Was macht Plausible Analytics?
Plausible Analytics ist ein Webanalyse-Tool, das Seitenbetreibern Einblicke in die Performance ihrer Webseite gibt. Dafür stellt das Tool unter anderem Erkenntnisse zur Herkunft der Benutzer und zu den einzelnen Aufrufen der Webseite zur Verfügung. Unternehmen sind so in der Lage, ihre Webseite userfreundlicher zu gestalten und die Conversion zu erhöhen. Plausible Analytics ist ein Angebot des gleichnamigen Anbieters mit Sitz in Estland. Worauf müssen Seitenbetreiber datenschutzrechtlich achten, wenn sie die Software nutzen?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Darum ist Plausible Analytics datenschutzrechtlich relevant
Plausible Analytics sammelt und speichert Daten zum Userverhalten auf Webseiten. Dazu zählen zum Beispiel
- die Anzahl der Besucher auf der Seite,
- wie oft welche Seiten aufgerufen werden,
- welche Interaktionen, wie Klicks, Scrollen und Hovern, Nutzer auf der Seite vornehmen,
- Gerätetyp,
- Betriebssystem und
- Browser der User.
Um diese Daten rechtmäßig zu erheben, müssen Seitenbetreiber verschiedene Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG (ehemals TTDSG)) beachten.
Plausible Analytics datenschutzkonform verwenden
Um Plausible Analytics datenschutzkonform einzusetzen, müssen Unternehmen diese Pflichten berücksichtigen:
Vertrag zur Auftragsverarbeitung abschließen
Seitenbetreiber erheben über das Tool Userdaten und geben diese zur weisungsgebundenen Verarbeitung an den Anbieter in Estland weiter. Art. 28 DSGVO schreibt dafür einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) vor. Dieser sollte festhalten,
- welche Nutzerdaten Plausible Analytics erhält und speichert,
- wie lange der Anbieter die Daten speichert,
- zu welchem Zweck der Anbieter die Daten verarbeitet und
- welche sonstigen Rechte und Pflichten beide Parteien haben.
Seitenbetreiber schließen den AV-Vertrag in Form eines Data Processing Agreement (DPA) automatisch ab, wenn sie die „Terms of Service“ von Plausible Analytics akzeptieren.
Datenschutzerklärung aktualisieren
Seitenbetreiber müssen in ihrer Datenschutzerklärung darauf hinweisen, dass und wie sie Plausible Analytics nutzen. Dabei sollten sie festhalten,
- warum sie über Plausible Analytics Nutzerdaten sammeln,
- welche Userdaten sie erheben,
- wie lange sie die Daten speichern,
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO) und
- dass sie für die Datenweitergabe mit Plausible Analytics einen AV-Vertrag geschlossen bzw. das DPA des Anbieters akzeptiert haben.
Nutzer-Einwilligung einholen?
Seitenbetreiber können bei Plausible Analytics wählen, ob sie die Software in der Cloud oder selbstgehostet verwenden möchten. Unabhängig davon erhebt der Anbieter jedoch keine personenbezogenen Daten. Die Folge: Seitenbetreiber müssen keine Einwilligung in die Datenerhebung einholen.
Rechtsprechung zu Plausible Analytics
Für Plausible Analytics liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Für den Einsatz des Tools sind aber diese Urteile analog relevant:
Landgericht Hamburg zum Hinweis auf Google Analytics in Datenschutzerklärung
Unabhängig davon, welche Art von Nutzerdaten Seitenbetreiber erheben, müssen sie darauf in ihrer Datenschutzerklärung hinweisen. Das stellte das Landgericht (LG) Hamburg im März 2016 in einem Beschluss fest. Im August desselben Jahres bestätigte das Gericht die Einschätzung in einem Urteil (Az. 406 HKO 120/16).
Datenschutzbehörde Hamburg zum AV-Vertrag
Immer wenn Seitenbetreiber Nutzerdaten an Dritte weitergeben, um diese weisungsgebunden verarbeiten zu lassen, müssen sie mit dem Dritten einen AV-Vertrag schließen. Kommen sie dem nicht nach, droht die DSGVO mit einem Bußgeld. Ein deutsches Versandunternehmen musste daher im Dezember 2018 eine Strafe in Höhe von 5.000 Euro bezahlen. Dies hatte zwar personenbezogene Daten an einen spanischen Postdienstleister weitergegeben. Es hatte mit diesem aber keinen AV-Vertrag geschlossen. Das stellte die Datenschutzbehörde Hamburg fest.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Mehrere tausend Mitgliederdaten hatte der Fußballverein VfB Stuttgart an Dienstleister weitergereicht, um diese weisungsgebunden verarbeiten zu lassen. Das Problem: Der Club hatte keine AV-Verträge mit den Dienstleistern geschlossen. Das stufte die Datenschutzbehörde Baden-Württemberg im März 2021 als schweren DSGVO-Verstoß ein. Sie sprach daher ein Bußgeld in Höhe von 300.000 Euro aus.