Webseiten-Analyse-Tools: Datenschutzrechtliche Herausforderungen beim Einsatz
Marco S. Meier
Marco S. Meier, RA, MLaw, CIPP/E ist Counsel bei THOUVENIN Rechtsanwälte KLG. Seine Tätigkeitsschwerpunkte liegen im Datenschutz- und IT-Recht sowie in technologiebezogenen Compliance-Fragen.
Passende Arbeitshilfen
Was sind Webseiten-Analyse-Tools?
Webseiten-Analyse-Tools sind Hilfsmittel der Webseitenbetreiber. Durch Webseiten-Analyse-Tools erhalten die Webseitenbetreiber nicht nur Einblicke in die Performance, den Traffic, die Verweildauer oder das Ranking der jeweiligen Webseite, sondern auch Informationen über das Nutzerverhalten. Dazu gehört beispielsweise die Information, welches Suchwort vom Nutzer bei der Suche eingegeben wurde, und die Verweildauer auf oder die Absprungraten der einzelnen Unterseiten. Dies hilft dem Webseitenbetreiber die Webseite zu optimieren, die Inhalte zu verbessern oder diese zu personalisieren.
Webseiten-Analyse-Tools funktionieren in der Regel über den Einsatz von Cookies. Cookies sind kleine Textdateien, die der Webbrowser im Hintergrund auf dem Endgerät des Nutzers speichert. Sobald der Webseiten-Nutzer zum ersten Mal eine Webseite aufruft, wird ein neuer Cookie angelegt, der die definierten Informationen für den Webseitenbetreiber sammelt.
Welche Daten werden von Webseiten-Analyse-Tools bearbeitet?
Webseiten-Analyse-Tools gibt es in vielfältigen Ausgestaltungen und Varianten. Insofern können sich die Analyse-Tools bei den gesammelten Daten unterscheiden. Die meisten Webseiten-Analyse-Tools sammeln jedoch Personendaten im Sinne des Schweizer Datenschutzgesetzes, wie beispielsweise die IP-Adresse, andere einzigartige Nummern, über die das Endgerät wieder erkannt werden, Standortdaten, Informationen zum eingesetzten Browser, Informationen über das verwendete Endgerät und weitere Informationen über den Webseitenbesuch.
In Kombination mit einer IP-Adresse (oder einer anderen einzigartigen Nummer) ist es möglich eine natürliche Person zu identifizieren oder diese zu bestimmen. Dadurch findet das Schweizer Datenschutzgesetz auf diese Bearbeitung der Daten Anwendung.
Was gilt es beim Einsatz von Webseiten-Analyse-Tools aus datenschutzrechtlicher Sicht zu beachten?
Neben den allgemeinen Anforderungen an das Setzen von Cookies, welche sich primär aus dem Fernmeldegesetz ergeben, geben die datenschutzrechtlichen Bestimmungen beim Einsatz von Webseiten-Analyse-Tools, wie Google Analytics, Matomo, oder Adobe Analytics, zentrale Anforderungen vor.
Webseiten-Analyse-Tools werden Webseitenbetreibern von Drittunternehmen zur Verfügung gestellt. Weil diese Drittunternehmen die Personendaten in der Regel im Auftrag und auf Weisung des Webseitenbetreibers bearbeiten, handelt es sich meist um sog. Auftragsbearbeiter. Gemäss dem Schweizer Datenschutzgesetz kann die Bearbeitung von Personendaten an einen Auftragsbearbeiter mittels eines Vertrags oder gestützt auf eine gesetzliche Grundlage übertragen werden. Da für die Nutzung von Webseiten-Analyse-Tools keine gesetzliche Grundlage ersichtlich ist, muss ein Vertrag mit dem Anbieter abgeschlossen werden. Dieser sog. Auftragsbearbeitungsvertrag bildet dann die datenschutzrechtliche Grundlage für den Einsatz des Auftragsbearbeiters. Mit anderen Worten muss vor dem Einsatz eines Webseiten-Analyse-Tools ein Auftragsbearbeitungsvertrag mit dem Tool-Anbieter abgeschlossen werden. Viele Anbieter stellen bereits standardmässig einen solchen Vertrag zur Verfügung.
Neben dem Abschluss eines Auftragsbearbeitungsvertrags spielt auch der Sitz des Tool-Anbieters eine entscheidende Rolle. Befindet sich dieser im Ausland, müssen gegebenenfalls zusätzliche Garantien implementiert werden. Dies ist dann der Fall, wenn im Land, in welchem der Tool-Anbieter seinen Sitz hat aus Schweizer Sicht kein angemessenes Datenschutzniveau besteht. Zurzeit besteht aus Schweizer Sicht in den USA kein angemessenes Datenschutzniveau. Die marktführenden Webseite Analyse-Tools stammen von Anbietern mit Sitz in den USA (so bspw. Google Analytics von Google). In diesem Fall müssen nach der geltenden Rechtslage zusätzliche Garantien implementiert werden. In der Praxis ist der Einsatz der EU-Standardvertragsklauseln verbreitet. Durch diese unterwerfen sich die Vertragsparteien bestimmten datenschutzrechtlichen Pflichten, um ein angemessenes Datenschutzniveau sicherzustellen. Zudem müsste vor dem Einsatz eines Analyse-Tools von einem Anbieter mit Sitz in einem Land mit fehlendem, angemessenem Datenschutzniveau ein sog. Transfer Impact Assessment (d.h. eine Risikoanalyse nach den Vorgaben des EDÖB) durchgeführt werden.
Neben der Klärung des Verhältnisses zum Tool-Anbieter besteht eine weitere zentrale Pflicht: Die Informationspflicht gegenüber den betroffenen Personen. Die Webseitennutzer müssen über den Einsatz verschiedener Webseiten-Analyse-Tools informiert werden. In der Praxis wird dies über die Datenschutzerklärung, welche auf der Webseite verlinkt ist, sichergestellt. Die Datenschutzerklärung enthält gemäss den Vorgaben des Datenschutzgesetzes mindestens Informationen zum Webseitenbetreiber, zu den Zwecken des eingesetzten Analyse-Tools sowie zum Tool-Anbieter (inkl. Land und den ggf. eingesetzten datenschutzrechtlichen Garantien).
Welche datenschutzrechtlichen Risiken bestehen beim Einsatz von Webseiten-Analyse-Tools?
Das Schweizer Datenschutzgesetz sieht für bestimmte Verletzungen Bussen in der Höhe von bis zu CHF 250'000 vor. Dazu zählt u.a. das zur Verfügung stellen von falschen oder unvollständigen Informationen, die Verletzung der Vorgaben an den Beizug von Auftragsbearbeitern oder der Verstoss gegen die Vorgaben für Datentransfers ins Ausland. Wird der Einsatz von Webseiten-Analyse-Tools nicht sorgfältig geplant und umgesetzt, besteht das Risiko, dass die vorgenannten Pflichten verletzt werden und ein Busse droht. Aus diesem Grund ist die gewissenhafte Prüfung der Webseiten-Analyse-Tools vor dem Einsatz wichtig.
Was ich wissen muss:
- Durch Webseiten-Analyse-Tools werden Personendaten bearbeitet
- Die Vorgaben des Datenschutzgesetzes gelten neben anderen rechtlichen Vorgaben (z.B. zum Einsatz von Cookies)
- Bei den Tool-Anbietern handelt es sich regelmässig um Auftragsbearbeiter
- Mit Auftragsbearbeitern muss ein Auftragsbearbeitungsvertrag abgeschlossen werden
- Tool-Anbieter mit Sitz im Ausland: Prüfen, ob ein angemessenes Datenschutzniveau besteht oder ob zusätzliche Garantien implementiert werden müssen
- Aufnehmen der eingesetzten Webseiten-Analyse-Tools in der Datenschutzerklärung
- Prüfen, ob die Einstellungen im Webseiten-Analyse-Tool datenschutzkonform sind
