DSGVO/GDPR-konforme Verwendung


(KopfKrieg) #1

Hallo zusammen,

ich betreue für mehrere Personen diverse Webseiten und wir haben uns nun dazu entschlossen langsam mal eine Analytics-Software einzusetzen. Ich habe vor Jahren Piwik verwendet, die logische Konsequenz daraus ist nun, dass wir Matomo einsetzen wollen.

Leider ist nicht ganz klar, wie man eine DSGVO-konforme Verwendung hinbekommt, wenn man:

  • keine Cookies verwenden will
  • keine blöden Banner oder ähnliches haben will die Nutzer mehr irritieren als helfen

Kurzgesagt: Wir möchten, dass man die Webseite ohne Störung verwenden kann, wir aber trotzdem zumindest grundlegende Daten bekommen (welcher Artikel wurde gelesen, wie oft, etc.)

Folgende Einstellungen wurden bereits vorgenommen (nach diesem Beitrag):

  • Anonymisierung der Besucher-IP-Adresse um 2 Bytes
  • Anonymisierte IP-Adresse für Aufbereitung der Besuche nutzen → Ja
  • Benutzer ID mit Pseudonym tauschen
  • Do-not-Track Unterstützung aktiviert
  • Deaktivierung von Cookies im JS-Code mittels _pag.push([‘disableCookies’]);
  • Automatische Löschung der Daten (genauer Zeitraum muss noch festgelegt werden)

In der Datenschutzerklärung weisen wir natürlich darauf hin, dass gewisse Daten erfasst und wofür diese verwendet werden (die genaue Formulierung ist noch nicht final, aber das wird noch).

Die Frage ist jetzt: Reicht das? Oder muss ich, obwohl so viel wie möglich anonymisiert wurde, trotzdem noch Consent einholen? Und falls ja, lässt sich das vermeiden? Wenn Nutzer nicht erfasst werden ist das für uns nicht so schlimm, bisher wurde ja überhaupt nichts erfasst. Aber wir wollen langsam mal zumindest eine grobe Statistik haben - und das mit so wenig personenbezogenen Daten wie möglich - am liebsten ganz ohne.

Vielen Dank schon mal :slight_smile:


(Lukas Winkler) #2

Hallo,

Eine Sache voran: Ich bin kein GDPR-Experte auch wenn ich viel Zeit damit verbracht habe und ich kann keinerlei Rechtsempfehlungen geben.

Ich würde aber sagen, wenn ihr dies in einer ordentlichen Datenschutzerklärung allgemeinverständlich zusammenfassen könnt, noch ein opt-out iFrame einbindet und diese auf allen Seiten verlinkt, sollte es meiner Meinung nach in Ordnung sein.

Es wird euch vermutlich nicht betreffen, ich will es aber trotzdem erwähnen:
Wenn man das User ID-Feature verwendet reicht es nicht diese Funktion zu aktivieren, da man selbst damit noch die Nutzer eindeutig zuordnen kann. Aber da ihr es vermutlich eh nicht verwendet, ist das eh kein Problem.


(KopfKrieg) #3

Eine Sache voran: Ich bin kein GDPR-Experte auch wenn ich viel Zeit damit verbracht habe und ich kann keinerlei Rechtsempfehlungen geben.

Schon klar, das muss letztlich ein Anwalt übernehmen.

Ich würde aber sagen, wenn ihr dies in einer ordentlichen Datenschutzerklärung allgemeinverständlich zusammenfassen könnt, noch ein opt-out iFrame einbindet und diese auf allen Seiten verlinkt, sollte es meiner Meinung nach in Ordnung sein.

Opt-out wäre nicht schlimm. Opt-in ist das, was uns Sorgen macht. Nur grundlegende Daten zu haben ist immer noch besser als so gut wie keine Daten zu haben, weil kein Mensch auf “Ja, trackt mich” klickt. Zumindest nicht freiwillig (Macht von uns ja auch keiner).

Benutzer ID mit Pseudonym tauschen

Es wird euch vermutlich nicht betreffen, ich will es aber trotzdem erwähnen:
Wenn man das User ID-Feature verwendet reicht es nicht diese Funktion zu aktivieren, da man selbst damit noch die Nutzer eindeutig zuordnen kann. Aber da ihr es vermutlich eh nicht verwendet, ist das eh kein Problem.

Oh, okay. Mal sehen, ob man das irgendwie komplett entfernen kann.

Vielen Dank für deine Hilfe :slight_smile:


(Lukas Winkler) #4

Hallo,

Solange du nirgendst die User ID mit _paq.push(['setUserId', 'USER_ID_HERE']); setzt, sollte das egal sein.

Das ist auch meine persönliche Meinung. Ein anonymes Tracking mit Opt-Out ist finde ich besser als ein nerviges Fenster bei jedem Seitenaufruf. (Eine Firma mit ähnlichem Namen ist diesbezüglich anderer Meinung)


(KopfKrieg) #5

Solange du nirgendst die User ID mit _paq.push(['setUserId', 'USER_ID_HERE']); setzt, sollte das egal sein.

Oh, also müsste man das sowieso explizit in den Tracking-Code einbauen wenn ich das richtig verstehe. Sehr schön, das machen wir eh nicht.

Das ist auch meine persönliche Meinung. Ein anonymes Tracking mit Opt-Out ist finde ich besser als ein nerviges Fenster bei jedem Seitenaufruf.

Jep, wir auch. Und irgendwo (ich kann dir jetzt leider keinen Link geben, den müsste ich erst suchen) hat eine größere Webseite Daten zum Tracking vor und nach Inkrafttreten der DSGVO veröffentlicht - und da fehlten dann halt mal spontan so 76% der Nutzer, die vorher konstant da waren (das war eine Website mit Opt-In und umfangreicherem Tracking via Cookie und ähnlichem).

Und wenn dann nur knapp ein Viertel übrig bleibt nehme ich lieber das anonymisierte Tracking, dafür aber mit knapp 100% der Nutzer. Vielleicht nicht so genau, aber das ist bei uns auch nicht das Ziel. Wir wollen eh nur generell mal eine Übersicht haben wie viele Nutzer wir überhaupt haben - und was für Beiträge in der Regel angesehen werden.


(Lukas Winkler) #6

Wenn ihr euch damit besser fühlt:

Wenn ihr alles aus dem ersten Post umgesetzt habt, seit ihr besser, als die österreichische Datenschutzbehörde (verwendet Matomo ohne es zu erwähnen), die Datenschutzbehörde in Sachsen-Anhalt (kein Opt-Out) und vermutlich noch viel mehr Datenschutzbehörden (Europaweit gesehen verwendet zum Beispiel die bulgarische Datenschutzbehörde einfach Google Analytics).


Opt-in bei Matomo 3.8
(KopfKrieg) #7

Wow. Also von einer Datenschutzbehörde erwartet man ja schon besseres…


#8

Hallo!

Ganz ohne Cookie-Banner wird es nicht gehen wenn es sich um kommerzielle Angebote handelt.

Ich kann zu dem Thema den Blog von Rechtsanwalt Dr. Thomas Schwenke empfehlen. Er beschäftigt sich fast ausschließlich mit dem Thema Datenschutz im Internet. Er hat zu dem Thema Tracking und Cookies einen sehr guten Artikel verfasst:

Gruß
Pete


(KopfKrieg) #9

Nun ja, zum einen handelt es sich nicht um ein kommerzielles Angebot (sondern mehrere private Blogs), zum anderen verwenden wir keine Cookies - insofern ist ein Cookie-Banner überflüssig :wink: