Schlagwort: Piwik

Artikel 29 Gruppe äußert sich zur Frage, wann keine Einwilligung zum Setzen eines Cookies erforderlich ist

4. Juli 2012

Bei ihrem Juni-Treffen hat sich die Artikel 29 Datenschutzgruppe nicht nur zu Binding Corporate Rules geäußert, sondern auch dazu Stellung genommen, wann nach der sogenannten Cookie-Richtlinie keine Einwilligung zum Setzen eines Cookies erforderlich ist. Ein Cookie darf generell ohne Einwilligung gesetzt werden, wenn die Ausnahmekriterien von Artikel 5 Absatz 3 der Richtlinie vorliegen. Demnach muss der alleinige Zweck [des Cookies] die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz sein, oder [das Setzen eines Cookies] unbedingt erforderlich sein, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Anhand praktischer Beispiele führt die Artikel 29 Datenschutzgruppe auf, welche Situationen von dieser Ausnahmeregelung gedeckt sein können:

  • Nutzer-Eingabe“ Cookies, die dazu genutzt werden, um dem Nutzer Eingaben bei mehrseitigen Formularen oder die richtigen Artikel im Warenkorb zuzuordnen, sollen der Ausnahme unterfallen können, wenn es sich um First-Party Cookies handelt, die nur für kurze Dauer (z.B. die aktuelle Sitzung) Gültigkeit haben.
  • Authentifizierungscookies, z.B. das Login bei einer Online-Bank, sollen ebenfalls unter den genannten Voraussetzungen von der Ausnahme umfasst sein. Über die Dauer einer Sitzung gespeicherte Authentifizierungscookies bedürfen jedoch einer Einwilligung des Nutzers. Dazu soll aber bereits die Checkbox „Eingeloggt bleiben (setzt ein Cookie)“ ausreichend sein.
  • Nutzerbezogene Sicherheitscookies, z.B. die Aufzeichnung wiederholt fehlgeschlagener Loginversuche, können sogar einwilligungsfrei sein, wenn sie dauerhaft gespeichert werden, da sie sonst ihren Zweck nicht erreichen könnten.
  • Audio-Video Session Cookies / Flash Cookies sind solche Cookies, die dazu genutzt werden, um technische Daten zur Wiedergabe von Audio- oder Videoinhalten (Bildqualität, Verbindungsgeschwindigkeit, Zwischenspeicherungsparameter) zu speichern. Auch diese sollen keine Einwilligung voraussetzen, solange sie ausschließlich diesem Zweck dienen und nur bis zum Ende der aktuellen Sitzung gespeichert werden.
  • Load-Balancing Session Cookies sollen ebenfalls für die Dauer einer Sitzung ohne Einwilligung gesetzt werden könne, wenn es erforderlich ist, dass der Nutzer immer demselben Server zugewiesen wird.
  • Cookies zur Speicherung von Anzeigepräferenzen, bei denen beispielsweise die gewünschte Sprache oder die Anzahl der Suchergebnisse pro Seite gespeichert wird, können nach Ansicht der Artikel 29 Datenschutzgruppe ebenfalls der Ausnahmeregelung unterfallen, solange sie nur bis zum Ende der aktuellen Sitzung gespeichert werden. Soll die Einstellung dauerhaft gespeichert werden, ist jedoch eine Einwilligung notwendig, die bereits darin liegen könne, dass neben der Flagge, auf die der Nutzer klickt, um die Sprache zu wechseln, der Hinweis „verwendet Cookies“ angezeigt wird.
  • Cookies um Inhalte per Social-Plugins zu teilen – Auch die vielfach umstrittenen Social-Plugins sollen einwilligungsfrei Cookies setzen können, wenn diese dem Nutzer das Teilen und Kommentieren der Inhalte der Betreiberwebsite in einem sozialen Netzwerk ermöglichen. Diese Ausnahme kann nach Ansicht der Datenschützer jedoch nur für Nutzer gelten, die aktuell bei einem sozialen Netzwerk eingeloggt sind. Selbst in diesem Fall soll die Einwilligungsfreiheit auf die aktuelle Sitzung beschränkt sein.

Weiterhin führt die Artikel 29 Gruppe auch Szenarien auf, die nicht von der Ausnahmeregelung gedeckt sein sollen. Eine Einwilligung soll in diesen Fällen folglich nicht entbehrlich sein:

  • Social-Plugin Tracking Cookies – Während das Teilen von Inhalten noch unbedingt erforderlich sein könne, um den vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen, könne davon bei verhaltensbasierter Werbung, Analyse oder Marktforschung etc. infolge eines Nutzertrackings nicht mehr die Rede sein.
  • Third-Party Advertising / Werbenetzwerke – Hier halten die Datenschützer fest, dass für jegliche Form von Third-Party Advertising nicht von einem Vorliegen der Ausnahmen ausgegangen werden könne, da es immer an dem ausdrücklichen Wunsch des Nutzers fehle. Dies gelte auch für eher technische Zwecke wie Frequency Capping, Financial Logging, Ad Affiliation, Click Fraud Detection, Forschung und Marktanalyse, Produktverbesserung und Debugging.
  • Websiteanalyse-Tools – An dieser Stelle arbeitet die Artikel 29 Gruppe schön heraus, dass zwar viele Seitenbetreiber Websiteanalyse-Tools als absolut notwendig ansehen, aber nur die Sicht des Nutzers maßgeblich sei. Demnach fallen weder Tools, bei denen die Daten auf dem Server des Betreibers bleiben (z.B. Piwik), noch Tools, bei denen die Daten zu einem Dritten übertragen werden (z.B. Google Analytics), unter die Ausnahmeregelung der Richtlinie. Nichtsdestotrotz vertritt die Arbeitsgruppe die Auffassung, dass Cookies von First-Party Websiteanalyse-Tools keine Risiken für die Privatsphäre begründen, solange diese sich ausschließlich auf durch den Websitebetreiber (First-Party) aggregierte statistische Zwecke beschränken, die Website verständliche Informationen über diese Cookies in Ihrer Datenschutzerklärung enthält und angemessene Schutzmaßnahmen für die Privatsphäre getroffen werden. Solche Schutzmaßnahmen sollen nach Meinung der Arbeitsgruppe einen nutzerfreundlichen Opt-Out-Mechanismus sowie Anonymisierungsmechanismen bezüglich solcher Informationen, die zur Identifizierung von Nutzern verwendet werden könnten (z.B. IP-Adressen), umfassen. Infolge dieser Einschätzung schlägt die Arbeitsgruppe vor, bei einer zukünftigen Richtlinienrevision eine dritte Ausnahme für solche First-Party Websiteanalyse Cookies aufzunehmen.

Die Datenschützer weisen darauf hin, dass sich keine allgemein gültige Aussage derart treffen lässt, dass beispielsweise ein First-Party Cookie für die Dauer einer Sitzung immer einwilligungsfrei wäre, wohingegen ein dauerhaftes Cookie eines Dritten immer eine Einwilligung erfordere. Vielmehr käme es auf die konkrete Implementierung des Cookies im Einzelfall an. Insbesondere sei zu beachten, dass ein Cookie, welches mehreren Zwecken dient, z.B. dem Tracking und Speicherung von Nutzerpräferenzen, nur dann einwilligungsfrei sein könne, wenn sämtliche Zwecke von der Ausnahmeregelung umfasst würden.

Ferner gibt die Arbeitsgruppe zu bedenken, dass diese Erläuterungen nicht auf Cookies im technischen Sinne beschränkt seien, sondern Geltung für sämtliche Methoden zum Speichern von Informationen auf dem Endgerät des Nutzers hätten.

Google Analytics und die datenschutzkonforme Ausgestaltung von Websiteanalysen

14. März 2011

Immer wieder taucht die Frage auf, ob Dienste wie Google Analytics datenschutzkonform sind. Dies richtet sich entscheidend nach den Regelungen des TMG (Telemediengesetz).

Die dabei maßgeblichen Kriterien hat der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) bereits im November 2009 herausgearbeitet. Festzuhalten ist dabei vor allem, dass Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden dürfen. Eine IP-Adresse ist dabei kein Pseudonym im Sinne des Telemediengesetzes.

Der Düsseldorfer Kreis hält im Einzelnen folgende Vorgaben aus dem TMG für beachtlich:

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Was bedeutet dies nun für Google Analytics? Google selber gibt in den Bedingungen für Google Analytics unter Punkt 8.1 an, die IP-Adresse in die USA zu übertragen und dort zu speichern.  Die Schlussfolgerung liegt damit auf der Hand: Ohne Einwilligung des Websitenutzers zu dieser Übertragung und Speicherung ist der Einsatz von Google Analytics nicht datenschutzkonform.

Diese Einschätzung teilt auch das ULD (Unabhängiges Landeszentrum für Datenschuzt Schleswig-Holstein) und hat prägnant festgestellt, „dass „Google Analytics“ nach deutschem Recht nicht datenschutzkonform eingesetzt werden kann.“

Auf Grund dieser Kritik hat Google mittlerweile die Funktion „_anonymizeIp()“ hinzugefügt. Mit Hilfe dieser Funktion wird das letzte Oktett der IP-Adresse vor der Speicherung durch Google abgeschnitten. Wird diese Funktion verwendet, erfolgt die Analyse des Nutzungsverhaltens somit nicht mehr unter Verwendung der vollständigen IP-Adresse des Nutzers. Formell scheint damit auf den ersten Blick den Anforderungen des Düsseldorfer Kreises insofern Genüge getan sein. Das ULD fordert jedoch an anderer Stelle die Löschung der letzten beiden Oktette und begründet diese Ansicht mit den Ausführungen der Artikel29-Datenschutzgruppe in deren Arbeitspapier WP 148:

„Bei der Anonymisierung von Daten sollte jegliche Möglichkeit der Identifizierung von Personen ausgeschlossen werden. Auszuschließen ist selbst das Kombinieren der anonymisierten Informationen eines Suchmaschinenbetreibers mit Informationen, die ein anderer Beteiligter gespeichert hat (beispielsweise ein Internet-Diensteanbieter). Derzeit schneiden einige Suchmaschinenbetreiber IPv4-Adressen ab, indem sie die letzte Achtergruppe entfernen, womit sie effektiv Informationen über den Internet-Diensteanbieter oder das Teilnetz des Benutzers speichern, ohne die Person direkt zu identifizieren. Die Aktivität könnte dann von einer beliebigen der 254 IP-Adressen ausgehen. Dies ist für eine Anonymisierungsgarantie möglicherweise aber nicht immer ausreichend.“

Weiterhin ist zu beachten, dass die Nutzer auch eine wirksame Möglichkeit haben müssen, der Erstellung von Nutzungsprofilen zu widersprechen. Dazu bietet Google für Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Apple Safari und Opera ein Browser-AddOn an, welches Google Analytics für alle mit dem Browser aufgerufenen Seiten blockiert.

Sowohl zur Frage, ob die „_anonymizeIp()“ Funktion ausreichend ist, als auch bezüglich der Frage, ob die Installation eines Browser-AddOns eine wirksame Widerspruchsmöglichkeit gegen die Erstellung von Nutzerprofilen darstellt, steht eine Stellungnahme der Datenschuztbehörden noch aus.

Unternehmen, die dem Online-Datenschutz Rechnung tragen und dennoch das Nutzungsverhalten der Besucher ihres Webangebotes mit Google-Analytics auswerten möchten, muss daher geraten werden, zumindest die Funktion „_anonymizeIp()“ zu verwenden.

Wer nicht unbedingt auf Google-Analytics angewiesen ist, kann auch auf Websiteanalysetools wie das Open-Source Tool Piwik auszuweichen. Für Piwik existiert sogar eine Anleitung des ULD, die explizit beschreibt, wie dieses datenschutzkonform verwendet werden kann. (se)