Zunächst möchte ich die Gelegenheit nutzen, um allen Lesern ein frohes und erfolgreiches neues Jahr 2010 zu wünschen!
In der letzten Zeit bin ich leider aus verschiedenen Gründen nicht mehr regelmäßig zum Schreiben gekommen.
Dieses Thema, dass für jeden Webmaster inzwischen sehr schwierig geworden ist, hat mich dazu gebracht, wieder einen Artikel zu verfassen.
In diesem Beitrag geht es zum einen um die Notwendigkeit von Webanalyse, die aktuelle datenschutzrechtliche Lage in Deutschland und die damit verbundenen Schwierigkeiten bei der Nutzung von Webanalytic-Diensten. Darüber hinaus stelle ich die Google-Analytics-Alternative “Piwik” kurz vor und beschreibe Möglichkeiten, um diese Software noch datenschutzkonformer zu machen.
Direktlinks:
- Informationen für Internetnutzer
- Piwik (das eigentliche Thema)
- weiterführende Informationen für Webmaster und Interessierte
Webanalyse vs. Datenschutz
Zunächst einmal: Was sind Webanalyse und Online-Tracking überhaupt?
Vereinfacht gesagt gibt es diverse Tools und Anbieter, die es ermöglichen, den Besucherfluss einer Webseite zu tracken, d.h. Daten darüber zu erheben, woher die Besucher kommen (z.B. Google, Yahoo, Verlinkungen), welche Unterseiten sie besuchen (z.B. Leistungen, Blog, Referenzen), wonach sie bei Google suchen um auf diese Seite zu kommen, woher sie geografisch kommen (nur ungenau, z.B. Hamburg, Lübeck, Berlin, Spanien) und wie lange sie auf der Internetseite bleiben, auf welcher Seite die meisten Besucher die Seite wieder verlassen und ob die Besucher neu sind, oder evtl. regelmäßig wieder kommen.
Viele Online-Analyse-Tools bieten zum Teil viele weitere Möglichkeiten.
Wozu das Ganze überhaupt?
Viele Menschen denken eher schlecht über Online-Tracking auf Webseiten, da sie den Sinn evtl. nur darin sehen, Nutzer auszuspionieren.
So ist es aber nicht. Keine mir bekannte Tracking-Software bietet eine Möglichkeit dazu, Nutzungsdaten direkt mit einer echten Person in Verbindung zu bringen. Darum geht es schließlich auch garnicht. Für Webentwickler, Suchmaschinenoptimierer (SEOs) und interessierte Kunden geht es vielmehr darum, Informationen über die Nutzung des Online-Angebots zu bekommen, um anhand dieser Daten langfristige Optimierungsstrategien zu planen.
Ein Beispiel: Für einen PC-Notdienst aus Lübeck ist es unter Umständen wichtig, zu wissen, dass die meisten Besucher aus Bayern kommen und somit evtl. gar nicht zu seiner Zielgruppe (Umkreis 50km) gehören. Er kann sich also eine gezielte Strategie überlegen, um mehr Besucher aus seiner Region auf die Seite zu bekommen.
Oder: Eine Seite wird von den Besuchern meistens über die Unterseite x verlassen. Woran liegt das? Entweder ist der Benutzer genervt, weil er nicht das findet was er sucht, mit der Seite nicht zurecht kommt oder ihn etwas anderes stört. -> Hier besteht Optimierungsbedarf an der Seite, der ohne Webanalyse-Tools vermutlich nicht aufgefallen wäre. Die wesentlich bessere Situation in diesem Fall wäre, dass der Benutzer seine Informationen gefunden hat und zufrieden das Online-Angebot verlässt.
Dieses sind nur zwei einfache Beispiele für den Sinn und Zweck von Web-Analyse. Durch gezielte Optimierung, die anhand der Nutzungsdaten ermöglicht wird, werden viele Internetseiten besser und somit langfristig auch die Suchergebnisse der Suchmaschinen und das gesamte Web besser nutzbar gemacht.
Zur Problematik
Webanalyse und Datenschutz in Kombination sind ein sehr schwieriges Thema. Zum einen hat man ein Interesse, möglichst viele Nutzungsdaten für statistische Zwecke zu sammeln (Webanalyse), zum anderen möchte/ muss man die Privatsphäre der Besucher schützen (Datenschutz).
Die Rechtslage ist in Deutschland natürlich relativ undurchsichtig. Während in dem einen Bundesland die IP-Adresse als persönlich gilt, gilt sie in anderen Bundesländern als anonym. Auch ist man sich noch darüber uneinig, wessen Sache der Datenschutz nun eigentlich ist. Die einen sagen, dass der normale Internetnutzer diese Verantwortung trägt. Er könne ja die Cookies in seinem Internetbrowser deaktivieren und wäre so auch nicht mehr eindeutig zu identifizieren.
Die Problematik liegt auf der Hand: Der Normalverbraucher weiß meistens nichtmal, was Cookies sind, dass es sie gibt und wo man sie deaktivieren kann. Darüber hinaus werden Cookies aus technischer Sicht auf vielen Seiten benötigt, z.B. für die Session-Verwaltung in Portalen etc.
Insgesamt ist diese Lösung unzumutbar.
Somit fällt die gesamte Verantwortung wieder auf die Webmaster. Die Verantwortung liegt nun bei ihnen, dem Benutzer zu ermöglichen, das Tracking zu deaktivieren. (dazu später mehr)
Google und der Datenschutz
Das harmonierte noch nie so richtig. Google bietet das kostenlose und mächtige Online-Tool Google Analytics an. Wie man es von Google gewohnt ist, bietet das Tool viele nützliche Funktionen, lässt sich gut bedienen und erleichtert die Webanalyse ungemein, da sich Profile für mehrere Internetpräsenzen unter einer Oberfläche nutzen lassen.
Der Haken: Google behält sich vor, die erhobenen Daten über die normale Webanalyse hinaus zu nutzen und mit anderen Daten zusammen zu führen. Außerdem werden Daten auch auf Server in den USA übertragen und der normale Internetbenutzer hat keine Möglichkeit, Widerspruch gegen die Nutzung der Daten einzulegen. Zwar bietet Google einen Text an, der über die Nutzung von Google Analytics in einem Internetprojekt informiert (häufig im Impressum/ Datenschutz). Dies allein reicht aber aus rechtlicher Sicht heute nicht mehr aus.
Dies sieht auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (kurz: ULD) so und hat Google Analytics intensiv geprüft und ist zu dem Entschluss gekommen, dass der Service “nach Auffassung sämtlicher deutschen Aufsichtsbehörden datenschutzrechtlich unzulässig” ist.
Dies bestätigt auch ein Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund.
Was heißt das?: Die laut der ULD über 80% aller deutschen Internetangebote, die diesen Service nutzen, müssen die Nutzung einstellen. Derzeit verschickt die ULD Informationsschreiben an Webseitenbetreiber in Schleswig-Holstein und informiert über die aktuelle Rechtslage. Sie bittet die Betreiber, die Nutzung von Google Analytics einzustellen und Google schriftlich zur Löschung der Nutzungsdaten aufzufordern. Die ULD behält sich jedoch auch ausdrücklich vor, gerichtlich gegen Webseitenbetreiber vorzugehen, die auf diese Informationen nicht reagieren.
Ich finde dieses Vorgehen sehr freundlich, da nicht gleich Mahnungen und Bußgeldbescheide losgeschickt werden, sondern zunächst auf die Aufklärung der Webseitenbetreiber gesetzt wird.
Nun zum eigentlichen Thema: Piwik
Auf der Suche nach einer Alternative zu Google Analytics bin ich sehr schnell auf das OpenSource-Projekt “Piwik” gestoßen. Piwik ist kostenlos und OpenSource und lässt sich sehr einfach auf fast jedem Webserver mit PHP und MySQL installieren.
Auf der Piwik-Seite gibt es eine Demo zum Interface.
Piwik lässt sich durch Plugins erweitern (ähnlich wie Wordpress). Als Entwickler kann man das Projekt durch eigene Plugins bereichern oder seine Version individuell anpassen.
Die datenschutzrechtlichen Vorteile:
Die Daten werden auf dem eigenen Server gespeichert. Sie werden nicht in die USA übertragen und auch nicht ohne Einwilligung des Verantwortlichen an Dritte weitergegeben. Somit entfällt ein großes Problem, welches die Datenschützer an Google Analytics bemängeln. Die Daten werden wirklich nur intern verarbeitet und man hat die volle Kontrolle, sämtliche Daten jederzeit zu löschen. Die Datenkrake Google muss draußen bleiben.
Weitere Vorteile
Das Interface ist relativ hübsch. Zwar nicht so umfangreich wie Google Analytics, aber das kann ja noch werden, da das Projekt fortlaufend weiterentwickelt wird. Im Gegensatz zu Google Analytics kann man hier auch Benutzern einen Account und Berechtigungen für bestimmte Seiten geben, die keinen Google Mail Account haben. Insofern ist man dort sehr viel flexibler.
Darüber hinaus trackt Piwik die Nutzung in Echtzeit. Man muss also nichtmehr 24 Stunden warten, bevor einem die Daten zur Verfügung stehen, sondern sieht die Besuche quasi “live”.
Für Internetnutzer (Allgemeine Informationen)
In der nächsten Zeit werden Sie auf vielen, der von uns betreuten Seiten Veränderungen entdecken. Auf vielen Seiten wird Ihnen die Möglichkeit gegeben, das Online-Tracking zu deaktivieren. Wundern Sie sich also nicht über einen kleinen Block am unteren Ende oder eine Checkbox hierzu im Menü.
Obgleich die Entscheidung Ihnen überlassen ist, möchten wir Sie dennoch bitten, aus den oben genannten Gründen zum Sinn von Webanalytics, das Tracking aktiviert zu lassen. Nur so ist uns die Möglichkeit gegeben, das Angebot langfristig zu verbessern.
Selbstverständlich werden sämtliche Daten vertraulich behandelt, nicht an Dritte weitergegeben und auch nur für den Zweck der Nutzungsanalyse unserer Seiten verwendet. Daten, die hierfür nicht mehr verwendet werden, werden umgehend gelöscht.
Für Webmaster und Interessierte
Piwik ist der 1. Schritt in die richtige Richtung, aber noch nicht genug, um dem Datenschutz in Deutschland gerecht zu werden.
Datenschützer fordern für Webseitenbesucher eine Möglichkeit, dem Tracking wirkungsvoll auf jeder Seite widersprechen zu können. Eine oft genannte Möglichkeit hierzu ist ein sogenannter Opt-Out-Cookie. Dieser könnte z.B. auf jeder Seite über eine Checkbox gesetzt werden.
Vor dem Tracking muss dann geprüft werden, ob die Checkbox aktiv ist (standardmäßig aktiv für “Tracking erlauben”). Wenn der Benutzer die Checkbox deaktiviert hat, darf der Tracking Code nicht ausgeführt werden und der Besuch taucht somit nicht in der Statistik auf. Es wird also beim deaktivieren der Checkbox ein Cookie gesetzt, der den Willen des Benutzer für das jeweilige Projekt speichert.
Die Vorstellung ist zwar etwas unschön, da nun auf jeder Seite (z.B. unten Links) ein Balken auftaucht, der dem Benutzer erlaubt, nicht in der Statistik aufzutauchen. Allerdings wird man sich daran wohl gewöhnen müssen.
Da Piwik die Möglichkeit eines Opt-Out-Cookies derzeit (noch) nicht bietet, muss der Webmaster hier selbst für eine Lösung sorgen.
Ich werde in den nächsten Tagen eine Erweiterung des Skripts testen und den Code anschließend hier zur Verfügung stellen.
Die Erweiterung basiert auf einem Opt-Out-Cookie-Code für Google Analytics, den ich in einem Blogeintrag auf “Web Analytics nutzen” gefunden habe.
Nach einigen Tests und Modifikationen scheint die Opt-Out-Funktionalität gut zu funktionieren und ich habe mir eine Möglichkeit überlegt, möglichst wenig Code verteilt zu haben. Einen Großteil des benötigten Codes habe ich nun zentral liegen, damit Optimierungen nur einmal gemacht werden müssen (und nicht auf jeder Projektseite neu).
Zeilen für den Header:
<link rel="stylesheet" href="http://analytics.tobsolution.de/optout.css" type="text/css" /> <script type="text/javascript" src="http://analytics.tobsolution.de/optout.js"></script>
Die absoluten Links und Pfade müssen angepasst werden. In jeder Seite, die getrackt werden soll, müssen diese Zeilen im head-Bereich stehen.
Der Ausgabe-Code:
<div id='TSA_OptOutSwitch' class="TSA_OptOutSwitch"></div>
Dies ist der Bereich, indem die Checkbox mit Label auftaucht.
<script type="text/javascript">writeTSA();</script>
Die writeTSA-Funktion gibt den Code aus. Dieser wird in der optout.js zentral vordefiniert.
Wenn man das ganze nicht zentral machen möchte, ruft man diese Zeile einfach nicht auf.
Alternativ nutzt man einfach diesen Code:
<input type="checkbox" id="TSA_OptOut" value="true" onClick="this.checked?document.cookie='TSA_OptOut=false;path=/;expires='+expdate.toGMTString()+';':document.cookie='TSA_OptOut=true;path=/;expires='+expdate.toGMTString()+';'"><label for="TSA_OptOut">Besuch mit <a href="http://www.tobsolution.de/allgemein/piwik-opensource-alternative-zu-google-analytics" title="Beitrag zu Piwik auf tobsolution.de" target="_blank">Piwik</a> tracken.</label>
Selbstverständlich kann der Code komplett angepasst und verändert werden. Dies ist lediglich mein Code, den ich auf den meisten Seiten verwende. Der Code muss dort eingefügt werden, wo der Opt-Out-Switch auftauchen soll.
Direkt vor dem Body-Tag wird noch folgendes Javascript eingebunden:
<!-- Piwik --> <script type="text/javascript"> var el=document.getElementById("TSA_OptOut"); if (el!=null) el.checked = doTSA_Tracking(); if (doTSA_Tracking()) { var pkBaseURL = (("https:" == document.location.protocol) ? "https://{$piwikUrl}" : "http://{$piwikUrl}"); document.write(unescape("%3Cscript src='" + pkBaseURL + "piwik.js' type='text/javascript'%3E%3C/script%3E")); } </script><script type="text/javascript"> if (doTSA_Tracking()) { try { var piwikTracker = Piwik.getTracker(pkBaseURL + "piwik.php", {$idSite}); piwikTracker.trackPageView(); piwikTracker.enableLinkTracking(); } catch( err ) {} } </script><noscript><p><img src="http://{$piwikUrl}piwik.php?idsite={$idSite}" style="border:0" alt=""/></p></noscript> <!-- End Piwik Tag -->
Das Skript prüft, ob doTSA_Tracking() true zurückliefert und trackt dann den Besuch. Andernfalls tut es nichts.
Die Bereiche in {} sind Platzhalter aus dem javascriptTag.tpl von Piwik.
Dieses liegt im Ordner /core/Tracker. Dieses Template kann angepasst werden, so dass Piwik automatisch den kompletten Code samt Opt-Out-Verfahren zurück liefert. (Datei im Anhang)
Die Datei optout.js sieht bei mir wie folgt aus:
function getCookie(value) { var dc = document.cookie; var prefix = value + "="; var begin = dc.indexOf("; " + prefix); if (begin == -1) { begin = dc.indexOf(prefix); if (begin != 0) return null; } else { begin += 2; } var end = document.cookie.indexOf(";", begin); if (end == -1) { end = dc.length; } return dc.substring(begin + prefix.length, end); } function doTSA_Tracking() { var TSA_OptOut = getCookie("TSA_OptOut"); if (TSA_OptOut && TSA_OptOut!=null && TSA_OptOut=='true') return false else return true; } var expdate=new Date(); expdate.setDate(expdate.getDate()+365); function writeTSA() { var div = "<input type='checkbox' id='TSA_OptOut' value='true' onClick='this.checked?document.cookie=\"TSA_OptOut=false;path=/;expires="+expdate.toGMTString()+";\":document.cookie=\"TSA_OptOut=true;path=/;expires="+expdate.toGMTString()+";\"'> <label for='TSA_OptOut'>Besuch mit <a href='http://www.tobsolution.de/allgemein/piwik-opensource-alternative-zu-google-analytics' title='Beitrag zu Piwik auf tobsolution.de' target='_blank'>Piwik</a> tracken.</label>"; document.getElementById("TSA_OptOutSwitch").innerHTML = div; }
Die 1. Funktion verwaltet den Opt-Out-Cookie, die 2. prüft den Zustand des Cookies und die 3. Funktion sorgt für die Ausgabe der Checkbox/ des Labels.
Meine optout.css:
div#TSA_OptOutSwitch, div.TSA_OptOutSwitch { font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 8pt; position: absolute; left: 0px; bottom: 0px; background-color: #000000; width: 175px; padding: 1px; color: #666666; z-index: 100; opacity: 0.9; filter: alpha(opacity=90); -ms-filter:"progid:DXImageTransform.Microsoft.Alpha(Opacity=90)"; margin-top: 10px; font-weight: normal; } div#TSA_OptOutSwitch a, div.TSA_OptOutSwitch a { color: #666666; }
Selbstverständliche gibt es viele weitere Möglichkeiten, wie der Code aussehen kann. Dieser Weg reduziert jedoch den notwendigen Code, der auf jeder Seite eingefügt werden muss.
Meine Piwik-Konfiguration: Piwik OptOut
Auch wenn die Daten nicht mehr über Google erhoben werden, empfiehlt es sich auf jeden Fall, auch im Impressum oder unter Datenschutz o.Ä. auf die Nutzung von Piwik hinzuweisen.
Achtung: Ich bin kein Jurist. Alle Informationen habe ich nach bestem Wissen und Gewissen zusammengetragen. Dieser Beitrag soll keinesfalls als einzige Quelle zu diesem Thema gesehen werden und ist auf keinen Fall eine vollständige Ausarbeitung zu diesem Thema.
[...] von Webanalyse und Datenschutz vorgestellt. Ich habe ein angepasstes Skript vorgestellt, dass die Opt-Out-Cookie-Funktionalität [...]
Pingback von Piwik & Datenschutz (Teil 2) - TOBSOLUTION — 6. Januar 2010 @ 11:00
[...] Piwik: OpenSource-Alternative zu Google Analytics – TOBSOLUTION Piwik ist der 1. Schritt in die richtige Richtung, aber noch nicht genug, um dem Datenschutz in Deutschland gerecht zu werden. [...]
Pingback von delicious Links: 04. February 2010 — 6. Februar 2010 @ 00:02