Von Website-Nutzer*innen zu „echten“ Besucher*innen: Rechtssichere Webanalyse für Kulturinstitutionen

Ein Online-Auftritt sollte heute für jede Kulturinstitution selbstverständlich sein. Häufig kommen auch Präsenzen auf den sozialen Netzwerken wie Facebook oder Instagram hinzu oder es werden Google Maps für die Anfahrtsbeschreibung bereitgestellt. Auch Tracking-Tools, um mehr über die Nutzer*innen der eigenen Webseite zu erfahren werden von vielen Kultureinrichtungen genutzt.

Um aus Online-Gästen echte Besucher*innen vor Ort zu machen, sind vor allem Daten notwendig: Daten zur Demographie, den Interessen, den Suchbegriffen, die die Nutzer*innen auf die eigene Webseite gebracht haben, woher und über welche Links sie auf die Seiten kommen („Referrals“) und zu den Tages- und Wochenzeiten der Besuche. Es ist relevant, welche Unterseiten der eigenen Website besucht werden, wie lange die Besucher*innen auf dem Online-Angebot verweilen, wo sie es wieder verlassen und ob es bei einem Webseiten-Besuch bleibt, oder sie regelmäßig wiederkommen.

Nur eine Vielzahl von Daten erlaubt es Kultureinrichtungen also, mehr über die Besucher*innen ihrer Online-Angebote und deren Interessen zu erfahren. Was versprechen sich die Nutzer*innen von der Webseite? Sind es Schüler*innen, die für ein Referat recherchieren oder Familien, die einen Besuch planen? Möchten sie sich nur über die Öffnungszeiten informieren oder schon online Tickets kaufen? Welche Quellen – Onlinewerbung, Suchmaschinen, Social Media, Medienberichterstattung – führen zu den meisten Website-Besuchen? Sind es Tourist*innen oder Einheimische? Zusammen mit den strategischen Zielen der jeweiligen Institution – Karten verkaufen? Wissen vermitteln? Kultur bewahren? – lassen sich so Hinweise zu Marketingmaßnahmen, aber auch zu inhaltlichen Konzepten für die Kulturvermittlung gewinnen.

Doch um dieses Wissen zu erlangen, müssen die Daten zunächst einmal erhoben werden. Big Data-Analysen oder das Füttern von Künstlicher Intelligenz (KI) oder Chatbots mit den gewonnenen Daten wären dann ein logischer nächster Schritt, auch für Kulturinstitutionen.

Eine Vielzahl von Online-Tools und Internet-Dienstleistungen verwendet Server und Angebote in den USA. Facebook mit Instagram und WhatsApp oder Google mit Google Analytics, Google Maps und Youtube sind nur die bekanntesten Beispiele, aber auch Microsoft mit Office 365 oder auch das Schriftenportal fonts.com sind betroffen. Für all diese Dienste bedeutet ein aktuelles Urteil des Europäischen Gerichtshofes nun weitgehende Einschränkungen, so auch für das weltweit meistgenutzte Tracking Tool Google Analytics. Und nach dem Brexit gilt im Prinzip dasselbe auch für Großbritannien, wo beispielsweise Open Street Map seinen Sitz hat.

Bisher regelte das sogenannte Privacy Shield zwischen den USA und Deutschland, dass der Austausch von personenbezogenen Daten zwischen den Ländern problemlos möglich ist, da in den USA ein adäquates Datenschutzniveau bestehe. Dieses Privacy Shield ist nach einer Klage gegen die Geschäftspraktiken von Facebook durch das EUGH-Urteil vom Juli 2020, das sogenannte „Schrems II-Urteil“, unwirksam geworden und führt zu der etwas verfahrenen Situation, dass eine Vielzahl von Internetangeboten quasi unzulässig geworden ist. Zumindest in der reinen Lehre – in der Praxis ist die Rechtslage unübersichtlich und Vieles noch nicht abschließend geklärt. Einen guten Überblick über die Konsequenzen des Urteils liefert unter anderem der Rechtsanwalt und Datenschutzexperte Dr. Thomas Schwenke in seinem Blog.

Zum Hintergrund: Laut DSGVO dürfen personenbezogene Daten nur dann außerhalb der EU übermittelt werden (in sogenannte Drittländer), wenn in dem Zielland ein adäquates Datenschutzniveau besteht (Art. 44 DSGVO). Dies wurde im Rahmen des Privacy Shield für die USA angenommen. Ohne den Privacy Shield bedarf es nunmehr anderer Mittel, um ein adäquates Datenschutzniveau annehmen zu dürfen. Ein solches Mittel sind so genannte „Standardvertragsklauseln” (auch als „Standardschutzklauseln”, SDK, oder auf Englisch „Standard Contractual Clauses”, SCC, bezeichnet). Diese müssten aber individuell geprüft werden, was in der Praxis für kleinere Firmen oder Kulturinstitutionen kaum möglich ist. Andererseits drohen aber derzeit nach Meinung von Expert*innen auch kaum Bußgelder – was aber selbstverständlich nur ein schwacher Trost für die Geschäftsführung von Kulturinstitutionen ist. Google selbst behauptet zwar, dass seine SCC nach einigen Änderungen im Sommer 2020 den Anforderungen der DSGVO genügen würden. Das wiederum sehen einige Datenschutzbehörden der Länder anders. Und selbst vor der Aufhebung des Privacy Shields vertraten deutsche Datenschutzbehörden die Auffassung, dass die Nutzung von Google Analytics nur nach vorheriger ausdrücklicher Einwilligung der Nutzer*innen möglich war.

Neben der Ansicht vieler Datenschützer, die wie beschrieben den Einsatz von Google Analytics nach dem Wegfall des Privacy Shields zwischen den USA und Deutschland den für ausgeschlossen halten, gibt es jedoch auch andere Auffassungen. Branchendienste wie e-Recht24.de oder datenschutz.org beispielsweise halten den Einsatz für nach wie vor möglich, wenn
•    eine vorherige Einwilligung der Nutzer per Consent-Tool erfolgt,
•    ein individueller Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen wurde,
•    die IP Anonymisierung aktiviert ist und weitere Einstellungen vorgenommen werden,
•    die Datenschutzerklärung aktualisiert ist und
•    Opt-Out-Möglichkeiten auf der Webseite und per Plugin bei der mobilen Nutzung geboten werden.
Google selbst stellt die Möglichkeit einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO elektronisch abzuschließen direkt im Google Analytics-Konto zur Verfügung. Ob man diesen technischen und administrativen Aufwand betreiben möchte, muss schließlich jede Institution für sich entscheiden.

Eine Alternative zu Google Analytics, die auch nach „Schrems II“ das Erfassen von Webseitenbesuchen möglich macht, ist der Dienst Matomo (ehemals Piwik), auch wenn diese nicht unbedingt gleichwertig ist – Google bietet nach wie vor mehr Möglichkeiten (was andererseits ja auch Teil des Problems ist). Viele der Möglichkeiten, die Google bietet, sind jedoch vor allem für Webshops interessant und für Kultureinrichtungen nicht unbedingt relevant.
Vor allem in der selbst gehosteten Version auf einem eigenen Server ist Matomo sehr „datensparsam“ und nicht auf das Privacy Shield angewiesen, da die Nutzerdaten nicht mit Dritten geteilt oder in die USA übertragen werden. In Deutschland ist Matomo nach Google Analytics das meistverwendete Webanalytik-Werkzeug. Zu den Testimonials auf der Matomo-Webseite gehören unter anderem die Vereinten Nationen, Amnesty International oder die Europäische Kommission. Auch die Seiten der Bundesregierung unter bund.de und zahlreiche deutsche Hochschulen wie beispielsweise die Fachhochschule Kiel nutzen Matomo.
Matomo lässt sich dabei entweder als kostenpflichtige Cloud-Lösung oder wie erwähnt auf einem eigenen Server nutzen. Zudem lassen sich zusätzlich die IP-Adressen der erfassten Nutzer*innen anonymisieren (bspw. 192.168.xxx.xxx). Das „Privacy Manager“-Plugin hierfür wird bei Matomo bereits mitgeliefert und muss lediglich aktiviert werden.

Technisch nutzen die meisten Webanalyse-Tools, so auch Matomo, Cookies, um die Nutzer*innen wiederzuerkennen. Cookies sind kleine Text-Dateien, die im Browser der Nutzer*innen gespeichert werden, und diesen so erkennbar machen. Einige Cookies sind technisch notwendig – etwa für die Festlegung der Sprachversion einer internationalen Webseite oder für den Login in einen Mitgliederbereich – andere dienen ausschließlich Marketingzwecken von Dritten.

Nach Ansicht des Europäischen Gerichtshofes, dürfen nur Cookies, die technisch notwendig sind, ohne vorherige Einwilligung der Nutzer*innen gesetzt werden. Bei allen anderen Cookies müssen die Nutzer in einem Cookie-Banner oder einem sogenannten Cookie Consent Tool jedem eingesetzten Cookie einzeln zustimmen.

In der Standard-Variante setzt auch Matomo Tracking-Cookies ein, die im Browser des Nutzers gespeichert werden. Ob hierfür ein Cookie-Banner notwendig ist, ist zumindest nicht einhellig geklärt. Nach überwiegender Rechtsauffassung auf Grundlage des EUGH-Urteils vom Oktober 2019, muss in jedem Fall eine vorherige ausdrückliche Zustimmung der Nutzer*innen, beispielsweise über ein Cookie-Banner, eingeholt werden.

Vor allem für die Nutzung auf einem eigenen Server und bei einer Maskierung der letzten beiden Oktette der IP-Adressen der Nutzer*innen lässt sich Matomo nach anderen Rechtsauffassungen jedoch auch ohne Hinweis oder vorherige Zustimmung der Webseiten-Besucher nutzen. Lediglich ein Hinweis und eine Widerspruchsmöglichkeit gegen die Nutzung von Cookies, beispielsweise mittels Opt-Out-Möglichkeit in der Datenschutzerklärung der Seite, sei notwendig. Matomo selbst und einige Landesdatenschutzbehörden vertreten entsprechend die Auffassung, dass beim Einsatz von Matomo-Cookies keine vorherige Zustimmung der Nutzer*innen notwendig ist, solange die IP-Adressen anonymisiert sind, Matomo lokal auf einem eigenen Server gehostet wird, die Daten nicht an Dritte weiter gegeben werden und nicht für das Tracking über mehrere Seiten genutzt werden.

Auf den Seiten des Landesdatenschutzbeauftragten von Baden-Württemberg heißt es beispielsweise auf die Frage, ob Werkzeuge zur Reichweitenanalyse ohne Einwilligung der Nutzer*innen verwendet werden dürfen:

Matomo wird dort ausdrücklich als Beispiel genannt. Auch dies müsse jedoch transparent dargestellt und datensparsam konfiguriert werden. Abgehoben wird hier auf das berechtige Interesse des Webseitenbetreibers und die Notwendigkeit der Erhebung von Nutzerzahlen und -aktionen für die Funktion der Webseite.

Der Bund handhabt es unterschiedlich: Während auf bund.de lediglich in den Datenschutzerklärungen auf die anonymisierte Nutzung von Matomo hingewiesen und noch nicht einmal eine Opt-out-Möglichkeit geboten wird, gibt es im Gegensatz dazu auf der Webseite bundesregierung.de (die offenbar eine beim Bundespresseamt gehostete Version von Matomo – ebenfalls mit anonymisierten IP-Adressen – nutzt) einen Cookie-Banner, und die Datenschutzerklärung unterscheidet zwischen notwendigen Cookies –beispielsweise für den Warenkorb bei der Bestellung von Publikationen – und Tracking-Cookies von Matomo, die einer ausdrücklichen Zustimmung der Nutzer*innen (Opt-in) bedürfen.

Vermeintlich mehr Klarheit schaffte jüngst ein Urteil des BGH vom 28.05.2020, in dem die Notwendigkeit für eine vorherige Einwilligung (Opt in) für Cookies festgestellt wird, die Werbe- und Marktforschungszwecken dienen. Für technisch notwendige Cookies hingegen sieht es anders aus, einen abschließenden Katalog, welche Cookies unbedingt erforderlich sind, gibt es jedoch nicht. Zweifelsfrei angenommen werden kann dies wohl beispielsweise für die Sprachauswahl einer mehrsprachigen Seite oder den Login-Status in einer Online-Community. Ob dies auch für Webanalyse-Cookies –ohne Werbe- oder Marketingansicht– wie bei Matomo gilt, ist umstritten, so: Experte und Anwalt Schwenke und erachtet das Risiko, in diesem Fall auf ein Cookie-Consent-Tool zu verzichten, für gering. Allein, eine gewisse Rechtsunsicherheit bleibt trotz dieser Einschätzung und der gelebten Praxis auf bund.de bestehen, was wiederum für Unsicherheit bei Unternehmensverantwortlichen sorgt.

Matomo lässt sich auch ganz ohne Cookies nutzen, indem alle Tracking-Cookies deaktiviert werden. Matomo verwendet dann verschiedene andere Technologien, um Informationen über die Besucher*innen eine Seite zu erlangen. Beispielsweise werden Betriebssysteme, Gerätetyp oder Einstellungen der besuchenden Computer erfasst („Device Fingerprinting“). Damit ist die Analyse von wiederkehrenden Nutzer*innen (Unique Visitors) nur noch ungenau möglich, das Tracking erfolgt jedoch wesentlich datensparsamer, da nutzerseitig keine Daten gespeichert werden.

Prinzipiell besteht zwar die Gefahr, dass auch die Datenerhebung per „Gerätefingerabdruck“ einer vorherigen Zustimmung bedarf, bisher erstrecken sich die Vorgaben des EUGH jedoch lediglich auf den Einsatz von Cookies, sodass – solange keine anderen Cookies genutzt werden – eine vorherige Einwilligung der Nutzer*innen mittels Banner nicht mehr notwendig ist. Eine Opt out-Möglichkeit muss jedoch weiterhin bestehen, da Nutzer*innen das Recht haben müssen, auch einer Datenverarbeitung mittels technischem Geräteabdruck jederzeit zu widersprechen.

Matomo bietet, vor allem nach Wegfall des Privacy Shields, eine rechtssichere Alternative zu Google Analytics. Bevorzugt sollte die selbst gehostete Variante des Analysetools auf einem eigenen Server genutzt und die IP-Adressen anonymisiert werden. Ein Hinweis auf die Analyse und die Möglichkeit, dieser zu widersprechen (Opt out) in der Datenschutzerklärung sind in jedem Fall notwendig.

In der Frage, ob auch ein Cookie-Banner notwendig ist, bleibt die Rechtslage unbefriedigend unübersichtlich und verschiedene Expert*innen vertreten verschiedene Rechtsauffassungen. Rechtsanwalt Schwenke (der selbst übrigens Google Analytics auf seiner Webseite benutzt, wie man im Consent-Tool erkennen kann) kommt zu dem Ergebnis, dass Cookies für die bloße Webanalyse als notwendig zu betrachten seien, und es somit keine Notwendigkeit für ein Cookie-Banner gäbe. Zudem erachtet er die rechtlichen Risiken, reine Webanalyse-Cookies ohne Opt-In einzusetzen als gering, wenn sogar einzelne Datenschutzbehörden dies so sehen. Unumstritten ist diese Auffassung nicht.

Wer auf Nummer sicher gehen möchte, lässt die Besucher*innen in einem Consent-Tool vorab der Nutzung von Tracking Cookies zustimmen, dann ist eine Verwendung von Cookies in jedem Fall problemlos und DSGVO-konform möglich. Und aus kulturinteressierten Online-Nutzer*innen werden schneller „echte“ Besucher*innen in der analogen Welt.

Hinweis: Bei diesem Text (Stand Januar 2021) handelt es sich nicht um eine rechtliche Beratung, sondern um eine journalistische Zusammenfassung bestehender Informationen. Die Rechtslage ist komplex und ändert sich derzeit beständig, sodass eine stets aktuelle Befassung mit den geltenden Bestimmungen geboten ist. Daher kann trotz aller Sorgfalt auch keine Gewähr für die Richtigkeit und Vollständigkeit dieser Informationen gegeben werden.
 

Dieser Text entstand im Rahmen des Projektes „KI in der Kulturellen Infrastruktur“ an der FH Kiel, gefördert vom Ministerium für Bildung, Wissenschaft und Kultur des Landes Schleswig-Holstein.