Dienstag vor einer Woche (15.03.) las ich mit großer Freude bei heise online, dass das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) im Webanalysetools Piwik „eine rechtlich einwandfreie Alternative zu Google Analytics […]“ (Zitat heise online) sieht. Damit war ich mir sicher, mit meiner Installation von Piwik auf der sicheren Seite zu sein. Aber weit gefehlt. Oder auch nicht.  

In der oben genannten News bei heise online wird ausgeführt, dass das ULD Rahmenbedingungen für einen datenschutzkonformen Einsatz genannt hat. In diesem Zusammenhang wird auf einen kurz zuvor erschienenen Artikel in der c’t (7/2011, Seite Seite 182) verwiesen. Da ich diesen Artikel gelesen und die dortigen Hinweise zum Datenschutz bei mir umgesetzt waren, dachte ich, dass alles o.k. sei.

Im Piwik-Blog findet sich ebenfalls ein Posting, das auf die Bewertung durch das ULD eingeht. Dort findet sich ein Link, der mit Instructions for privacy-compliant configuration of Piwik bezeichnet ist. Dieser Link für auf eine PDF-Datei beim ULD, die das Dokument Hinweise und Empfehlungen zur Analyse von Internet-
Angeboten mit „Piwik“ enthält (da der Link einen datumsbezogenen Teil hat, hier ein Link auf die verweisende Seite).

Wenn man sich durch sieben Seiten allgemeine Beschreibung gequält hat, findet man ab Seite 8 den Abschnitt 3 Notwendige technische und organisatorische Maßnahmen.

Nachdem ich diesen Abschnitt durchgearbeitet hatte, habe ich für mich den folgenden Anpassungsbedarf gesehen (Bitte den Disclaimer am Ende dieses Artikels beachten!):

1. Das Plugin AnonymizeIP verkürzt die gespeicherte IP-Adressen der Besucher, indem eine konfigutrierbare Zahl von Bytes von hinten beginnend mit „0“ überschrieben wird (statt 209.85.149.103 wird 209.85.149.0 gespeichert). Per Default wird das letzte Byte (oder im Sprachgebrauch des ULD Oktett) überschrieben. Aus Sicht des ULD sollten die letzten zwei Bytes überschrieben werden (aus 209.85.149.103 wird 209.85.0.0; ist übrigends eine der aktuellen IP-Adressen von google.de).
2. Piwik arbeitet – wie soll es anders sein – mit Cookies. Jeder Besucher bekommt ein Tracking-Cookie, um ihn zu identifizieren (z.B. bei einem erneuten Besuch). Per Default hat dieses eine Lebensdauer von zwei Jahren. Nach Ansicht des ULD sind maximal sieben Tage zulässig.
3. Das ULD führt aus, dass der Einsatz eines entsprechenden Tools nur zulässig ist, wenn man dem Besucher – z.B. in der Datenschutzerklärung – ein Wiederspruchsrecht einräumt (Opt-out). Piwik unterstützt dies.

Weiterhin gibt es seitens des ULD noch Ausführungen zur Lebensdauer der Authentifizierungs-Cookies. Da diese nur den Zugriff auf die Auswertungseiten regeln und ich dort keinem Dritten einen Zugang gewähre, habe ich diesen Punkt für mich als nicht einschlägig beurteilt.

Die für 1. und 2. notwendigen Anpassungen sind nicht über das Admininterface von Piwik möglich, sondern erfordern eine manuelle Anpassung einer Konfigurationsdatei. Die Vorgehensweise ist im Dokument des ULD ausreichend gut beschrieben.

Das unter 3. beschriebene Opt-out ist auf der eigentlichen, für den Besucher erreichbaren Website zu realisieren. Sofern man nicht mit dem Einbinden des notwendigen iFrames rumexperimentieren möchte, gibt es einen einfachen Weg: Im Admininterface findet sich unter Einstellungen / Allgemeine Einstellungen ganz unten der Abschnitt zu diesem Thema. Dort findet sich auch ein Link auf eine Vorschau des iFrames. Man kann an geeigneter Stelle (z.B. in der Datenschutzerklärung) diesen Link einbinden und hat dann die gewünschte Funktionalität (nicht schön, aber funktioniert).

Abschließend bleibt festzuhalten: Wenn man Piwik just out-of-the-box einsetzt oder nur die Hinweise in der c’t 7/2011 beachtet, hat man keine Piwik-Installation, die IMHO kann man sich nicht sicher sein, ob diese den datenschutzrechtlichen Anforderungen des ULD entspricht. Man muss gegebenenfalls noch etwas schrauben, bis man einen Zustand erreicht, der hoffnungsfroherweise als datenschutzgerecht angesehen wird (weiter möchte ich mich hier nicht aus dem Fenster hängen…).

Disclaimer: Die oben beschriebenen Maßnahmen sind das Resultat meiner Auswertung der Ausführungen des ULD. Sie sind auf meinen Anwendungsfall zugeschnitten und daher nicht verallgemeinerungsfähig. Sie stellen jedoch aus meiner Sicht das Mindestmaß der notwendigen Anpassungen dar. Vor dem Einsatz von Piwik sollte sich der Anwender die aktuelle Version des Dokumentes besorgen, unter Beachtung seiner Rahmenbedingungen auswerten und die notwendigen Maßnahmen ergreifen. Ich übernehme keine Haftung, dass die beschriebenen Maßnahmen ausreichend sind und nicht zu datenschutzrechtlichen Beanstandungen führen können.