Auswertungstools für Webseiten

Im Auftrag der Bundesverwaltung und aufgrund verschiedener Bürgeranfragen haben wir die datenschutzrechtlichen Aspekte von Auswertungstools für Webseiten analysiert. Beim Einsatz von Auswertungstools zur Erstellung von Zugriffsstatistiken von Webseiten sind aus unserer Sicht verschiedene Voraussetzungen zu erfüllen. Insbesondere sind die Nutzer in einer Datenschutzerklärung darauf hinzuweisen, welche Daten über sie gesammelt und an wen sie weitergegeben werden (inklusive Angabe des Landes). Werden die Daten in ein Land weitergegeben, welches über kein angemessenes Datenschutzniveau verfügt, sind zusätzlich mit dem Anbieter des Auswertungstools Garantien zu vereinbaren, die ein ausreichendes Schutzniveau gewährleisten.

Im letzten Jahr sind immer mehr Webseitenbetreiber dazu übergegangen, ihre Webstatistiken nicht mehr selbst über entsprechende auf den Servern installierte Programme zu erstellen. Stattdessen lassen sie die Besuche auf ihren Webseiten durch Onlinetools (wie z.B. Google Analytics) auswerten. Da IP-Adressen als personenbezogene Daten betrachtet werden müssen, ist das Bundesgesetz über den Datenschutz (DSG) anwendbar. Um also solche Auswertungstools datenschutzrechtskonform einzusetzen, müssen Betreiber einer Webseite insbesondere die nachfolgend beschriebenen Punkte beachten.

Das Online-Auswertungstool wird mittels eines speziellen Bildelements sowie eines Skripts des Anbieters in der Webseite des Betreibers integriert. So erfasst der Anbieter des Auswertungstools die Zugriffe auf die Webseite, da beim Abruf des Bildelements die IP-Adresse der zugreifenden Nutzer von seinen Servern registriert wird. Es werden also die Randdaten des Internetnutzers, welche beim Besuch der Webseite anfallen, an den Anbieter des Auswertungstools weitergeleitet. Dieser Vorgang ist aus datenschutzrechtlicher Sicht als Datenbearbeitung durch Dritte zu qualifizieren. Eine solche ist gemäss Art. 10a DSG durch Vereinbarung möglich, wenn der Anbieter des Tools die Daten nur so bearbeitet, wie es der Betreiber der Webseite selbst tun dürfte, und keine gesetzliche oder vertragliche Geheimhaltungspflicht sie verbietet.

Aus diesem Grund muss der Betreiber einer Webseite den Anbieter des Auswertungstools vertraglich dazu verpflichten, die gelieferten Daten ausschliesslich zu den Auswertungszwecken des Betreibers (und nicht zu eigenen Zwecken) zu nutzen und die Datensicherheit zu gewährleisten. Zudem muss der Betreiber der Webseite aufgrund des Erkennbarkeitsprinzips die Nutzer im Rahmen einer Datenschutzerklärung auf die Verwendung eines solchen Tools sowie Art und Umfang der gesammelten Daten hinweisen.

Befinden sich die Server des Anbieters des Auswertungstools im Ausland, sind darüber hinaus die datenschutzrechtlichen Regelungen zum grenzüberschreitenden Datentransfer zu beachten. Personendaten dürfen nämlich nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz garantiert (eine Auflistung der einzelnen Länder und ihres Datenschutzniveaus kann auf unserer Webseite www.derbeauftragte.ch unter Themen - Datenschutz - Übermittlung ins Ausland abgerufen werden). In diesem Fall darf ein solches Auswertungstool nur dann genutzt werden, wenn der Anbieter durch hinreichende Garantien einen angemessenen Schutz gewährleistet (Art. 6 Abs. 2 lit. a DSG). Dies erfolgt in der Praxis meist durch eine entsprechende schriftliche Bestätigung des Anbieters. Seit Januar 2009 steht beim Datentransfer in die USA zusätzlich das «U.S.-Swiss Safe Harbor Framework» als Instrument zur Gewährleistung eines ausreichenden Schutzniveaus zur Verfügung (siehe dazu Ziff. 1.1.6).

Solange der Betreiber einer Webseite diese Punkte beachtet, steht der Nutzung eines solchen Auswertungstools aus datenschutzrechtlicher Sicht nichts entgegen. Grundsätzlich sollten Betreiber einer Webseite allerdings evaluieren, inwieweit es für sie wünschenswert ist, Personendaten ihrer Webseitenbesucher ins Ausland zu übertragen. Ausländische Behörden könnten nämlich aufgrund ihrer nationalen Gesetzgebungen auf die sich in ihrem Land befindlichen Daten zugreifen.

Ergänzungen vom 10.10.2011 betreffend die Aspekte "Information der Benutzer über das Widerspruchsrecht" und "Kürzung der IP-Adresse"

Die Datenschutzerklärung einer Website muss den Nutzer über die Verarbeitung personenbezogener Daten im Rahmen von eingesetzten Webanalyse-Tools aufklären. Auch sollte der Nutzer auf die Widerspruchsmöglichkeiten gegen die Erfassung durch das Tool hingewiesen werden.

Zudem hat der Webseiten-Betreiber durch entsprechende Einstellungen im Programmcode die Kürzung der IP-Adressen vorzunehmen oder vornehmen zu lassen. Beim Einsatz von Google Analytics zum Beispiel erfolgt dies, indem der Trackingcode um die Funktion „_anonymizeIp()" ergänzt wird.

10. Oktober 2011

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/16--taetigkeitsbericht-2008-2009/auswertungstools-fuer-webseiten.html