Einsatz von Webanalysetools für Bundesorgane

Der Betreiber einer Webseite hat ein Interesse daran, die Zugriffe von Nutzerinnen und Nutzern zu analysieren, um zu wissen, wie sie sich bewegen oder um sein Onlineangebot zu optimieren. Der Einsatz von Tools wie Google Analytics, Chartbeat oder Clicky kann aber Tücken haben, wie das folgende Beispiel zeigt.

Webanalysetools bieten typische Funktionen wie das Aufzeichnen der geografischen Herkunft der Besucher, ihre Verweildauer und Suchmaschinenbegriffe. Das Auswertungstool wird mittels eines speziellen Bildelements sowie eines Skripts des Anbieters in der Webseite des Betreibers integriert. Dabei erfasst der Anbieter des Auswertungstools die Zugriffe auf die Webseite, da beim Abruf des Bildelements die IP-Adresse der zugreifenden Nutzer von seinen Servern registriert wird. Da IP-Adressen als personenbezogene Daten betrachtet werden müssen, ist das Bundesgesetz über den Datenschutz (DSG) anwendbar.

Einsatz auf Webseiten der Bundesverwaltung

Will ein Organ der Bundesverwaltung zur Analyse ihres Webauftrittes solche Tools einsetzen, muss es aus Sicht des Datenschutzes verschiedene Punkte beachten: 

  • Gemäss Art. 17 Abs. 1 DSG dürfen Bundesorgane Personendaten nur bearbeiten, wenn hierfür eine gesetzliche Grundlage besteht. Sie muss die Art und den Umfang der Datenbearbeitung klar definieren. Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen Bundesorgane grundsätzlich nur bearbeiten, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht (Art. 17 Abs. 2 DSG). Mit Hilfe der Analysesoftware lassen sich detaillierte Nutzerprofile bis hin zu den Aktivitäten der User auf der Seite statistisch erfassen und auswerten. Diese Nutzerprofile können Persönlichkeitsprofile im Sinne des DSG darstellen.

  • Bei der Analyse der Zugriffe auf die Website werden Randdaten des Internetnutzers an den Anbieter des Auswertungstools weitergeleitet. Die Bearbeitung der Daten durch diesen Anbieter ist als Datenbearbeitung durch Dritte zu qualifizieren. Gemäss Art. 19 Abs. 1 DSG dürfen Bundesorgane Personendaten nur dann an Dritte weitergeben, wenn dafür eine Rechtsgrundlage besteht oder eine Ausnahmebestimmung von Art. 19 Abs. 1 lit. a bis d DSG zur Anwendung kommt.

  • Befindet sich der Server des Anbieters des Auswertungstools im Ausland, sind darüber hinaus die Regelungen zum grenzüberschreitenden Datentransfer zu beachten. Die Übermittlung von Personendaten ins Ausland birgt die Gefahr, dass dortige Behörden aufgrund nationaler Gesetzgebungen auf die Daten zugreifen könnten. Besonders heikel dürfte sich dieser Punkt für Bundesorgane darstellen, obliegt ihnen doch die Pflicht, sorgsam mit den Personendaten ihrer Bürger umzugehen und sie insbesondere vor einem unbefugtem Zugriff einer ausländischen Behörde zu sichern.

Vor allem aus letzterem Grund empfiehlt es sich für Bundesorgane, auf den Einsatz derartiger Analysetools zu verzichten und Alternativen zu prüfen. Es bietet sich jedoch auch die Lösung an, die Webstatistik über entsprechende, direkt auf dem Server des Bundesorgans installierte Programme durchzuführen. Somit ist sichergestellt, dass keine Analysedaten an Dritte ausserhalb der Bundesverwaltung bekanntgegeben werden. Werden beim Tracking keine personenbezogenen Daten erhoben, findet das DSG übrigens keine Anwendung.

Stand: November 2012

https://www.edoeb.admin.ch/content/edoeb/de/home/datenschutz/Internet_und_Computer/analysetools-fuer-webseiten/einsatz-von-webanalysetools-fuer-bundesorgane.html