Corner-top-right-trans
Berliner Beauftragte für Datenschutz und Informationsfreiheit

Protokollierung von Nutzungsdaten


Wie wird eine datenschutzkonforme Besucherstatistik realisiert?

Viele Webseitenbetreiber protokollieren alle Zugriffe (Abrufe von Webseiten bzw. Dateien) auf Ihr Webangebot. Gewöhnlich ist der Zweck der Protokollierung die Ermittlung, welche Seiten des Angebotes besonders beliebt sind und aus welchen Regionen oder Ländern die Zugriffe stammen. Dagegen gibt es an sich nichts einzuwenden. Selbst eine Protokollierung der konkreten Wege der einzelnen Nutzer durch das Angebot (Clickstream-Analyse) kann aus Sicht des Datenschutzes akzeptabel sein. Allerdings ist es nicht akzeptabel, die Absender-IP-Adresse jedes Zugriffs zu speichern, wie das Berliner Amtsgericht am 27. März 2007Externer-link entschieden hat:

Die IP-Adresse ist ein personenbezogenes Datum. Das Aufzeichnen von personenbezogenen Daten ist nur in soweit erlaubt, als es zur Diensterbringung erforderlich ist. Damit ist es Betreibern von Internetangeboten nicht erlaubt, zu protokollieren, welche IP-Adressen zu welchem Zeitpunkt welche Webseiten abgerufen haben, da dies für die Diensterbringung nicht erforderlich ist.

Es gibt eine Reihe von Mechanismen, die eine Anonymisierung bzw. Pseudonymisierung von Webserver-Log-Daten ermöglichen. Eine einfache Möglichkeit wäre, in jedem Logeintrag nur die ersten beiden Oktetts der IP-Adresse (Beispiel: 162.191.xxx.xxx) abzuspeichern. Dies ermöglicht beispielsweise weiterhin eine Analyse der Einträge nach geographischer Herkunft, ohne den Nutzer zu identifizieren, da hinter jeder dieser verkürzten IP-Adresse theoretisch bis zu 65535 verschiedene Rechner stehen können. Nur das letzte Oktett der IP-Adresse zu löschen ist nicht ausreichend, da längst nicht alle IP-Adressbereiche vollständig genutzt werden.

Manche Anbieter behaupten, Log-Daten mit vollständiger IP-Adresse würden benötigt, um Angriffe verhindern oder zumindest nachvollziehen zu können. Allerdings ist dieses Argument in Zeiten nicht nachzuvollziehen, wo professionelle Angriffe i.d.R. unter Nutzung der Rechner Unschuldiger (sogenannter Bot-Netze) durchgeführt werden.

Sollte es zur Nachverfolgung von Bewegungsspuren (z.B. zur Analyse von Angriffen) notwendig sein, Nutzer wieder zu erkennen, bieten sich Hashverfahren zur Pseudonymisierung der IP-Adressen an. Dafür sind sogenannte “salted Hashes” zu verwenden, d.h. die Berechnung des Hashwertes erfolgt aus der IP-Adresse und einem festem Wert (dem “salt”), wobei der “salt” regelmäßig (ein- oder mehrmals pro Tag) gewechselt und der jeweils gerade ausgewechselte Wert gelöscht werden muss. Da gleiche IP-Adressen den gleichen Hashwert ergeben solange der gleiche Salt verwendet wird, lässt sich auf diese Weise der Clickstream eines Nutzers rekonstruieren. Vorstellbar sind auch Kombination, so könnten z.B. die nur letzten beiden Oktets gehashed werden. Im Ergebnis wäre sowohl die Erstellung von Clickstreams als auch eine geographische Einordnung datenschutzkonform möglich.

Bei der Reichweitenmessung bzw. der Erstellung von Besucherstatistiken sind die die geltenden Datenschutzbestimmungen des Telemediengesetzes (TMG) zu beachten. Danach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden (§ 15 Abs. 3 TMG). Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes.

Im Einzelnen sind folgende Vorgaben aus dem TMG zu beachten:

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP- Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch die Anbieter einzuhalten.

Diese Vorgaben sind unter den Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich abgestimmtPdf.

Hinweise für Webseitenbetreiber in Berlin zum beanstandungsfreien Einsatz von Google Analytics finden Sie hierPdf.

Auf Protokollierung der Zugriffe zum Webangebot sollte weitestgehend verzichtet werden. Wenn eine Protokollierung notwendig ist, so muss diese anonymisiert oder zumindest pseudonymisiert erfolgen. Achten Sie darauf, dass auch Ihr Webspace-Anbieter keine Protokollierung durchführt, die nicht den gesetzlichen Bestimmungen entspricht.

20.01.2016