gegenüber der Google-Lösung.
Website-Statistiken und Cookies
Cookies sind für Website-Statistiken deshalb wichtig, weil man nur so die einzelne Besucher zuverlässig unterschieden kann. Ohne Cookies könnte man zwar weiterhin messen, wie oft die einzelnen Webseiten aufgerufen wurden – nicht aber, von wievielen unterschiedlichen Personen. Auch Pfadanalysen (also die Auswertung der Wege, welche Besucher durch eine Website nehmen) wären nicht möglich.
Website-Statistiken ohne Cookies liefern also deutlich weniger Erkenntnisse. Glücklicherweise ist es auch nicht grundsätzlich verboten, Cookies zu setzen – aber es gelten gewisse Regeln. Je nach dem muss man
- lediglich über Cookies informieren (aktuelles Schweizer Datenschutzgesetz DSG)
- die Möglichkeit anbieten, sie zu deaktivieren = Opt-out (zukünftiges Schweizer Datenschutzgesetz nDSG)
- die ausdrücklicher Zustimmung einholen = Opt-in (DSGVO bzw. E-Privacy-Richtlinie der EU)
Man benötigt also ein Cookie Banner bzw. einen Cookie Consent Manager auf der Website. Zugleich muss man technisch sicherstellen, dass Google Analytics auch wirklich nur dann Cookies setzt, wenn die rechtlichen Rahmenbedingungen eingehalten sind. Das ist aber bei alternativen Statistik-Tools nicht anders, und somit sind auch die Cookies kein Argument gegen Google Analytics.
Website-übergreifende Datenauswertung
Um zu verstehen, warum die website-übergreifende Datenauswertung ein Problem ist, genügt ein kleines Gedankenexperiment. Nehmen wir an, Sie besitzen ein Google-Konto (z.B. für Gmail, Google Fotos oder Google Docs) und haben dort Ihre echten Personalien hinterlegt. Nehmen wir ferner an, dass die meisten Websites Google Analytics benutzen und dass Sie Cookies grundsätzlich akzeptieren.
Das Cookie von Google Analytics enthält einen Code, dank dem Sie (bzw. Ihr Web-Browser) zweifelsfrei wiedererkannt werden. Google kann also nicht nur Ihre Zugriffe auf eine einzelne Website feststellen, sondern Ihren ganzen Weg durch das Internet nachvollziehen (soweit die besuchten Websites ebenfalls Google Analytics integriert haben).
Auf diese Weise erfährt Google im Detail, welches Ihre beruflichen und privaten Interessen sind, welche politischen, religiösen oder erotischen Vorlieben Sie haben, welche Reisen Sie unternehmen und welche Produkte Sie kaufen. Und dank Ihrer Personalien im Google-Konto bleibt das nicht nur ein anonymes Profil, dem man personalisierte Werbung einspielen kann, sondern alle diese Informationen lassen sich Ihrer Person zuordnen.
Das website-übergreifende Tracking ist also ein wichtiger Grund, um über Alternativen zu Google Analytics nachzudenken. Denn eine derart umfassende Überwachung ist weder im Interesse der Website-Besucher noch im Interesse der Website-Betreiber, sondern nützt vor allem Google. Und je mehr Website-Besucher genau deshalb Cookies ablehnen, desto unzuverlässiger werden die Statistiken für den Website-Betreiber.
Bei der Suche nach Alternativen muss man allerdings genau hinschauen, denn Google ist natürlich nicht das einzige Unternehmen, das Daten in dieser Weise auswertet. Wirklich kontrollieren, was mit den Daten geschieht, kann man eigentlich nur dann, wenn man das Statistik-Tool auf dem eigenen Server betreibt (Self Hosting, On-Premise).
Datenspeicherung in den USA
Hostet man seine Analytics-Software selbst, dann löst man auch gleich das dritte Problem auf unserer Liste: Denn dann kann man den Server-Standort selbst bestimmen und ist nicht gezwungen, Daten in die USA zu exportieren.
Aber auch wer eine SaaS-Lösung bevorzugt, wo man Betrieb und Wartung des Statistik-Tools auslagert, findet eine Lösung, bei der die Daten in Europa bleiben. Allerdings muss man dann auch bereit sein, etwas dafür zu bezahlen – schliesslich können alternative Anbieter Entwicklung und Betrieb einer solchen Plattform nicht über ein lukratives Werbenetzwerke querfinanzieren, wie dies bei Google der Fall ist.
Matomo als Alternative zu Google Analytics
Die bekannteste Alternative zu Google Analytics ist wahrscheinlich Matomo. Die Open Source Software, die früherPiwik und noch früher phpMyVisites hiess, kann sowohl auf dem eigenen Server betrieben als auch im SaaS-Modell genutzt werden. Aus Sicht des Datenschutzes sind beide Optionen attraktiv: Beim selbst gehosteten Matamo On-Premise hat man die Daten vollumfänglich unter der eigenen Kontrolle, bei der Matamo Cloud werden die Daten in der EU gehostet.
Matamo On-Premise ist in der Basisversion kostenlos, zumindest bezahlt man dafür keine Lizenzgebühren. Dafür verursachen das Hosting und die Arbeit des Systemadministrators Kosten, und auch für diverse Zusatzfunktionen fallen Lizenzgebühren an.
Die Tarife für die Matamo Cloud beginnen bei 21 Franken im Monat. Allerdings sind darin nur 50’000 Hits pro Monat enthalten, und die Kosten steigen proportional zur Anzahl der Hits. Bei 10 Mio. Hits pro Monat (das entspricht der Obergrenze für das kostenlose Google Analytics) werden satte 1’690 Franken fällig. Für Websites mit hohem Besucheraufkommen ist deshalb Matamo On-Premise die interessantere Lösung.
Website-Statistiken als WordPress Plug-in
Für WordPress gibt es diverse Analytics Plug-ins, welche eine Statistik direkt in die Website integrieren. Aus Sicht des Datenschutzes haben solche Plug-ins dieselben Vorzüge wie On-Premise-Lösungen: Man behält die Hoheit über die Daten und kann den Server-Standort selbst bestimmen. Zudem ist die Installation eines solchen Plug-ins denkbar einfach, und die Statistiken sind direkt im WordPress Backend zugänglich. Gegen eine solche Lösung spricht einzig, dass Verarbeitung und Speicherung der Statistikdaten die Website-Performance negativ beeinflussen und die Datenbank aufblähen kann.
Die naheliegende Lösung ist auch hier Matomo Analytics, das die gesamte Matomo-Software in ein WordPress Plug-in verpackt und mit 30’000 aktiven Installationen eine solide Nutzerbasis besitzt. Die Matomo-Entwickler sind dermassen auf Datenschutz bedacht, dass sie sogar einen WordPress Shortcode mitliefern, mit dem man ganz einfach ein Opt-out für das Tracking in seine Datenschutzerklärung integrieren kann.
Wer eher eine übersichtliche als eine umfassende Statistik-Lösung sucht, hat diverse Alternativen. Die populärste ist WP Statistics mit 600’000 Active Installs, aber auch Slimstat Analytics ist eine etablierte Lösung. Weitere Optionen sind beispielsweise NewStatPress oder Koko Analytics. Mit Google Analytics haben solche Plug-ins allerdings nichts mehr gemeinsam – sie liefern primär die Anzahl der Besucher und die Rangliste der meistbesuchten Seiten. Wer beispielsweise Online-Kampagnen fährt oder ernsthaft Suchmaschinen-Optimierung betreibt, braucht ein Tool wie Matomo, und den Erfolg dieser Kampagnen sinnvoll messen zu können.
Unsere Dienstleistungen rund um WordPress
Metoki ist auf WordPress Websites spezialisiert: Seit über zehn Jahren arbeiten wir intensiv mit dieser Plattform.
Wir erstellen komplette Web-Auftritte, bieten aber auch Support für bestehende WordPress-Websites. Unsere Spezialgebiete sind mehrsprachige Websites mit WordPress sowie die Integration von individuellen Datenbanken mit Toolset.