Open Web Analytics Datenschutz – Rechtliche Anforderungen für die Datenschutzerklärung

Open Web Analytics (OWA) ist ein quelloffenes, selbst gehostetes Web-Analytics-Framework. Anders als SaaS-Lösungen wie Google Analytics oder Matomo Cloud erfolgt die Datenverarbeitung auf der eigenen Infrastruktur des Webseitenbetreibers. Dies hat erhebliche Auswirkungen auf die datenschutzrechtliche Verantwortung und die erforderlichen Datenschutzerklärungen. Der vorliegende Artikel erläutert die Rechtsgrundlagen, Datenarten und Pflichtangaben für Open Web Analytics Datenschutz im Kontext der DSGVO und des TDDDG.

A. Zweck und Funktionsweise von Open Web Analytics

Open Web Analytics ist ein von der Open-Source-Community entwickeltes Web-Analytics-Framework. Es wird nicht von Dritten gehostet oder verwaltet, sondern vom Webseitenbetreiber selbst auf eigenem Server installiert und betrieben.

Funktionsweise:

• Ein JavaScript-Snippet wird in die Website eingebunden.
• Das Snippet erfasst Nutzerverhalten im Browser des Besuchers.
• Daten werden an den eigenen OWA-Server des Webseitenbetreibers übermittelt.
• Speicherung erfolgt in einer lokalen Datenbank (typisch MySQL/MariaDB).
• Auswertung und Reporting erfolgen über die OWA-Oberfläche im Eigenbetrieb.

Diese Self-Hosted-Architektur unterscheidet OWA fundamental von SaaS-Analytics-Anbietern: Es gibt keinen Drittanbieter im DSGVO-Sinne, der die Verarbeitung durchführt. Der Webseitenbetreiber ist unmittelbar Verantwortlicher nach Art. 4 Nr. 7 DSGVO.

B. Pflichtangaben der Datenschutzerklärung bei Einsatz von Open Web Analytics

Für die Einsatzes von OWA müssen Webseitenbetreiber folgende Punkte in ihre Datenschutzerklärung aufnehmen:

• Verantwortlicher: Angabe des Namens und der Kontaktdaten des Webseitenbetreibers (nicht des OWA-Projektentwicklers).
• Verarbeitungszweck: Analyse des Nutzerverhaltens zur Optimierung der Website und Nutzererfahrung.
• Datenarten: Spezifikation der erfassten Daten (IP-Adresse, Klickpfade, Gerätetyp, Browser, etc.).
• Rechtsgrundlage: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG (für Cookies/Tracking-IDs) oder Art. 6 Abs. 1 lit. f DSGVO bei Anonymisierung.
• Speicherdauer: Informationen zur Aufbewahrungsfrist der Daten.
• Betroffenenrechte: Widerspruch, Auskunft, Löschung, Einschränkung (s. Art. 15–22 DSGVO).
• Keine Weitergabe an Dritte: Klarstellung, dass die Daten nicht an externe Analytics-Anbieter weitergegeben werden.

C. Anbieter von Open Web Analytics – Rechtliche Besonderheit

Open Web Analytics ist ein Open-Source-Software-Projekt, das von Peter Adams und Mitwirkenden der OWA-Community entwickelt wird. Es handelt sich jedoch nicht um einen Anbieter im DSGVO-Sinne, wie dies bei Google Analytics, Matomo Cloud oder anderen SaaS-Lösungen der Fall ist.

Konsequenz für die Datenschutzerklärung:

• Der Webseitenbetreiber ist alleiniger Verantwortlicher nach Art. 4 Nr. 7, Art. 24 DSGVO.
• Kein Auftragsverarbeitungsvertrag (AVV) mit dem OWA-Projekt selbst erforderlich.
• Ein AVV ist ausschließlich mit dem Hosting-Anbieter abzuschließen (z. B. Hetzner, AWS, DigitalOcean), sofern dieser Auftragsverarbeiter ist.
• Die OWA-Software selbst steht unter einer Open-Source-Lizenz (üblicherweise GPL) und ist kostenlos.

Da der Webseitenbetreiber die Infrastruktur selbst betreibt, trägt er die volle Verantwortung für Sicherheit, Updates, Backups und Compliance.

D. Datenverarbeitung – Ablauf in Schritten

E. Von Open Web Analytics erhobene Daten

OWA erfasst folgende Kategorien von personenbezogenen und nicht personenbezogenen Daten:

• IP-Adresse des Nutzers (kann zum Zweck der Geolokalisation verwendet werden, fällt unter Personenbezug nach Art. 4 Nr. 1 DSGVO).
• Cookie- und Tracking-IDs zur Identifikation wiederkehrender Nutzer (Visitor-Cookies mit konfigurierbarer Laufzeit).
• Klickpfade und Navigationsfluss auf der Website (welche Seiten wurden besucht, in welcher Reihenfolge).
• HTTP-Referrer (von welcher externen Seite kam der Nutzer).
• Gerätetyp und Betriebssystem (Desktop, Tablet, Smartphone; Windows, macOS, iOS, Android).
• Browser-Informationen (Browsertyp, Version, JavaScript-Unterstützung).
• Grobe Standortdaten (Land, Region, Stadt auf Basis der IP-Adresse; üblicherweise aggregiert ohne exakte Lokalisierung).
• Conversion-Ereignisse (z. B. Download, Anmeldung, Kauf, sofern konfiguriert).
• Seitenaufenthaltszeit und Interaktionsdaten (Scrolltiefe, Hover-Events, sofern implementiert).
• User-Agenten-String (technische Merkmale des Browsers).

F. Nutzungszwecke von Open Web Analytics

Die Datenverarbeitung durch OWA verfolgt typischerweise folgende Zwecke nach Art. 5 Abs. 1 lit. b DSGVO:

• Allgemeine Produktverbesserung: Identifikation von Optimierungspotenzialen in der Website-Struktur, Usability und Inhalte.
• Nutzerprofil-Erstellung (aggregiert): Erstellung von anonymisierten oder pseudonymisierten Nutzersegmenten zur Verbesserung von Zielgruppen-Targeting.
• Nutzer-individuelle Verhaltensanalyse: Nachverfolgung einzelner Benutzer über mehrere Sitzungen hinweg zur Optimierung des Angebots.
• Conversion-Optimierung: Messung von Geschäftsergebnissen (z. B. Bestandteile von Kaufvorgängen oder Lead-Generierung).
• Traffic-Monitoring: Überwachung der Website-Performance und Nutzerlast.

G. Rechtsgrundlagen für Open Web Analytics nach DSGVO und TDDDG

Die Verarbeitung von Daten durch OWA muss auf einer zulässigen Rechtsgrundlage beruhen.

1. Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG:

Für die Verwendung von Cookies und Tracking-IDs ist eine explizite Einwilligung des Nutzers erforderlich. Das Cookie-Banner muss vor dem Laden des OWA-Snippets konfiguriert sein (Consent Management Platform, CMP). Ohne Einwilligung ist das Tracking nicht zulässig.

2. Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO:

Sollten IP-Adressen und Daten vollständig anonymisiert werden (kein Bezug zu einer Person mehr möglich), kann eine Rechtsgrundlage entfallen. Eine Interessensabwägung zugunsten des Webseitenbetreibers ist dann erforderlich, reicht aber nicht aus, um zur Legitimation von Tracking-Daten auszureichen, die noch Personenbezug aufweisen.

Praktischer Hinweis: In der überwiegenden Mehrheit der Fälle ist Einwilligung nach Art. 6 Abs. 1 lit. a + § 25 TDDDG die anwendbare Rechtsgrundlage.

H. Besonderheiten und Hinweise zu Open Web Analytics

• Self-Hosted-Kontrolle: Der Webseitenbetreiber hat volle Kontrolle über Datenfluss, Sicherheit und Verarbeitung. Daten verlassen die eigene Infrastruktur nicht, es sei denn, der Webseitenbetreiber konfiguriert externe Schnittstellen.
• Kein AVV mit OWA erforderlich: Da OWA Open Source ist und nicht als Auftragsverarbeiter agiert, besteht keine Verpflichtung, ein AVV mit dem Projektentwickler abzuschließen.
• AVV mit dem Hoster: Ein AVV nach Art. 28 DSGVO ist mit dem Hosting-Anbieter abzuschließen (z. B. Hetzner, AWS, Strato), sofern dieser personenbezogene Daten verarbeitet.
• IP-Anonymisierung: OWA bietet Funktionen zur Anonymisierung oder Maskierung der letzten Oktette der IP-Adresse. Diese Funktion sollte aktiviert werden, um Risiken zu minimieren.
• Cookie-Laufzeit: Die Dauer der Visitor-Cookie ist konfigurierbar (üblicherweise 13 Monate). Kürzere Laufzeiten reduzieren Tracking-Intensität und sind datenschutzfreundlicher.
• Sicherheit und Updates in Eigentverantwortung: Der Webseitenbetreiber ist verantwortlich für regelmäßige Sicherheitsupdates, Patch-Management und physische/logische Sicherung der Datenbank.
• Keine Drittlandübermittlung durch OWA selbst: Sofern auf eigene Infrastruktur begrenzt, entstehen keine Transfers in Drittländer. Prüfung notwendig, falls Hoster im Drittland ansässig ist.
• Datenpannen-Meldepflicht: Bei Sicherheitsvorfällen (Unbefugte Zugriff, Datenverlust) ist eine Meldung an die zuständige Aufsichtsbehörde unter Umständen erforderlich (Art. 33 DSGVO).

I. Häufig gestellte Fragen (FAQ)

F: Kann ich OWA ohne Einwilligung einsetzen, wenn ich die IP-Adressen anonymisiere?

A: Anonymisierte Daten sind dem DSGVO-Schutzbereich entzogen. Allerdings ist echte Anonymisierung technisch anspruchsvoll und oft nicht vollständig erreichbar (Risiko der Deanonymisierung). Im Zweifelsfall sollte Einwilligung nach § 25 TDDDG eingeholt werden.

F: Brauche ich einen Auftragsverarbeitungsvertrag mit dem OWA-Projektentwickler?

A: Nein. OWA ist Open-Source-Software, kein Auftragsverarbeiter. Ein AVV ist nur mit dem Hosting-Anbieter erforderlich.

F: Welche Speicherdauer sollte ich für OWA-Daten festlegen?

A: Die Speicherdauer sollte in der Datenschutzerklärung transparent gemacht werden. Faustregel: 13 Monate (eine typische Visitor-Cookie-Laufzeit), maximal so lange, wie der Analysezweck erforderlich macht. Nach Ablauf sollten Daten automatisch gelöscht werden.

F: Was ist der Unterschied zwischen OWA und Google Analytics hinsichtlich Datenschutz?

A: Google Analytics ist ein SaaS-Dienst; Google ist Auftragsverarbeiter und hat Zugriff auf alle Daten. OWA ist Self-Hosted; der Webseitenbetreiber behält volle Kontrolle. Kein Drittlandtransfer durch OWA selbst; keine Abhängigkeit von Googleservern.

F: Muss ich Einwilligung vor dem Laden des OWA-Snippets einholen?

A: Ja, § 25 Abs. 1 TDDDG erfordert Einwilligung vor dem Setzen von Cookies oder ähnlichen Tracking-Technologien. Das OWA-Snippet sollte erst nach positiver Einwilligung geladen werden (Consent-Management-Lösung).

J. Fazit und Handlungsempfehlungen

Open Web Analytics bietet Webseitenbetreibern eine datenschutzfreundliche Alternative zu Cloud-basierten Analytics-Plattformen, da die Daten vollständig in der Eigenverantwortung verbleiben. Die DSGVO-Anforderungen sind jedoch nicht weniger streng:

1. Einwilligung nach TDDDG einholen (Cookie-Banner vor Snippet-Laden).
2. Datenschutzerklärung aktualisieren mit den erfassten Datenarten, Zwecken und Speicherdauern.
3. AVV mit Hosting-Anbieter abschließen.
4. Sicherheitsmaßnahmen umsetzen (Updates, Backups, Zugriffskontrolle).
5. IP-Anonymisierung aktivieren und Cookie-Laufzeit minimieren.

K. Autor

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com