Wie erstellt man die perfekte Datenschutzerklärung für eine Website?

Martin Steiger
Autor:

Martin Steiger

Kategorie:

in

Internet & Recht

Veröffentlicht am 7. Aug. 2019

Aktualisiert am 22. Jan. 2024

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal AG

Fast jede Website verfügt über eine Datenschutzerklärung. Die meisten Cookie-Banner verlinken auf eine Datenschutzerklärung. Im Übrigen ist die Datenschutzerklärung in der Fusszeile einer Website verlinkt.

Wieso benötigt eine Website eine Datenschutzerklärung?

Im Datenschutzrecht gilt immer der Grundsatz der Transparenz: Die Beschaffung von Personendaten und der Zweck oder die Zwecke, für den oder die diese Personendaten bearbeitet werden, müssen für die betroffenen Personen erkennbar sein, wie es das heutige schweizerische Datenschutzgesetz (DSG) formuliert (Art. 4 Abs. 4 DSG).

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Betroffene Personen sind jene Personen, deren Personendaten beschafft und bearbeitet werden (Art. 3 lit. b DSG). Bearbeiten umfasst jeden Umgang mit Personendaten (Art. 3 lit. e DSG).

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) und das revidierte schweizerische Datenschutzgesetz (DSG), das frühestens 2020 in Kraft treten wird, enthalten ausdrückliche Informationspflichten. Die DSGVO ist bereits in Kraft und gilt nicht nur in der EU, sondern im gesamten Europäischen Wirtschaftsraum (EWR) einschliesslich Fürstentum Liechtenstein.

Der Betrieb einer Website ohne die Bearbeitung von Personendaten ist kaum denkbar. So können bereits IP-Adressen, die in Server-Logdateien erfasst werden, Personendaten darstellen. Das gängige Mittel, um die Besucherinnen und Besucher einer Website über die Beschaffung und Bearbeitung ihrer Personendaten zu informieren, ist die Veröffentlichung einer Datenschutzerklärung.

Eine Datenschutzerklärung ist, wie der Name sagt, eine Erklärung. Es geht um Information. Eine Datenschutzerklärung ist deshalb kein Vertrag, in den eingewilligt werden muss. Es ist ein typischer Fehler, dass man sich die Einwilligung in eine Datenschutzerklärung bestätigen lässt, allenfalls sogar ausdrücklich mit einem Kästchen.

Welche Informationen muss eine Datenschutzerklärung enthalten?

Die betroffenen Personen müssen einerseits informiert werden, welche Personendaten beschafft werden, wie, wofür und wo die Personendaten bearbeitet werden und wohin die Personendaten übermittelt werden. Dazu gehören beispielsweise Informationen über die Verwendung von Cookies, Server-Logdateien und Zählpixel, aber auch über den Einsatz von Kontaktformularen, Newslettern sowie Diensten von Google und anderen Dritten, wie sie auf Websites gängig sind.

Die betroffenen Personen müssen andererseits informiert werden, welche Rechte ihnen das Datenschutzrecht gibt. Dazu zählen beispielsweise das Recht auf Auskunft und das Recht auf Widerspruch. Die DSGVO verlangt ausserdem, dass die Rechtsgrundlagen der Datenbearbeitung genannt werden.

Die DSGVO nennt folgenden Mindestinhalt für eine Datenschutzerklärung:

  • Name und Kontaktdaten des Verantwortlichen, das heisst des Website-Betreibers
  • Kontaktdaten eines allfälligen betrieblichen oder externen Datenschutzbeauftragten
  • Kontaktdaten eines allfälligen EU-Datenschutz-Vertreters
  • Zwecke, für die Personendaten bearbeitet werden
  • Dauer, für welche die Personendaten gespeichert werden, oder zumindest die Kriterien für die Festlegung der Dauer
  • Rechtsgrundlagen für die Datenbearbeitung, zum Beispiel die überwiegenden berechtigten Interessen des Website-Betreibers gemäss Art. 6 Abs. 1 lit. f DSGVO
  • Empfänger der beschafften Personendaten
  • beabsichtigte Übermittlung von Personendaten in ein Drittland und inwiefern dort ein angemessener Datenschutz gewährleistet ist
  • Information über eine allfällige automatisierte Entscheidungsfindung einschliesslich Profiling
  • Aufklärung, inwiefern die Bereitstellung von Personendaten zwingend erforderlich ist, zum Beispiel aus rechtlichen Gründen oder für die Erfüllung von bestimmten Verträgen
  • Recht auf Auskunft, Recht auf Berichtigung oder Löschung sowie Recht auf Datenübertragbarkeit
  • Recht auf Einschränkung der Datenbearbeitung sowie Recht auf Widerspruch gegen die Datenbearbeitung
  • Recht auf Widerruf nach erfolgter Einwilligung
  • Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde

Diese umfassenden Informationen sind gemäss DSGVO «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.» Das revidierte DSG geht weniger weit, doch ist es empfehlenswert, sich auch für Datenschutzerklärungen an der DSGVO als «Goldstandard» zu orientieren.

Es gibt unterschiedliche Meinungen, wie genau die Vorgaben der DSGVO umzusetzen sind. Je ausführlicher beispielsweise eine Datenschutzerklärung ausfällt, desto eher wird sie nicht gelesen. Das Erstellen einer Datenschutzerklärung ist nicht nur eine Rechtsfrage, sondern gleichzeitig immer auch eine Stilfrage.

Dennoch sollte eine Datenschutzerklärung alle Punkte gemäss dem vorgeschriebenen Mindestinhalt abdecken. Ansonsten riskieren Website-Betreiber unerwünschten Kontakt mit betroffenen Personen, Datenschutz-Aufsichtsbehörden und Konsumentenschutz-Organisationen. Abmahnungen im Datenschutzrecht sind möglich, bislang aber wesentlich seltener als im Urheberrecht.

In jedem Fall ist wichtig, dass eine Datenschutzerklärung immer aktuell, richtig und vollständig ist. Um den Inhalt nicht ausufern zu lassen, kann auf weitergehende Informationen verlinkt werden. Es ist nicht zwingend, nur eine allgemeine Datenschutzerklärung zu veröffentlichen. Es wäre beispielsweise denkbar, für den Newsletter-Versand eine zusätzliche Datenschutzerklärung zu veröffentlichen.

Da eine Datenschutzerklärung immer aktuell sein muss, ist es unsinnig, sie mit einem Datum zu versehen. Ein Datum führt dazu, dass eine Datenschutzerklärung sofort als veraltet erkennbar ist. So gibt es viele Datenschutzerklärung mit dem Datum vom 25. Mai 2018, denn an diesem Datum wurde die DSGVO anwendbar. Die Wahrscheinlichkeit, dass eine solche Datenschutzerklärung heute noch aktuell und richtig ist, halte ich für gering.

Was sind typische Inhalte einer Website-Datenschutzerklärung?

Jede Website ist anders und damit auch die Datenschutzerklärung. Es gibt aber einige typische Inhalte, wie sie in fast jeder Website-Datenschutzerklärung aufgeführt werden müssen.

In der Website-Datenschutzerklärung muss der Verantwortliche für die Datenbearbeitung – üblicherweise der Website-Betreiber – genannt werden. Normalerweise handelt es sich um die gleichen Angaben wie im Impressum, das heisst mindestens die Firma oder der Name, die Adresse und eine E-Mail-Adresse müssen genannt werden.

Ausserdem müssen ein allfälliger EU-Datenschutz-Vertreter gemäss Art. 27 DSGVO und ein allfälliger Datenschutzbeauftragter genannt werden. Ein Datenschutzbeauftragter ist für Unternehmen mit weniger als 10 Mitarbeitern meist nicht erforderlich. Hingegen benötigen viele Schweizer Websites einen EU-Datenschutz-Vertreter, insbesondere weil sich ihr Angebot auch an Personen in Deutschland, im Fürstentum Liechtenstein oder anderswo im Europäischen Wirtschaftsraum (EWR) richtet. Angebote, die kostenlos sind, fallen auch unter dieses sogenannte Marktortprinzip.

Ob für eine einzelne Website ein EU-Datenschutz-Vertreter benannt werden muss, kann mit dem Online-Fragebogen von Datenschutzpartner ermittelt werden. (Datenschutzpartner ist ein Angebot, an dem ich mit meiner Anwaltskanzlei beteiligt bin.)

Für fast alle Websites werden Personendaten mit Cookies, Server-Logdateien und Zählpixeln bearbeitet. Darüber muss informiert werden.

Informiert werden muss über vorhandene Kontaktmöglichkeiten, zum Beispiel über Kontaktformulare, sowie über die Bearbeitung von Personendaten für Newsletter. Bei einem Newsletter ist zu beachten, dass für den E-Mail-Versand sowie die Erfolgs- und Reichweitenmessung grundsätzlich die Einwilligung der Empfängerinnen und Empfänger eingeholt werden muss. Bei Kontaktformularen hingegen ist meist keine Einwilligung erforderlich.

Weiter muss über Dienste von Dritten, die in die Website eingebunden werden, informiert werden. Dazu zählen Dienste für Analytics und Tracking wie beispielsweise Google Analytics oder Hotjar, Inhalte und Plugins von Social Media-Plattformen wie beispielsweise Facebook oder Instagram, Newsletter-Dienste wie beispielsweise CleverReach oder MailChimp sowie Dienste für Kartenmaterial, Schriftarten oder Videos wie beispielsweise Google Maps, Adobe Fonts oder Vimeo und YouTube. Auch Website-Komponenten, die bei Dritten gehostet werden, müssen erwähnt werden, zum Beispiel Spamschutz mit Google reCAPTCHA oder die Verwendung von jQuery.com.

Bei Diensten von Dritten im Ausland wie auch bei der Übermittlung von Personendaten in ein Drittland muss informiert werden, inwiefern dort ein angemessener Datenschutz gewährleistet ist. Aus schweizerischer Sicht stammen fast alle Dienste, die in Websites eingebunden werden, von Anbietern im Ausland.

Einfach ist dieser Punkt mit Blick auf den EWR und die Schweiz, die einen gemeinsamen Datenraum bilden, weil das Datenschutzrecht gegenseitig als angemessen anerkannt wird. In den USA hingegen ist – wenn überhaupt – ein angemessener Datenschutz insbesondere gewährleistet, wenn sich der jeweilige Anbieter freiwillig dem Privacy Shield unterworfen hat oder vertragliche Absicherungen bestehen.

Bei einigen Diensten von Dritten ist der Website-Betreiber gemeinsam mit dem Dritten verantwortlich, so zum Beispiel bei Social Plugins von Facebook. Eine solche gemeinsame Verantwortlichkeit gilt mutmasslich für alle Dienste, bei denen Personendaten nicht ausschliesslich im Auftrag des Website-Betreibers bearbeitet werden, das heisst insbesondere für fast alle kostenlosen Dienste von Dritten.

Wo in der Welt ein angemessener Datenschutz besteht, findet man beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und bei der Europäischen Kommission (EU-Kommission). Die Privacy Shield List enthält alle amerikanischen Anbieter, bei denen grundsätzlich ein angemessener Datenschutz gewährleistet ist. Aus schweizerischer Sicht muss beachtet werden, dass es amerikanische Anbieter gibt, die sich dem Privacy Shield nur in Bezug auf die EU unterworfen haben, so dass aus schweizerischer Sicht kein angemessener Datenschutz gewährleistet ist.

Wie findet man heraus, welche Dienste von Dritten verwendet werden?

Ein häufiges Problem ist, dass Website-Betreiber gar nicht wissen, welche Personendaten auf ihrer Website beschafft werden, wieso und wofür die Personendaten bearbeitet werden und wohin die Personendaten übermittelt werden.

Wer seine Website selbst entwickelt und pflegt, sollte eigentlich über die entsprechenden Informationen verfügen. Allerdings binden viele Website-Betreiber unzählige Dienste von Dritten gedankenlos ein. Teilweise enthalten auch Plugins, wie sie insbesondere im WordPress-Umfeld beliebt sind, Dienste von Dritten, ohne sie zu deklarieren.

Auch Web-Agenturen liefern ihren Kundinnen und Kunden häufig nicht die benötigten Informationen, zum Beispiel zur genauen Konfiguration von Google Analytics. Man darf von Web-Agenturen keine (kompetente) Rechtsberatung erwarten, aber sie sollten die Bearbeitung von Personendaten auf einer Website zu Händen ihrer Kundinnen und Kunden immer dokumentieren. Sie sollten ausserdem die Veröffentlichung und Verlinkung einer Datenschutzerklärung sowie ein allfälliges Cookie-Banner vorsehen.

Letztlich ist aber jeder Website-Betreiber selbst dafür verantwortlich, den Datenschutz auf der jeweiligen Website zu gewährleisten. Dazu gehört im Zweifelsfall eine aktuelle, richtige und vollständige Datenschutzerklärung.

Einiges an Informationen über die verwendeten Dritt-Dienste kann man durch Surfen auf der Website herausfinden. So sind beispielsweise Banner von Google AdSense, Karten von Google Maps oder Videos von YouTube problemlos sichtbar. Fortgeschrittene Website-Betreiber nutzen die Browser-Konsole oder Content-Blocker wie beispielsweise uBlock Torrent, um weitere Informationen zu erhalten. Content-Blocker zeigen an, welche Dritt-Dienste eingebunden sind.

Ausserdem gibt es nützliche Online-Dienste, welche versuchen, die Bearbeitung von Personendaten, insbesondere mit Cookies und Diensten von Dritten, zu ermitteln. Besonders empfehlenswert sind Webbkoll und PrivacyScore.

Viele Anbieter von Dritt-Diensten, unter anderem Facebook und Google, schreiben die Informationen der betroffenen Personen ausdrücklich vor. Beispiel: Ziffer 7 der Nutzungsbedingungen von Google Analytics.

Wie erstellt man am einfachsten eine Website-Datenschutzerklärung?

Das Wissen, welche Personendaten auf einer Website beschafft sowie wie, wofür und wo solche Personendaten bearbeitet werden, müssen Website-Betreiber in Form einer Datenschutzerklärung sammeln und veröffentlichen. Dieses Wissen ist deshalb das A und O für jede gelungene Datenschutzerklärung.

Wer selbst nicht weiss, wie man eine Datenschutzerklärung erstellt und keine Fachperson beauftragen möchte, nutzt mit Vorteil eine aktuelle Vorlage. Solche Vorlagen gibt es in zwei empfehlenswerten Varianten:

Einerseits gibt es online veröffentlichte Vorlagen, insbesondere von Datenschutz-Aufsichtsbehörden oder von Fachpersonen und Unternehmen, die im Datenschutz tätig sind. Aktuelle Muster gibt es zum Beispiel bei der Datenschutzstelle Fürstentum Liechtenstein und beim Landesbeauftragten für Datenschutz und Informationssicherheit.

Die veröffentlichten eigenen Datenschutzerklärungen von Behörden und Fachpersonen haben im besten Fall Vorbildcharakter. Allerdings sollten Datenschutzerklärungen von anderen Websites immer nur als Inspiration dienen, wenn der jeweilige Website-Betreiber beurteilen kann, ob der Inhalt rechtssicher ist und für die eigene Website passt. Viele fehlerhafte oder zumindest unsinnige Formulierungen verbreiten sich rasant im Internet, weil Datenschutzerklärungen ohne das erforderliche Wissen kopiert und verwendet werden.

Andererseits gibt es sogenannte Datenschutz-Generatoren, mit denen man online Datenschutzerklärungen erstellen kann. Bei den meisten Datenschutz-Generatoren muss man auswählen oder beantworten, welche Personendaten für die jeweilige Website beschafft sowie wie, wofür und wo diese bearbeitet werden. Die meisten Datenschutz-Generatoren sind ganz oder teilweise kostenlos nutzbar, weil sie als Werbung für andere – kostenpflichtige – Angebote dienen. Einige Datenschutz-Generatoren sind kostenpflichtig, werden dafür aber aktuell gehalten sowie ergänzt und verbessert.

Viele Datenschutz-Generatoren, die aufgrund der Geltung der DSGVO per 25. Mai 2018 auf den Markt geworfen wurden, werden sichtbar nicht mehr gepflegt. Ein Alarmzeichen ist beispielsweise, wenn das eingestellte Google+ ausgewählt werden kann oder nicht mehr existierende Anbieter von Diensten wie die Google Inc. oder gar die YouTube LLC genannt werden.

Bei deutschen Datenschutz-Generatoren besteht aus schweizerischer Sicht das Problem, dass die abweichende Rechtslage in der Schweiz nicht ausreichend berücksichtigt wird. Deutsche Datenschutz-Generatoren gehen normalerweise davon aus, dass die DSGVO und allenfalls das deutsche Bundesdatenschutzgesetz (BDSG) vollumfänglich anwendbar sind. Wer eine entsprechende Datenschutzerklärung veröffentlicht, riskiert, die eigene Website freiwillig und vollumfänglich der DSGVO zu unterstellen, ohne dazu verpflichtet zu sein. In der Folge verfügen betroffene Personen über wesentlich mehr Rechte im Vergleich zum schweizerischen Datenschutzrecht. Zum Teil versprechen deutsche Datenschutz-Generatoren, auch für die Schweiz zu funktionieren, doch zeigen sich im Ergebnis meistens Fehler.

Datenschutz-Generatoren, die nicht aktuell gehalten werden oder nicht zur Schweiz passen, waren für mich der Anlass, mich mit meiner Anwaltskanzlei am Datenschutz-Generator von Datenschutzpartner zu beteiligen. Dieser Datenschutz-Generator richtet sich ausdrücklich an Website-Betreiber in der Schweiz (und nur in der Schweiz) und berücksichtigt das tatsächlich anwendbare Datenschutzrecht für die jeweilige Website. Erstellte Datenschutzerklärungen können geändert, ergänzt oder neu erstellt werden.

Die Veröffentlichung einer erstellten Datenschutzerklärung sollte auf einer eigenen Seite erfolgen und nicht gemeinsam mit dem Impressum oder gar in Allgemeinen Geschäftsbedingungen (AGB). Die Datenschutzerklärung sollte auf jeder einzelnen Seite der betreffenden Website verlinkt werden, üblicherweise als «Datenschutz» oder «Datenschutzerklärung» in der Fusszeile. Es sollten alle Sprachen unterstützt werden, in denen die Website abrufbar ist.

Auf einleitende Texte im Stil von «Der Schutz Ihrer Daten ist uns wichtig» oder «Gemäss Artikel 13 der Bundesverfassung» sollte man verzichten. Solche Texte haben rechtlich keine Bedeutung und wirken auf die meisten Besucher einer Website nicht glaubwürdig.

Was sind häufige Fehler bei Datenschutzerklärungen?

Wer nicht weiss, was er tut, begeht zwangsläufig Fehler beim Erstellen von Datenschutzerklärungen. Jenseits vom Fall, dass noch gar keine Datenschutzerklärung besteht, sind insbesondere folgende Fehler häufig zu beobachten:

  • Schweizerische Websites unterstellen sich freiwillig und vollständig der DSGVO und sonstigem ausländischem Recht, halten aber die entsprechenden Pflichten nicht ein
  • Inhalt der Datenschutzerklärung ist sichtbar veraltet, allenfalls allein schon aufgrund einer Datumsangabe
  • Weblink zur Datenschutzerklärung ist nicht auffindbar, zum Beispiel, weil der Weblink in einem Menü versteckt ist
  • Weblink zur Datenschutzerklärung wird verdeckt, zum Beispiel durch ein Banner oder ein responsives Layout-Element
  • Inhalt der Datenschutzerklärung ist unvollständig, häufig betroffen sind eingebundene Dritt-Dienste
  • Inhalt der Datenschutzerklärung ist falsch, zum Beispiel wird eine Anonymisierung von IP-Adressen behauptet, die gar nicht erfolgt
  • Datenschutzerklärung behauptet Einwilligungen, die nicht erteilt wurden und allein durch die Erwähnung in der Datenschutzerklärung auch nicht rechtswirksam erteilt werden können
  • Ausdrückliche Einwilligung in die Datenschutzerklärung, wodurch diese zu einem Vertrag wird und Anpassungen, wie sie bei einer gepflegten Datenschutzerklärung regelmässig vorkommen, wie Vertragsänderungen behandelt werden müssen
  • Widerspruchsmöglichkeiten funktionieren nicht, zum Beispiel bei Google Analytics, wo das frühere «Opt-out» mit einem JavaScript-Weblink nicht mehr verfügbar ist
  • Facebook-Seiten und andere Social Media-Präsenz werden nicht erwähnt oder es geht vergessen, die Datenschutzerklärung auf der Facebook-Seite zu verlinken
  • Schweizerische Websites, die tatsächlich teilweise die DSGVO einhalten müssen, haben keinen EU-Datenschutz-Vertreter benannt
  • Die Datenschutzerklärung wird einmal erstellt und danach nicht mehr gepflegt, so dass sie im Lauf der Zeit Fehler enthält, unvollständig ist und veraltet wirkt

Datenschutzerklärungen: Don’t panic!

«Don’t panic!» gilt auch für Datenschutzerklärungen. So führt zwar für die meisten Websites kein Weg daran vorbei, eine Datenschutzerklärung zu erstellen, zu veröffentlichen und zu pflegen. Die Datenschutzerklärung ist ein wichtiger Bestandteil, um das Datenschutzrecht einzuhalten. Die perfekte Datenschutzerklärung gibt es aber leider nicht, denn dafür ist das Datenschutzrecht zu ausufernd und widersprüchlich.

Datenschutzerklärungen dienen der Information der betroffenen Personen. Sie sollen wissen, wer ihre Personendaten beschafft sowie wie, wofür und wo diese bearbeitet. Sie sollen ausserdem ihre Rechte kennen, zum Beispiel das Recht auf Auskunft.

Um diese Informationspflichten zu erfüllen, müssen Website-Betreiber wissen, wie Personendaten auf ihren Websites beschafft und bearbeitet werden. Mit diesem Wissen kann eine Datenschutzerklärung erstellt werden, die üblicherweise gut genug ist, sofern die Empfehlungen in diesem Betrag beherzigt und typische Fehler vermieden werden. Wer die Rechtssicherheit verbessern möchte, lässt seine Datenschutzerklärung durch eine qualifizierte Fachperson erstellen oder zumindest überprüfen.

Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.

Beteilige dich an der Diskussion

13 Kommentare

relaunch website
relaunch website 22. Sept. 2023 10:49

Ausgezeichneter und nützlicher Leitfaden!

Mischa
Mischa 20. Aug. 2019 15:24

Muss nicht jede Website in der Schweiz zumindest teilweise die DSGVO einhalten? Sobald EU-Bürger mit meiner Website interagieren, gilt nach meinem Verständnis die DSGVO. Und EU-Bürger gibt es in unserm Land ja schon ein paar…

Rolf Wilhelm
Rolf Wilhelm 23. Aug. 2019 08:15

@Mischa:
Martin Steiger hat bereits mehrfach erwähnt, dass die DSGVO bereits gilt, wenn Du für eine Newsletteranmeldung EU-Bürger nicht explizit ausschliesst.

Martin Steiger
Martin Steiger 20. Aug. 2019 21:00

@Mischa:

Nicht jede Website, aber ja, viele Websites in der Schweiz müssen die DSGVO teilweise anwenden.

Allerdings hängt die Anwendbarkeit der DSGVO in der Schweiz nicht von der Staatsbürgerschaft der betroffenen Personen ab. Massgeblich ist, wo sich betroffene Personen befinden: Sie müssen sich im Europäischen Wirtschaftsraum (EWR) befinden. Die DSGVO ist zum Beispiel anwendbar, wenn das Angebot einer Website auch für Personen im EWR gedacht ist.

Wenn Du es genauer wissen willst: https://steigerlegal.ch/2018/11/26/leitlinien-dsgvo-3/ (Fälle 2 und 3, runterscrollen!).

Martin
Martin 15. Aug. 2019 17:19

Danke für die Antworten! Statistiken sind abgestellt.

Martin Steiger
Martin Steiger 16. Aug. 2019 14:20

@Martin:

Matomo ist übrigens wie erwähnt eine Möglichkeit für die datenschutzfreundliche Erfolgs- und Reichweitenmessung einer Website.

Martin
Martin 14. Aug. 2019 15:43

Guter Artikel, ist nützlich so eine Zusammenfassung zu haben.

Ich hätte noch eine Frage: was ist, wenn die IP-Adresse zwar in der Logdatei festgehalten wird, aber nicht ausgewertet wird? Bei Cyon zum Beispiel passiert das ja “per Default” – Statistiken werden erstellt; ich zumindestens schaue diese nie an.

Frage an Cyon: kann man die Besucherstatistiken auch deaktivieren?

Philipp Zeder
Philipp Zeder cyon
15. Aug. 2019 09:18

Ja, Du kannst die Erstellung von Besucherstatistiken mittels AWStats komplett deaktivieren. Am besten funktioniert das mit folgendem Befehl per SSH: chmod 0 ~/tmp/awstats. Den Inhalt des Verzeichnisses kannst Du löschen, damit auch bereits erstellte Statistiken verschwinden.

Fabienne
Fabienne 28. Aug. 2023 09:21

Wäre es möglich, dafür eine laientaugliche Anleitung zu bekommen?

Martin Steiger
Martin Steiger 14. Aug. 2019 20:50

@Martin:

Es wäre tatsächlich wünschenswert, wenn Cyon die IP-Adressen in den Server-Logdateien anonymisieren würde, so wie beispielsweise Strato in Deutschland:

«Anonymisierte Client-IP: Um zu erkennen, von wo aus unsere Server gegebenenfalls angegriffen werden, erheben wir IP-Adressen. Diese speichern wir branchenüblich maximal sieben Tage lang. Danach werden sie anonymisiert. Aus Datenschutzgründen kannst Du jedoch die IP-Adressen in dem Logfile von Beginn an nur anonymisiert einsehen. Ein Beispiel: Aus 123.456.789.001 wird anon-123-456-165-41.invalid.»

https://strato.de/blog/dsgvo-logfiles/

Allerdings ist die Qualifikation von IP-Adressen als Personendaten nur eine (weitere) Faustregel. Bei einer differenzierten Betrachtung, die allerdings der Tendenz in der europäischen Rechtsprechung widerspricht, kann man häufig zum Ergebnis gelangen, dass IP-Adressen keine Personendaten darstellen. Für die meisten Website-Betreiber ist es im Alltag aber vermutlich am einfachsten, auf Nummer sicher zu gehen und IP-Adressen als Personendaten zu behandeln.

Beatrice Müller
Beatrice Müller 12. Aug. 2019 14:43

Besten Dank für den äusserst spannenden Artikel!
So aufschlussreich hat noch nie jemand die Sachlage für Normalsterbliche erklärt ;).

Selion
Selion 8. Aug. 2019 19:17

Besten Dank für die hilfreichen Informationen!

Martin Steiger
Martin Steiger 9. Aug. 2019 09:00

@Selion:

Gern!