Die meisten Websitebetreiber kennen den Aufwand, der betrieben werden muss, um Google Analytics datenschutzkonform nutzen zu können. Dennoch ist dies weitgehend ohne Probleme möglich.
Der russische Suchmaschinenriese Yandex bietet mit „Metrica“ ein ähnliches Werkzeug an. Dieses allerdings ist für Datenschützer ein wahrer Albtraum.
Yandex ist die viertgrößte Suchmaschine weltweit nach Google, Baidu und Yahoo und hat zeitweilig sogar Bing in Hinsicht auf die Zahl der Suchanfragen überholt. Tatsächlich ist Yandex nicht nur ein Jahr früher als Google an den Start gegangen, sondern besticht in einigen Punkten auch durch eine technische Überlegenheit gegenüber Google. Es ist also nicht wirklich verwunderlich, dass die Betreiber der Suchmaschine ein eigenes kostenfreies Analysewerkzeug als Konkurrenzprodukt zu Google Analytics anbieten.
Tatsächlich jedoch ist Metrica weitaus mächtiger als Analytics. Und in genau diesem vermeintlichen Vorteil findet sich auch der Haken an der Geschichte. Der Einsatz birgt nämlich – zumindest in Deutschland – rechtliche Risiken. Einige Funktionen von Yandex.Metrica sind in der Tat mit dem deutschen Datenschutzrecht nicht in Einklang zu bringen.
Datenschutz bedeutet, die Persönlichkeitsrechte zu schützen
Das deutsche Datenschutzrecht in Form des Bundesdatenschutzgesetzes (BDSG) sieht in der Einhaltung der Datenschutzvorschriften vor allem den Schutz des Einzelnen. Jedem Nutzer muss es möglich sein, ein Internetangebot zu nutzen, ohne dass durch die Sammlung und Nutzung seiner personenbezogenen Daten in seine Persönlichkeitsrechte eingegriffen werden kann. Selbstverständlich gilt dies nicht nur für die digitale Welt. Das Datenschutzgesetz betrifft grundsätzlich alle Lebens- und Geschäftsbereiche. Prinzipien wie die Datensparsamkeit sollten jedem Unternehmer, der mit den Daten seiner Kunden und Interessenten arbeitet, in jedem Falle geläufig sein.
Was sind personenbezogene Daten?
Bei einem Namen, einer Adresse oder einer Telefonnummer wird niemand ernsthaft anzweifeln, dass es sich um personenbezogene Daten handelt. Schließlich kann aus allen diesen Daten – vor allem in deren Kombination – auf eine konkrete Person geschlossen werden. Wer sich jedoch im Internet bewegt, muss dies zwangsläufig mit einem elektronischen Endgerät tun, welchem immer vom Anbieter des Internetzugangs eine IP-Adresse zugeordnet ist. Und auch diese IP-Adresse zählt zu den personenbezogenen Daten. Denn theoretisch (und auch praktisch) ist es möglich, allein anhand dieses Merkmals einen Nutzer recht eindeutig zu identifizieren.
IP-Adressen werden vollständig gespeichert
Es ist also nicht überraschend, dass die IP-Adresse nur mit expliziter Einwilligung des Nutzers erhoben werden darf, was allein schon Websitebetreiber in ernste Schwierigkeiten bringen kann. Denn jeder Webserver speichert – wenn dies nicht explizit abgeschaltet ist – jeden einzelnen Zugriff auf eine Seite mitsamt der aufrufenden IP-Adresse. Um diesem „Massenphänomen“ entsprechend zu begegnen, sind die meisten Hosting-Anbieter dazu übergegangen, IP-Adressen nur noch anonymisiert in den Logfiles der Webserver zu speichern. Dies bedeutet in den meisten Fällen, dass statt einer IP „aaa.bbb.ccc.ddd“ lediglich die ersten drei Ziffernfolgen „aaa.bbb.ccc“ gespeichert werden.
Yandex.Metrica jedoch speichert die IP-Adresse in ihrer ganzen Schönheit. Aus Sicht des BDSG ist dies allein bereits Grund genug, diesem Dienst eine Absage zu erteilen. Weiter sieht das Gesetz den Abschluss eines Vertrages zur Auftragsdatenverarbeitung vor, wenn die gesammelten Daten durch Dritte ausgewertet werden sollen – was in diesem Falle zutrifft. Dies ist übrigens bei Google Analytics nichts anderes. Auch hier muss ein solcher Vertrag geschlossen werden, der entsprechend von Google bereitgestellt wird.
Der Nutzer muss der Datensammlung widersprechen können
Auch muss ein solcher Dienst eine Widerspruchsmöglichkeit anbieten. Einem Nutzer muss es möglich sein, eine Webseite zu nutzen, ohne dass ein Analysetool die Daten der Nutzung aufzeichnet. In den meisten Datenschutzerklärungen finden sich im Abschnitt „Google Analytics“ Verweise auf Browser-AddOns bzw. eine Funktion, die sofort einen Cookie setzt, der eine weitere Aufzeichnung der Daten durch Analytics verhindert.
Tatsächlich bietet „Metrica“ dies auch an. Mit entsprechenden Erweiterungen für die gängigen Browser kann die Aufzeichnung der Nutzungsdaten in ähnlicher Weise wie bei Google Analytics unterbunden werden. Es steht jedoch außer Frage, dass es die Pflicht eines jeden Websitebetreibers ist, die Nutzer in seiner Datenschutzerklärung auf der Website auf die Nutzung von „Metrica“ hinzuweisen. Entscheidend ist hierbei, dass dieser Hinweistext mit den Datenschutzbehörden abgestimmt sein muss.
Das eigentliche Problem ist der Webvisor
Yandex stellt mit seiner Analysesoftware „Metrica“ eine Funktion zur Verfügung, die aus datenschutzrechtlicher Sicht besonders bedenklich ist. Die Rede ist vom Webvisor, mit dem es möglich ist, das Verhalten eines Nutzers auf einer Website nicht nur in Zahlen zu speichern, sondern auch als Video. In der Tat zeichnet die Funktion auf, was ein Nutzer auf der Seite tut und lässt dabei auch Formulareingaben nicht unberücksichtigt. Ebenfalls als Video wird aufgezeichnet, wo ein Nutzer einen Klick ausführt, wie weit er auf einer Seite nach unten scrollt und wie er seine Maus bewegt. Zusätzlich kann gespeichert werden, welche Textstellen der Nutzer markiert und kopiert. Welche weiteren Daten aufgezeichnet werden sollen oder können, liegt offenbar weitestgehend in der Hand von Yandex, in dessen Datenschutzerklärung es unter Punkt 2 lediglich heißt „(viii) other information“.
Allerdings werden auch Tastatureingaben aufgezeichnet. So kann der Websitebetreiber buchstäblich dabei zusehen, wie der Nutzer ein auf der Website vorgehaltenes Formular ausfüllt. Dass dies auch für Login-Seiten gilt, die letztlich auch nur Formulare darstellen. Zwar gilt die offizielle Aussage, dass Passworteingaben explizit ausgespart werden, doch technisch ist es nur eine Geringfügigkeit, auch diese Tastenanschläge aufzuzeichnen. Natürlich muss nicht extra erwähnt werden, dass solch eine Technologie auch für Googles Analytics und andere Tracking-Tools spielend leicht umgesetzt werden könnte.
Eine Möglichkeit zumindest diesen Punkt zu entschärfen besteht im Abschalten des Webvisor. Dies ist jedoch nicht aus Benutzersicht möglich, sondern nur zentral über die Administrationsoberfläche. Wird jedoch die Videofunktion abgeschaltet, gehen auch alle anderen damit verbundenen Funktionen wie die Aufzeichnung von Klicks, Scolling und Mausbewegungen verloren.
Yandex Metrica ist aus Sicht des Datenschutzes riskant
Metrica ist unbestritten ein technisch fortschrittliches Werkzeug. Und nicht wenige Seitenbetreiber werden – in Anbetracht der vielfältigen Analysemöglichkeiten – feuchte Augen bekommen, wenn sie die Featureliste durchgehen. Aber trotzdem handelt es sich hierbei um ein Tool, bei dessen Einsatz unbedingt mit Bedacht vorzugehen ist.
Die gesetzlich vorgeschriebene Anonymisierung der Nutzerdaten bei Yandex Metrica ist nur sehr rudimentär gewährleistet. Vor allem die IP-Adresse wird vollständig gespeichert und an die auswertenden Server in Russland übertragen. Schon alleine aus diesem Grund ist eine rechtssichere Nutzung von „Metrica“ nur mit ausdrücklicher Einwilligung des Nutzers möglich. Im Grunde müsste also jede Website, die diesen Dienst einsetzt, vor dem Anzeigen der eigentlichen Inhalte eine explizite Abfrage durchführen, ob der Besucher mit der Aufzeichnung seiner Daten einverstanden ist – zugegeben eine höchst unpraktikable Methode.
Fazit: Der Einsatz des Webanalysedienstes Yandex.Metrica birgt erhebliche datenschutzrechtliche Probleme. Vor allem Unternehmen sollten vom Einsatz dieses Tools absehen, solange es noch keine eindeutige rechtliche Grundlage für die Verwendung gibt. Denn momentan ist der Einsatz des Tools datenschutzrechtlich eher bedenklich und dürfte – wenn entsprechende Voraussetzungen erfüllt sind – abmahngefährdet sein.
Update 10.05.2017
Zwischenzeitlich erhielt ich über Twitter eine Nachricht von Victor Tarnavsky, dem Head of Yandex.Metrica.
We handle this matter seriously and do our best to comply all German and European laws. At this moment Yandex.Metrica is compatible with all requirements, at least as far as we know.
1. IP Addresses
We do not show IP addresses to our clients, it’s only first three digits. Unfortunately it’s not possible not to send them from user side (that’s how internet works).
2. WebVisor
2.1 First of all, I want to point clarify that WebVisor is opt-in. It’s not enabled by default and site owner should enable it in Yandex.Metrica interface explicitly, and then update tag code on the website.
2.2 About fields and information collected in fields. First, we do not collect all fields by default. Some fields are disabled like password or credit cards number. Site owner should mark fields with PII manually by using CSS class. It is a requirement and covered in our terms of use: https://yandex.com/legal/metrica_termsofuse/ … pt. 13 Marked fields will not be collected and no information about button pressed will go to our servers.