Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

etracker auf dem Prüfstand: Ist das Analyse-Werkzeug für Webseiten DSGVO-konform

0

etracker ist ein Analysewerkzeug eines deutschen Anbieters. Der Werbeslogan lautet:

  • Cookie-frei
  • Consent-frei
  • Ohne US-Datentransfer

etracker wird in verschiedenen Konfigurationen angeboten, darunter eine mit Cookies und eine ohne Cookies. Die Variante ohne Cookies ist am datenschutzfreundlichsten, und deswegen habe ich mir diese Variante angesehen.

Benötigt etracker eine Einwilligung?

Auf einer eigenen Informationsseite beschreibt der Anbieter, warum etracker einwilligungsfrei sei. Ich gehe gleich darauf ein, ob dies zutreffend sein kann oder nicht.

  1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV).
  2. Es werden keine Cookies oder ähnliche Techniken zur Profilbildung eingesetzt.
  3. Die Verarbeitung von personenbezogenen Daten erfolgt ausschließlich in Europa.
  4. AV nutzt die gewonnenen Daten nicht für eigene Zwecke.
  5. AV verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  6. Eine Opt-Out- bzw. Widerrufs-Möglichkeit und Informationen zum Tracking werden in der Datenschutzerklärung angeboten.
  7. Die IP-Anonymisierung wird sichergestellt (ohne zusätzliche Konfiguration, „Privacy by Default“).
  8. Do-Not-Track-Einstellungen im Browser werden automatisch als Opt-Out/Widerruf berücksichtigt.
  9. Der Website-Betreiber kann die Einhaltung der Punkte 1-8 nachweisen.

Ich stimme vielem zu, was auf etracker.com zur rechlichen Einordnung geschrieben ist. Auch die o.g. Punkte kann ich nachvollziehen und gutheißen.

Installation von etracker

etracker wird über den Server des Anbieters eingebunden. Das Vertragsverhältnis wird über einen AVV abgesichert, so dass dieser Datentransfer wie ein Erstpartei-Transfer (First Party) zu werten ist.

Das Laden von etracker geschieht durch Einbinden folgender JavaScript-Anweisung (exemplarisch):

<script id="_etLoader" type="text/javascript" charset="UTF-8" data-block-cookies="true" data-respect-dnt="true" data-secure-code="xxx" src="//static.etracker.com/code/e.js"></script>

Das Einbinden des etracker Scripts ist insofern erstens einfach und zweitens datenschutzkonform möglich. Weitere Parameter sind möglich.

Zum Script-Befehl ein paar Erläuterungen:

  • data-secure-code: Gibt das Kundenkonto an
  • data-block-cookies: Mit dem angegebenen Wert verzichtet etracker auf Cookies
  • data-respect-dnt: Mit dem angegebenen Wert wird die Do Not Track Einstellung des Browsers respektiert (s.u.)

Nachverfolgen des Nutzers

Jedes Analyse-Werkzeug hat das Problem, dass ein Nutzer nicht zuverlässig als wiederkehrend erkannt werden kann, wenn keine einwilligungspflichtigen Cookies zum Einsatz kommen sollen. Hierfür gibt es prinzipiell zwei praktikable Möglichkeiten:

  • Sitzungs-Cookies: Hier bleibt eine kleine Unsicherheit, ob diese einer Einwilligung bedürfen. Sie eignen sich nicht für eine sitzungsübergreifende Nutzerwiedererkennung
  • Digitaler Fingerabdruck: Den Nutzer anhand seiner Systemkonfiguration und des Netzwekzugangs erkennen

Der Fingerabdruck kommt bei etracker in der datenschutzfreundlichen Variante zum Einsatz. Laut Dokumentation von etracker beträgt die Dauer der Speicherung eines Fingerabdrucks 24 Stunden. Dies wäre akzeptabel.

Mein Test zeigte, dass dies den Tatsachen entspricht. Nach mehr als 24 Stunden wurde ich nicht mehr als gleicher Nutzer wiedererkannt. Um das zu testen, habe ich den kostenfreien etracker Testzugang genommen und nachgesehen, wie viele verschiedene bzw. neue User aufgrund meine Aktivität auf meiner Testseite angezeigt werden.

Pro Nutzer wird die IP-Adresse in verkürzter Form gespeichert. Bei IPv4-Adressen werden die ersten drei von vier Bytes gespeichert, so dass eine Unschärfe im letzten Byte entsteht. Die gekürzte IP-Adresse ist im Dashboard zu sehen. Das halte ich für nicht optimal, wenngleich auch nicht für absolut kritisch. Besser wäre die Angabe einer zufälligen Nutzer-Identifikation, die in keinem Zusammenhang mit der IP-Adresse gebracht werden kann.

Abwahlmöglichkeit

Gemäß § 15 Abs. 3 TMG muss dem Nutzer eine Abwahlmöglichkeit bei der Bildung von Nutzerprofilen gegeben werden. Dies wird auch als Opt-Out bezeichnet.

etracker bietet gemäß Dokumentation einen sogenannten Zählungsausschluss an. Besser wäre es natürlich, wenn die Webseite das Tool einfach nicht mehr lädt, wenn der Nutzer es abgewählt hat. Dies liegt aber in der Hand des Webseitenbetreibers und ist nicht Aufgabe von etracker.

Do not Track wird respektiert

Bei eingeschalteter Do Not Track Einstellung im Browser werden von eTracker keine Protokolle erzeugt. Es wird dann also nur das etracker-Script geladen, ohne Arbeit zu verrichten.

Das ist sehr positiv.

Cookies?

etracker nutzt in der datenschutzfreundlichen Variante keine Cookies. Allerdings ist mir aufgefallen, dass das früher verwendete Cookie et_coid beim Laden von Dateien der Domäne etracker.de immer noch übertragen wird.

Dies habe ich an etracker weitergegeben und erhielt kurz später eine Antwort. Die Aussage war, dass das Cookie zukünftig gelöscht werden wird. Jetzt aktuell würde es schon nicht mehr ausgewertet. Allerdings wird das Cookie et_coid auch Wochen nach meiner Eingabe immer noch übertragen und nicht gelöscht.

Die Grundkonfiguration nutzt also keine Cookies. Veraltete Cookies wurden noch nicht sauber abgeräumt, sollen aber eliminiert werden, was noch nicht umgesetzt wurde.

Das Fazit zu Cookies ist also positiv mit kleinem Spielraum für Verbesserungen.

Fazit

etracker macht datenschutzrechtlich einen sehr guten Eindruck. Der Anbieter ist persönlich erreichbar und ansprechbar. Dies findet man bei Google & Co. nur selten. Zudem finden nur Datentransfers zu einem deutschen Anbieter statt, die über einen AVV legitimiert sind.

Zur Qualität der Datenerfassung habe ich keine näheren Untersuchungen angestellt. Auch habe ich mir Signalize Free nicht angesehen, ein Angebot, welches ebenfalls von etracker kommt. Insofern ist es zunächst unproblematisch.

Das Dashboard von etracker finde ich etwas gewöhnungsbedürftig. Es ist allerdings recht übersichtlich aufgebaut. Man kommt nach eine kurzen Einarbeitung wahrscheinlich gut damit zurecht.

Auf der etracker Webseite ist ein YouTube Video eingebunden. Das ist an sich nicht verboten. Ich halte es allerdings für fragwürdig, weil Google als Anbieter der YouTube Videoplattform Datenschutzregeln tagtäglich missachtet und auf die Kosten von vielen Millionen Personen Miliardengewinne einfährt. Die Einbindung des Videos auf der etracker Webseite geschieht allerdings in einer Weise, die nicht datenschutzkonform ist. Zum einen findet dabei ein unberechtigter, aber vermeidbarer Datentransfer zu YouTube statt. Zum zweiten wird zwar eine Einwilligung vor Abspielen des Videos abgefragt. Aber die Einwilligung spricht von Cookies, was hier falsch, weil unvollständig und zudem nicht wirklich zutreffend ist. Es gibt zwar ein Cookie, welches aber halbwegs harmlos ist (CONSENT:PEIDNG+107, Laufzeit: viele Jahre). Schlimmer sind Datentransfers in die USA und das Nachladen von Google Fonts sowie Datentransfers zu diversen Google Domänen.

Ich möchte keine Werbung für etracker machen, allerdings anmerken, dass mir jede Webseite, die ein solches Tool oder auch eines wie Matomo (lokale Installation) oder Trackboxx einsetzt, lieber ist als der Einsatz von Google Tools, die als datenfeindlich zu beurteilen sind.

Die meisten Webseiten dürften zudem funktionell kaum oder gar nicht von Google Analytics profitieren, zumal viele vom Analytics Dashboard überfordert sind oder gar nicht wissen, welche Maßnahmen aufgrund vorliegender Analysedaten zu ergreifen sind.

Nachtrag

In einer Mitteilung vom 27.05.2021 weist etracker darauf hin, dass jetzt der Einsatz von etracker auch mit Cookies einwilligungsfrei sei. Als Begründung wird genannt, dass im neuen Cookie-Modus eine Datenerfassung rein anonymisiert und aggregiert stattfände. Diese Art der Datenerfassung könne als unbedingt erforderlich angesehen werden.

Dem stimme ich nicht zu. Eine cookielose Datenerfassung ist schon immer möglich gewesen, sogar mit etracker. Alleine schon deswegen ist eine Cookie-behaftetet Datenerfassung nicht unbedingt erforderlich.

Zudem darf angezweifelt werden, ob die Datenerfassung anonymisiert erfolgt, wenn Cookies eingesetzt werden. Immerhin befinden sich diese auf dem Endgerät einer Person und haben somit einen Personenbezug.

etracker beruft sich zudem auf die Haltung der französischen Datenschutzbehörde CNIL. Eine Behördenmeinung ist keine verbindliche Rechtsmeinung und kann nur schlechterdings als Hauptargument gelten. etracker selbst schreibt nach der Verkündigung seines neuen Analyse-Modus mit Cookies, dass ein Einsatz von Cookies dennoch nur nach Einwilligung empfohlen wird, da es hierzu keine Rechtssicherheit gibt. Was mich stört ist die Cookie-Laufzeit von 13 Monaten, die etracker gemäß Maßgabe von CNIL ans Herz legt. Diese 13 Monate halte ich für eindeutig viel zu lange, unabhängig davon, dass der einwilligungsfreie Einsatz von Cookies, die über eine Sitzung hinausgehen, an sich fraglich ist.

Ich rate ausdrücklich vom Erfassen von Nutzerdaten mit Cookies ab, wenn keine Einwilligung eingeholt wurde. Mir wäre das eine Abmahnung wert.

Die Fehler in der Argumentationskette von etracker sind meiner Meinung nach folgend dargestellt:

  1. Die anonymisierte Datenerfassung wird als unbedingt notwendig angesehen. Das kann stimmen.
  2. etracker glaubt, dass dies nur mit Cookies möglich ist. Das ist falsch.
  3. Beim Zugriff auf Cookies ist es egal, ob personenbezogene oder anonymisierte Daten übertragen werden. Dies scheint etracker nicht zu berücksichtigen.
  4. Eine Lebensdauer von 13 Monaten hält etracker gemäß CNIL für akzeptabel. Das halte ich für eindeutig falsch. Sicher wären meiner Einschätzung nach 24 Stunden
  5. Die Datenauswertung findet erst nach dem Zugriff auf Cookies statt, also dann, wenn der Braten bereits gegessen ist, nämlich eine Einwilligung erforderlich war
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/etracker-testbericht
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Serverseitiges Tracking: Was bedeutet das und wie sieht es mit dem Datenschutz aus?