ULD empfiehlt sinnloses Tracking

gepostet von Johan am

Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) empfiehlt Piwik als Tracking-Tool einzusetzen.

Nachdem 2008 festgestellt worden sei, dass Google Analytics nicht datenschutzkonform sei, wolle man nun zeigen, was gehe. Man sei zu dem Schluss gekommen, dass man die Verwendung von Piwik empfehlen könne.

Die vom ULD abgegebene positive Beurteilung des Produktes Piwik zum Zweck der Nutzungsanalyse kommt nicht einer Zertifizierung nach den vom ULD angebotenen Verfahren zur Erteilung des Gütesiegels Schleswig-Holstein oder des European Privacy Seals gleich. Bisher gibt es keine derart zertifizierten Analysewerkzeuge und auch keine entsprechenden Verfahren. Das ULD würde es aber sehr begrüßen, wenn Anbieter von Analysewerkzeugen ihre Produkte einer umfassenden Datenschutzzertifizierung unterwerfen würden. Auf diese Weise würde der Markt für im Internet eingesetzte datenschutzkonforme Produkte weiter gestärkt.

Hauptgrund für das ULD Piwik zu empfehlen ist, dass man das Tool auf dem eigenen Server installieren kann und nicht auf die Übertragung der Nutzerdaten auf einen fremden Server angewiesen ist (Hauptkritik an Analytics ist ja, dass das Tracking-Pixel von einem Server in Amerika geladen wird und die Daten auf amerikanischen Servern gespeichert werden).

Man hat Hinweise veröffentlicht, wie eine Piwik-Installation vorzunehmen sei. (PDF)

Während der Absatz zur IP-Anonymisierung bis auf den C-Block noch halbwegs nachvollziehbar ist, wird es im Anschluss ein wenig krude.

  • Referrer sollten darauf geprüft werden, ob man sie überhaupt braucht. Hallo? Wie soll ich bitte sinnvolle Web-Analyse ohne Referrer-Informationen machen?
  • Löschung von Daten:

    Das ULD empfiehlt, durch unmittelbare Aufforderung durch Nutzerinnen und Nutzer
    die erforderliche Löschung und eine regelmäßige anlasslose Löschung direkt in der
    Datenbank durch auf den jeweiligen Anwendungsfall optimierte SQL-Anweisungen
    umzusetzen

    Direkt davor wird allerdings geschrieben, dass einzelne Datensätze nicht gelöscht werden können, sondern nur die einzelne Datenbanktabellen komplett geleert werden können. Hallo? Wie soll ich bitte sinnvolle Web-Analyse ohne History-Daten machen?

  • Cookie-Laufzeiten:

    Das ULD empfiehlt, die Lebensdauer der Tracking-Cookies so kurz wie möglich zu
    konfigurieren und insbesondere eine Lebensdauer von einer Woche nicht zu
    überschreiten.

    Maximal eine Woche? Ich kriege damit bei den meisten Seiten keine Informationen über meine wirkliche Anzahl an UniqueUsern (=Reichweite). Bei vielen Geschäftsmodellen ist der Conversion-Prozess deutlich länger als eine Woche (Versicherungen, Autos, etc.). Hallo? Wie soll ich bitte sinnvolle Web-Analyse ohne Reichweitenmessung oder Conversion-Beobachtung durchführen?

Die Anforderungen des ULD führen dazu, dass ich keine sinnvollen Informationen über meine Nutzer erhalten kann, indem ich Piwik so weit beschneiden, dass man damit überhaupt nichts mehr anfangen kann.

Dass Piwik kein echtes Tracking Tool hat Patrick Ludolph schon vor einiger Zeit dargelegt.

Das System ist ohnehin so limitiert, dass jedem Analysten die Haare zu Berge stehen muss. Letzten Endes ist ein schlechtes Tracking-System immer zum Schaden des Nutzers. Ein gutes Tracking zeigt Schwachstellen der Seite auf. Der Betreiber lernt, was er tun muss, um seinen Nutzern immer besseren Service bieten zu müssen und bei konsequenter Anwendung führt es auch zu besseren Produkten. Wenn ich merke, dass meine Nutzer immer an einer bestimmten Stelle im Kaufprozess aussteigen, dann analysiere ich das. Wenn das Problem der Preis ist, dann muss ich über den Nachdenken. Wenn es daran liegt, dass ich dem Nutzer zu viele Daten im Kaufprozess abverlange, dann werde ich überlegen, ob ich wirklich alle abfragen muss…

Aber wer die Auswirkungen eines fehlenden brauchbaren Trackings im Beispiel sehen will, der braucht sich nur die Usability von www.datenschutzzentrum.de anzusehen…

Kommentare

  1. Stecki

    Danke für diesen Beitrag, der es mir erspart mir meinen Frust separat runterzubloggen 😉

    Beim Lesen ging es mir wie Dir: Nach dem Kapitel zu ip_address_mask_length=2 war ich im Dauerkopfschüttelvibrato. Die Vorschäge gehen komplett an realen und sinnvollen Erfordernissen vorbei. Sie sind komplett wirklichkeitsfern und daher leider nicht im Ansatz eine Hilfe. Am Ende zeigen sie nur, daß das deutsche Datenschutz-Mindset in der Vergangeheit verharrt.

    Regeln, die kein vernünftiger Mensch befolgen kann (lustig waren ja in dem Zusammenhang auch die Pannen bei diversen Internetauftritten der Datenschützer), kann man vergessen. Letztenendes untergräbt das Festhalten an einer derartigen Farce nur die Autorität des Rechtstaats. 🙁

  2. Arnenktion

    Danke, wirklich guter Artikel 🙂 Datenschutz vs. Usability finde ich wirklich schön herausgearbeitet. Und vor Allem: Das Internet kann nun mal nur so gut (kostenlos) funktionieren, da ordentlich getrackt und analysiert wird!

  3. Guido Gallenkamp

    Ich habe verschiedene und gegensätzliche Meinungen zum Tracking (wie es sich für einen anständigen Deutschen gehört)

    Als Nutzer von Webseiten:
    Ich möchte, dass eine Site mich wieder erkennt, erwarte das aber nicht von einer Site, bei der ich keinen Account habe. Habe ich eine Account, dann habe ich Vertrauen zu der Seite und störe mich nicht daran, wenn der Cookie länger als ne Woche bei mir wohnt. Bei anderen schon.
    Ich möchte nicht, dass Statistik-Anbieter G weiß, dass ich auf Seite A war, um mir dann auf Seite B einen Staubsauger anzubieten, der genau so heißt, wie ein Forenthema auf Seite A.

    Als Webentwickler:
    Ich möchte gerne wissen, ob der Typ vor dem Bildschirm noch da ist, und ob er der selbe ist, der gerade ins Forum was geschrieben hat. Dafür brauche ich max. 24h Tracking für die aktuelle Session.
    Es ist ebenso hilfreich zu wissen, welche Klientel welche Bildschirmgrößen mit welchen Browsern nutzt und in welcher Verteilung. Auch dafür benötige ich kaum Tracking. Höchstens für die aktuelle Session.

    Als Webseitenbetreiber:
    Wenn ich eine (technisch) anständige Webseite habe, dann muss mir nicht erst eine Statistik sagen, dass mein Staubsauger nicht verkauft wird. Dass ein Artikel nicht gelesen wird sieht man wahrscheinlich auch an den Rückmeldungen. Für Langzeit-Statistiken und -Statistiker reicht es völlig aus, die Rohdaten nach der Erfassung Und einer Session) zu anonymisieren. Dann sind die Daten noch da, aber z.B. die IP ist rausgeworfen worden. Alle anderen erfassten Daten können ja durchaus in der Datenbank wohnen bleiben. Für Langzeit-Auswertungen reicht das auch allemal, da ich nicht auf die Info „IP“ angewiesen bin.

  4. Sven Thomsen

    Hi,

    erstmal vielen Dank für die kritische Auseinandersetzung mit dem Dokument.

    Wir sind sehr an Rückmeldungen interessiert und werden diese in einer kommenden Version des Dokuments berücksichtigen, in der wir beispielsweise auch auf x-do-bot-track etc. eingehen.

    Zu den aufgeführten Punkten:

    Im Dokument wird empfohlen, zu prüfen, ob man den Referrer braucht. Dies folgt dem Grundsatz der Datensparsamkeit. Zitat zwei Zeilen später im Zusammenhang mit der Nutzung des Referrers: „Nutzerprofilierung ist nach Ansicht des ULD nur zulässig, wenn die verantwortliche Stelle zweifelsfrei nachweist, dass die Erstellung der Profile für Werbung, Marktforschung oder die bedarfsgerechte Gestaltung des Dienstes tatsächlich erforderlich ist.“

    Datenlöschung ist in Piwik noch ein Problem, ist aber gleichzeitig eines der gesetzlich zugestandenen Betroffenenrechte. Wir werden in einer kommenden Version das nochmal klarer herausarbeiten und konkrete SQL-Statements zum Löschen von noch personenbezogenen Daten erarbeiten.

    Die Cookie-Laufzeiten sind mit Piwik-Kern-Entwicklern abgestimmt und stellen einen Kompromiss für einen Großteil von „Feld-Wald-und-Wiesen“-Sites dar. Wenn es in Einzelfällen längere Laufzeiten braucht: Begründen und ggfs. mit der zuständigen Aufsichtsbehörde oder besser: dem eigenen Datenschutzbeauftragten abstimmen.

    Zu unserer Webseite: Stimmt. Wir arbeiten an einem Relaunch.

    Wenn Interesse an einer weiteren Diskussion besteht oder einfach noch offene Fragen sind: Einfach per E-Mail bei den Autoren melden.

    Gruß,

    Sven Thomsen – ULD

  5. Johan

    Hallo ULD (in Persona Sven Thomsen),

    vielen Dank für die konstruktive Rückmeldung auf den Rant.

    Noch kurz zu den Punkten:
    * Referrer: Datensparsamkeit ist gut, ja. Nur gerade Trafficherkunft ist wichtig, um die einzelnen Marketingmaßnahmen als Unternehmen feinsteuern zu können. Auch für private Webseitenbetreiber ist die Frage nach den Referrern eine der wichtigsten Informationen. Zum Beispiel um mit zu bekommen, wenn an anderer Stelle über einen geschrieben wird. Backlinktracking ist nicht zu unterschätzen, insbesondere, da es keine andere brauchbare Datenquelle dafür gibt.
    * Datenlöschung: Hier gibt es ein Kernproblem: Wenn ich den Nutzer nicht zurückverfolgbar tracken will, also verhindere, dass ich einer Person ein Surfverhalten zuordnen kann, wie soll ich dann nur gezielt die Daten einer einzelnen Person löschen können? Gesamte Trafficdaten zu löschen kann keine Lösung sein. Insbesondere da teilweise ja Bonuszahlungen an Mitarbeiter, Jahresvergleiche, etc. an rückwärts langfristig vorliegende Daten gebunden sind.
    * Cookies: ja, für eine Menge private Seiten brauchen Laufzeiten nicht wirklich lang zu sein. Bei Unternehmen sieht das Allerdings anders aus. Gerade, wenn es um Erfahrungen mit der Nutzerbindung geht und die analysiert werden soll. Wenn ich einen Nutzer nur eine Woche identifizieren kann und danach nicht weiter, habe ich keine Möglichkeit wirklich festzustellen, ob mein Angebot das Nutzerinteresse befriedigt oder nicht. Es sei denn ich zwinge ihn dazu sich einzuloggen (mit der Abfrage persönlicher Daten natürlich).

    Es bleibt das Kernproblem: Tracking ist für den Webseitenbetreiber essentiell wichtig. Für den Nutzer ist es mittelfristig von Vorteil, da der Betreiber sein Angebot immer kundenorientierter gestalten kann.
    Das nicht alle Nutzer immer und überall Datenspuren hinterlassen wollen kann ich zum Teil nachvollziehen. Die Frage ist allerdings: Muss der Webseitenbetreiber das gewährleisten? Oder ist es nicht Verantwortung von Datenschützern zu sensibilisieren und auf entsprechende Möglichkeiten das Tracking der eigenen Daten unterbinden zu können hin zu weisen? Schon jetzt ist es jedem Nutzer relativ einfach möglich das Tracking des eigenen Surfverhaltens zu unterbinden (zumindest weite Teile davon).

    Gleichzeitig frage ich mich, was denn zum Beispiel mit Logdateien ist. Die muss ich als Seitenbetreiber auch mit IP vorhalten, um bei Straftatbeständen eine Strafverfolgung einleiten lassen zu können. Ich brauche sie außerdem, um mich etwa vor Contentdiebstahl zu schützen und ein gezieltes Abscrapen meiner Seite verhindern zu können.

    Vielen Dank noch mal für den konstruktiven Kommentar.

    Ich bin an einem weiteren Dialog sehr interessiert.

  6. Peter Pletsch

    Ein guter Artikel und eine sehr spannende Diskussion.

    Ich finde den Ansatz von Google auf der einen Seite die IP-Adressen zu anonymisieren

    http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp

    und dem Browser-Plugin zum Google Analytics Opt-Out

    http://tools.google.com/dlpage/gaoptout

    schon sehr gut.

    Desweiteren gibt es Anti Viren Programme wie Norton, die auch Tracking Cookies regelmäßig löschen. Die meisten Browser bieten einen privaten Modus oder Einstellungen, die Cookies ablehnen oder am Ende der Session einfach löschen.

    Der interessierte Nutzer und datenschutzbewusste Webseitenbetreiber können also schon eine Menge machen. Wobei oft schon eine Massnahme ausreicht, um hinreichende Anonymität zu gewährleisten. Wer sich mit Web Analyse beschäftigt weiß, das der absolute Durchblick und der gläsernde Kunde in der Realität nicht bestehen. Web Analyse ist für Seitenbetreiber eine nicht einfach zu meisternde Aufgabe.

    Die Datenschutzregeln für Web Analyse Tools sollte also so gefasst werden, dass sie sowohl die Bedürfnisse des Betreibers als auch des Nutzers gerecht werden – ein gesundes Mittelding eben.

    Sollten Nutzer weitergehende Bedürfnisse bzgl Privatsphäre haben, gibt es inzwischen wie oben beschrieben ausreichend Möglichkeiten.

  7. Guido Gallenkamp

    @Peter Pletsch
    Mit der gleichen Argumentation kann man die totale Kameraüberwachung im öffentlichen Raum rechtfertigen. Es gibt schließlich Möglichkeiten sich zu verschleiern und gegen die Aufzeichnung zu klagen. Sofern man denn alles kennt, was über einen gesammelt wird, an wen man sich wenden kann und welche Daten betroffen sind.

    Die von ihnen beschriebenen Tools dienen der Lösung eines einzelnen Problems (nämlich nur des Google-Analytics-Problems), das es nicht gäbe, wenn von vorn herein mit Daten vernünftig und verantwortungsvoll umgegangen würde. Denn auch die Cookies müssen erst mal gekannt werden (welche werden gelöscht / welche werden behalten?) und für diesen Aufwand fallen mit Sicherheit Kosten an. Meines Wissens werden dabei noch nicht einmal die Flash-Supercookies mit erfasst.

    Google verfolgt leider den Ansatz „so lange übertreiben, bis zu viele Leute klagen“. Diese Haltung empfinde ich persönlich als zutiefst verachtenswert und asozial. Ich sollte mich daran orientieren, was ich wirklich brauche und nicht was technisch möglich ist.

  8. Bernhardt

    Fragt die User doch einfach, ob Ihr sie tracken dürft. Dann ist alles ok.

  9. Pingback: Mies, mieser, richtig schlecht: CDU-Seiten | Johan v. Hülsen

  10. Pingback: Sind IP-Adressen personenbezogen? | WK-Blog

  11. Andre

    Es ist einfach weltfremd, wenn man gegen den ganz grossen Irrsinn Piwik ins Feld fuehrt und dann eine sinnlose Konfiguration vorschlaegt. Das ist mir zu extremistisch.