Im letzten Blogartikel haben wir uns grundsätzliche Gedanken dazu gemacht, wie sie Ihre Homepage datenschutzkonform gestalten können. Heute beginnen wir damit, uns einzelne Themen im Detail anzusehen, und zwar mit Website-Analyse Tools.
Wovon sprechen wir da eigentlich?
Website-Analyse-Tools werden verwendet, um Daten über das Verhalten der Besucher auf Ihrer Kanzleihomepage zu sammeln und zu analysieren. Sie können dadurch z.B. herausfinden, wie viele Personen – oder besser gesagt IP-Adressen – Ihre Website besucht haben, wie lange sie insgesamt auf der Homepage waren, welche Seiten sie in welcher Reihenfolge aufgerufen haben, wie lange sie auf den einzelnen Seiten waren und bei welchem Thema sie wieder ausgestiegen sind, also die Homepage verlassen haben. Sie können auch herausfinden, woher die Besucher kommen, mit welchen Geräten – also Smartphones oder Rechner – sie gesurft sind, welche Betriebssysteme, ja welche Internetbrowser dabei genutzt wurden, welche Medien angesehen wurden (PDF-Dateien oder z.B. Videos, die Sie auf der Homepage eingebunden wurden) und wie die Benutzer überhaupt auf die Website kamen – z.B. durch Klick auf einen Link in einer E-Mail, durch eine Suchmaschine etc.
Wann wird Tracking zum Problem?
Um all diese Daten herauszufinden, speichern und auswerten zu können, verwenden die Analyse-Tools sogenannte Tracking-Methoden. Die wohl gängigste Methode ist der Einsatz von Cookies, um Informationen über die Besucher zu sammeln.Wie einige andere Analysetools auch verwendet das weit verbreitete Tool Google Analytics solche Cookies. Darunter versteht man kleine Textdateien, die auf dem Computer des Besuchers gespeichert werden und Informationen wie die IP-Adresse, den Browsertyp, die besuchten Seiten und vieles mehr enthalten.
Stellen Sie sich vor, Sie planen eine Geschäftsreise und suchen ein Hotel für Ihre Übernachtung im Internet. Wenn Sie dazu eine Webseite aufrufen, werden sehr wahrscheinlich solche Cookies auf Ihrem Rechner gespeichert. Manche davon müssen sogar gespeichert werden, da Homepages sonst unter Umständen nicht richtig funktionieren. In den Consent-Bannern werden diese Cookies als „Essenziell“ oder „Technisch notwendig“ angegeben.
Andere Cookies sind dazu da, Ihnen das Surfen auf der Webseite zu erleichtern. Diese Cookies haben oft eine lange Speicherdauer auf Ihrem Rechner und merken sich z.B., welche Sprache Sie auf einer Website eingestellt haben, oder welche Produkte Sie in Ihrem Lieblingsonlineshop immer als erstes ansehen. Cookies sorgen daher unter Umständen dafür, dass Sie eine Webseite anders angezeigt bekommen, als ein anderer Besucher. Tracking Cookies dagegen speichern verschiedenste Informationen nur mit dem Zweck, dem Websitebetreiber möglichst viele Informationen über seine Besucher zu geben. Das ist übrigens nicht immer negativ, denn auf diese Weise können Webseiten auch für die Benutzer optimiert werden, so dass die wichtigen Informationen in der richtigen Art und Weise schnell zu finden sind.
Die Cookies, über die wir uns unterhalten müssen, speichern also Daten, die für den Besuch der Website nicht zwingend erforderlich sind. Wo liegt das Problem? Um zuzuordnen, zu welchem Besucher die Informationen gehören, wird natürlich auch die IP-Adresse in den Cookies gespeichert. Im letzten Blogbeitrag haben wir bereits erklärt, warum IP-Adressen zu den personenbezogenen Daten zählen. Und da nun all die Informationen, die in diesen Cookies gespeichert werden, von den Website-Analyse-Tools ausgelesen werden, liegt dort z.B. Ihre IP-Adresse zusammen mit richtig viel Kenntnissen über Ihr Surfverhalten und ist rein theoretisch Ihnen als Person zuordenbar. Und schon haben wir den Salat.
Manche Website-Analyse-Tools arbeiten mit anderen Tracking-Methoden als Cookies. Das Prinzip bleibt aber immer das gleiche: wenn Besucherdaten in einer Form, die sie einer Person zuordenbar macht, verarbeitet werden, unterliegen diese Daten der DSGVO und es bestehen bestimmte Anforderungen, damit Sie diese überhaupt verarbeiten dürfen.
Der Knackpunkt: der Personenbezug
An dieser Stelle haben wir uns schon den Kern Ihres Gesprächs mit dem Webdesigner oder Ihrer Agentur erarbeitet. Sie sollten die Frage klären, ob das zum Einsatz kommende Analysetool in der Form, wie es eingerichtet ist, Daten so verarbeitet, dass ein Personenbezug herstellbar ist, also eine IP-Adresse mit diesen Daten konkret in Verbindung gebracht werden kann. Und das lassen Sie sich am besten schriftlich bestätigen.
Wir möchten auf keinen Fall den Eindruck wecken, als wären alle Webdesigner und Agenturen Schurken und hätten keine Ahnung von der DSGVO. Ganz im Gegenteil. Wir kennen viele Fälle, in denen Kanzleien von Ihren Webentwicklern sehr gut beraten werden und unsere Anregungen für die Optimierung des Datenschutzes auf der Website schnell und kompetent umgesetzt werden. Aber das ist eben nicht überall der Fall. Haben Sie eine gute Agentur, ist eine schriftliche Bestätigung kein Problem. Sollte das nicht der Fall sein, haben Sie im Fall der Fälle schriftlich, dass Sie sich um das Thema bemüht haben und hier eine falsche Aussage erhalten haben. Das hilft.
Datenschutzkonforme Konfiguration
Ziemlich alle gängigen Website-Analyse-Tools bieten Ihnen heute die Möglichkeit, über bestimmte Installationsformen oder durch vorgegebene Einstellungen datenschutzkonform damit arbeiten zu können. Der Nachteil aus Sicht der Analyse-Freaks: manche Informationen können dann nicht mehr uneingeschränkt verarbeitet werden. Sie bekommen z.B. unter Umständen keine klare Aussage mehr über die Herkunft eines Besuchers, wenn die IP-Adressen anonymisiert verarbeitet werden. Dabei werden die letzten drei Stellen der IP-Adresse nicht gespeichert. Gerade daraus kann man aber die Region ableiten, aus der ein Besucher sich auf Ihrer Homepage angemeldet hat.
Wenn Sie für Ihre Marketingkampagnen aber auf die kompletten Daten nicht verzichten möchten, können Sie die Analysetools ohne Einschränkungen vorzunehmen laufen lassen. Dann allerdings müssen Sie im Consent Banner Ihrer Homepage eine korrekte Einwilligung des Besuchers einholen, denn die brauchen Sie dann, um die Daten entsprechend verarbeiten zu können.
Kritisch wird diese Variante, wenn Sie z.B. Analyse-Tools nutzen, die gesammelte Daten nicht in der EU, sondern auf Servern in Drittstaaten speichern, denn dann handelt es sich um einen Datentransfer in Drittländer, und auch hierfür brauchen Sie eine Einwilligung des Benutzers. Diese könnten Sie sich über den Consent Banner noch einholen. Ganz schwierig wird es aber, wenn die Anbieter dieser Analyse-Tools aus dem Nicht-EU-Ausland ggf. Subunternehmer einbinden, die widerum Subunternehmer einbinden. Oder wenn diese Hersteller Ihnen nicht ganz transparent mitteilen (was, ehrlich gesagt, in der Regel fast nie der Fall ist), ob sie die gesammelten Daten ggf. zu eigenen Zwecken weiterverarbeiten, oder die Informationen z.B. verkaufen. Dann hat ein Besucher Ihrer Website Ihnen die Einwilligung zur Verarbeitung seiner Daten gegeben, sie verlieren aber ganz schnell den Überblick darüber, wer diese Daten überhaupt im Zugriff hat und was damit passiert. Das ist nicht DSGVO-konform, und vor allem für jeden Externen, der sich mit Homepages ein bisschen auskennt, erkennbar.
Unsere Empfehlung zu diesem Thema ist recht einfach: Entscheiden Sie sich für Variante 1, also den von Grund auf datenschutzkonformen Einsatz von Analysetools, dann bekommen Sie keine Schwierigkeiten. Lassen Sie sich entweder von Ihrem Ansprechpartner in Sachen Datenschutz oder von Ihrem Webentwickler dahingehend beraten. Dann bekommen Sie auch gleich ein Gefühl dafür, ob Ihre Geschäftspartner wissen, wovon sie reden. Es gibt mehrere Analysetools, die unter bestimmten Voraussetzungen datenschutzkonform nutzbar sind, und das sollte eine Agentur wissen. Ja, dazu gehört tatsächlich auch Google Analytics, aber z.B. auch andere Produkte wie Matomo.
Sie verzichten dann vielleicht auf das ein oder andere Detail in den Analysedaten, aber wenn Sie ehrlich sind ist diese tiefgehende Analyse der Besucherdaten Ihrer Kanzleihomepage vielleicht gar nicht notwendig.
Brauchen Sie die Daten wirklich?
Wir gehen sogar noch einen Schritt weiter: vielleicht ist eine Analyse der Besucherdaten überhaupt nicht notwendig. Oder mal anders: wann haben Sie sich denn zuletzt die Informationen aus Ihrem Website-Analyse-Tool angesehen, diese ausgewertet und damit irgendetwas sinnvolles getan? Lange her? Dann bitten Sie Ihren Webentwickler am Besten gleich morgen, das Tool zu deaktivieren.
Hier ein kleiner Praxistipp für Sie: wenn Sie jetzt im Brustton der Überzeugung behaupten, auf Ihrer Kanzleihomepage wäre soetwas noch nie installiert gewesen, dann fragen Sie lieber nochmal genau nach. Oft wird z.B. Google Analytics von den Entwicklern bei der Erstellung einer Website schon mal hinterlegt, weil „man soetwas ja schließlich braucht“. Dann sammeln Sie ggf. seit Jahren nicht datenschutzkonforme Daten, die Sie gar nicht brauchen.
Verträge mit Ihren Dienstleistern
Jetzt kommen wir noch zu einem administrativen Thema, nämlich den Abschluss eines Vertrags zur Auftragsverarbeitung. Immer dann, wenn Sie personenbezogene Daten an Dritte zur Verarbeitung weitergeben, also z.B. an ein Rechenzentrum, oder wie hier an den Anbieter eines Website-Analyse-Tools, müssen Sie mit dem Anbieter einen Vertrag zur Auftragsverarbeitung abschließen. Auch darüber hatten wir in den vorgehenden Artikeln schon kurz gesprochen. Die Verträge können Sie bei den meisten Anbietern schon vorkonfiguriert in Ihrem Administrationsbereich herunterladen oder dort anfordern.
Wie viel Risiko möchten Sie eingehen?
Nun sind aber die Zeiten vorbei, in denen Steuerkanzleien ganz auf Marketingmöglichkeiten wie eben die Websiteanalyse verzichten wollen. Wir kennen mittlerweile viele Kanzleien, die z.B. spezielle Seiten für die Personalgewinnung betreiben oder ganz konsequent eine bestimmte Zielgruppe als Mandanten werben wollen. In solchen Fällen ist es natürlich sehr spannend, auf die uneingeschränkten Analysedaten zugreifen zu können. Grundsätzlich sind Ihnen hier natürlich nie die Hände gebunden, denn die Verantwortung auch für nicht datenschutzkonforme Aktivitäten trägt immer die Kanzleileitung, und damit verbunden eben auch die Entscheidung, wie viel Risiko für Sie akzeptabel ist.
Dazu brauchen Sie allerdings jemanden an Ihrer Seite, der Ihnen sagen kann, was erlaubt ist und was nicht, wie sie ggf. bei bestimmten nicht ganz DSGVO-konformen Vorgehensweisen noch einigermaßen auf der sicheren Seite bleiben, und welches Risiko mit Ihrer Entscheidung überhaupt verbunden ist. Daher empfehlen wir Kanzleien, die tatsächlich mit den Analysedaten intensiv arbeiten und z.B. weitreichende HR-Kampagnen auch in Verbindung mit Facebook etc. betreiben, sich an dieser Stelle wirklich Datenschutzprofis mit an Bord zu holen, die eine individuell auf Ihre Kampagne und die damit verbundenen Anforderungen zugeschnittene Beratung liefern.
Damit sind wir am Ende unseres kurzen Einblicks in die Welt der Website-Analyse-Tools und der Herausforderung, damit datenschutzkonform umzugehen. Natürlich fehlt hier so manches technische Detail, aber genau das haben wir Ihnen ja versprochen. Informationen, mit denen Sie arbeiten können, ohne uns in den technischen Feinheiten zu verlieren.
Mehr davon? Melden Sie sich gleich zu unserem Newsletter an und bekommen Sie aktuelle Blogartikel und Podcastfolgen direkt auf den Schreibtisch geliefert:
Diesen Artikel finden Sie hier auch zum Nachhören als Podcastfolge: