WordPress und Piwik – Datenschutz-konforme Besucherstatistiken
Viele Webseiten benutzen „Google Analytics“ als Werkzeug der Wahl zur Erstellung von Besucherstatistiken. Google Analytics bietet eine vielzahl von Funktionen, ist einfach zu integrieren und kostenlos.
Was die wenigsten dabei jedoch bedenken: Google Analytics ist ersteinmal NICHT mit Deutschem oder Europäischem Datenschutzrecht vereinbar. Wieso das?
Das Datenschutzproblem von Analytics Tools
Relativ einfach erklärt: Wenn ein Besucher eine Seite aufruft, die von einem Tool überwacht wird, das Besucherstatistiken erstellt, muss das Tool mitbekommen, dass ein Besucher die Seite aufgerufen hat. Neben dem einfachen Aufruf durch den Besucher werden zahlreiche Informationen gesammelt und gespeichert.
Unter Anderem die IP Adresse des Besuchers. Und IP-Adressen sind „personenbezogene Daten“ und damit schutzwürdig. Eine gute Erklärung dazu findet sich für Interessierte beim „Landeszentrum für Datenschutz Schleswig-Holstein“ in den IP FAQs. Am Rande sei erwähnt, dass dieses Problem erst einmal alle Tools mitbringen, die Informationen über Webseitenaufrufe speichern.
Um dem Problem bei Google Herr zu werden, muss man einige Dinge konfigurieren und beachten. Detaillierte Anleitungen finden sich dazu z.B. beim Datenschutzbeauftragten von Hamburg oder auch bei Rechtsanwalt Sören Siebert von e-recht24.de.
Warum sich aber den Gefahren der Rechtsunsicherheit aussetzen, wenn es auch durchaus nennenswerte Open Source Lösungen gibt, die sich problemlos in WordPress integrieren lassen UND sich sehr einfach datenschutzkonform betreiben lassen?
Wir benutzen für alle unsere Seiten Piwik als Analytics Tools. Alle Webseiten unserer Kunden werden auch automatisch über Piwik getrackt. Als Kunde musst du dir damit weder Gedanken darüber machen, dass du den Datenschutz verletzen könntest. Auch musst du dich nicht damit beschäftigen, woher du eine rechtssichere Auswertung deiner Besucher bekommen kannst.
Warum nun also Piwik nutzen?
Piwik ist Open Source und kann damit von jedem selbst betrieben werden. Der große Vorteil sollte hier schon sichtbar geworden sein. Anstatt, dass man seine Kunden an Google „ausliefert“, bleiben alle Daten in Deutschland und sogar auf dem eigenen Server. Die Daten bleiben kontrollierbar und als Anbieter und Webseitenbetreiber hat man das gute Gefühl, zu wissen, was mit den Daten passiert.
Darüber hinaus lässt sich in Piwik zentral regeln, dass die Erfassung datenschutzkonform erfolgt. Eine Einstellung, wie bei Google für jede einzelne Seite, entfällt.
Piwik mit WordPress
Um Piwik mit WordPress zu koppeln, bedarf es relativ weniger Handgriffe.
1. Piwik auf dem eigenen Server installieren (Anleitung direkt bei piwik.org)
2. Nach der Installation den Datenschutz korrekt konfigurieren:
- Piwik Einstellungen öffnen
- „Privatsphäre“ auswählen
- Folgende Einstellungen setzen:
- Den roten „Speichern“ Button weiter unten drücken
- Piwik ist nun für alle zu trackenden Seiten Datenschutzkonform konfiguriert
3. Verbindung zwischen WordPress und Piwik herstellen
- Dazu in der zu trackenden WordPress Installation das Plugin „WP-Piwik“ installieren
- In den Einstellungen von „WP-Piwik“ sowohl die URL zu Piwik setzen, als auch das Auth-Token aus Piwik (In Piwik findet sich das unter „Einstellungen -> Benutzer“) eingeben. Sollte dann wie folgt aussehen:
- Nun noch speichern
- Im nächsten Tab unter „Tracking“ noch prüfen ob der erste Haken bei „Tracking Code einfügen“ gesetzt ist.
4. Wenn die Verbindung funktioniert, sollten die Daten aus WordPress nun direkt in Piwik landen und auf dem Dashboard angezeigt werden.
In wenigen Schritten kann man sich so ein datenschutzkonformes Besucher Tracking aufbauen, das sowohl Kunden, wie auch sich selbst ein deutlich besseres Gewissen verschafft, als die vermeintlich „einfache“ Lösung mit Google Analytics. Vom Funktionsumfang her bietet Piwik alles an, was man zur Auswertung seiner Webseite oder seines Blogs benötigt. Im Dashboard von WordPress kann man sich einen Auszug aller relevanter Daten aus Piwik anzeigen lassen. Das sieht dann so aus:
Wenn du Piwik nicht selbst betreiben möchtest, kannst du deine Webseite auch einfach bei WirLiebenWP betreiben. Piwik ist bei uns für jede Seite automatisch dabei und direkt von Beginn an fertig eingerichtet!
Heya @piwik – we just wrote an articles (in German) about how to configure WordPress & Piwik for perfect privacy https://t.co/O64RqUDnbX
Ha, danke, endlich hab ichs kapiert. Es klappt. Gruß Klaus
Frauke
07.10.15
Mich würde in dem Zusammenhang interessieren, wie es mit der datenschutzkonformen Absicherung von WordPress aussieht. Alle schreiben von Google Analytics und Piwik, aber zum Thema Sicherheitsplugins findet man nichts.
Der Konsens im Netz ist, dass es unabdingbar ist, WordPress mit Hilfe von Sicherheitsplugins wie Wordfence abzusichern. Leider geht dies aber mit der Speicherung von IP-Adressen einher, da auf dieser Grundlage automatisiert Nutzer gesperrt werden, die z.B. versuchen per Brute-Force das Login der Seite zu knacken oder eine Denial of Service Attacke auszuführen.
Ist es überhaupt möglich solche Plugins einzusetzen oder gibt es ähnlich wie Piwik datenschutzkonforme Plugins?
Hallo Frauke,
die Berichte über Analytic oder Social Media Plugins sind wahrscheinlich die plakativsten Beispiele über die Probleme, die nun seit dem Ende von Safe Harbor angegangen werden müssen.
Der Hauptunterschied zu Sicherheitsplugins ist darin zu sehen, dass diese Art von Plugin die Daten bei dir lokal auf dem Server verarbeitet und nicht an Dritte weiterleitet. Bei Google Analytics, Facebook oder auch Akismet, Jetpack und Co ist es eine der elementaren Funktionen, die Daten nicht nur zu erfassen, sondern diese auch an einen zentralen Server (i.d.R. in den USA) zu übermitteln.
Zurück zu den Sicherheitslösungen: Da diese, genau wie jeder Server, die IP Adressen dazu benötigen, um korrekt zu funktionieren und die Daten nicht an Dritte weitergegeben werden, ist der Einsatz solcher Plugins datenschutztechnisch unkritisch. Natürlich sollte man – hart gesprochen – auch auf einem Server Datensparsamkeit walten lassen. Da man dadurch aber den Betrieb und die Sicherheit gefährdet, überwiegt hier klar das Interesse des (sicheren) Betriebs.
Im Endeffekt gilt auch bei Sicherheitsplugins die selbe Abwägung, wie bei jedem Plugin:
Werden Daten an einen zentralen Server übermittelt? Plugins wie Akismet oder Jetpack werden dann auf einmal eine sehr schlechte Wahl. Wordfence oder iThemes Security hingegen sind (in weiten Teilen) problemlos datenschutzkonform nutzbar.
Wenn du die Möglichkeit hast, sichere deine Seiten auf Betriebssystem Ebene ab. Da weißt du, was die Tools machen und kannst vor Allem noch viel effizienter absichern, als ein Plugin das könnte.
Solltest du Unterstützung benötigen, oder weitere Fragen haben, schreib uns auch gerne direkt per Mail oder über das Kontaktformular.
Wünsche dir einen schönen Abend,
Jan
Netter Artikel, leider fehlen die Bilder so das der Sinn mehr oder weniger verloren geht.
Danke für den Hinweis Ralf! Das haben wir doch direkt korrigiert.
Beste Grüße,
Jan