Piwik PRO und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Piwik PRO als Web-Analytics-Tool ein, verarbeitet er Besucherdaten (IP-Adressen, Nutzungsverhalten, Geräteinformationen und Interaktionsdaten) zum Zweck der Reichweitenmessung und Webseitenoptimierung auf Basis von Einwilligung oder, bei anonymisierter Nutzung, auf Grundlage berechtigter Interessen. Diese Dokumentation fasst zusammen, welche Angaben zur Verarbeitung mit Piwik PRO in die Datenschutzerklärung gehören.

A. Zweck und Funktionsweise von Piwik PRO

Piwik PRO ist eine Analytics Suite des polnischen Unternehmens Piwik PRO Sp. z o.o., die neben Web-Analytics auch Tag-Management, Consent-Management und Customer Data Platform (CDP) umfasst. Für die typische Anwendung – die Einbindung der Analytics-Funktion – wird ein JavaScript-Tracking-Code (Pixel/Snippet) in den Quellcode der Webseite integriert. Dieser Code erfasst automatisch Besucher- und Interaktionsdaten und überträgt sie an Piwik PRO-Server. Die Daten dienen der Analyse von Nutzungsmustern, Conversion-Tracking und Verbesserung des Webseiten-Angebots.

Piwik PRO unterscheidet sich von Lösungen wie Google Analytics dadurch, dass der Webseitenbetreiber – nicht Piwik PRO – Kontrolle über die Daten behält, dass vollständige EU-Hosting möglich ist und dass Consent-freie, anonymisierte Messung angeboten wird. Die weiteren Funktionen (Tag Manager zur Verwaltung von Tracking-Codes, Consent Manager für Cookie-Banners, CDP für Nutzerprofile) spielen für die Datenschutz-Dokumentation eine Nebenrolle, sofern nur die Analytics-Integration verwendet wird.

B. Pflichtangaben der Datenschutzerklärung bei Einsatz von Piwik PRO

Eine Datenschutzerklärung muss gemäß DSGVO folgende Informationen zu Tools wie Piwik PRO enthalten: die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), etwaige berechtigte Interessen des Verantwortlichen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern der Daten (Art. 13 Abs. 1 lit. e DSGVO), Drittlandtransfers und Schutzmechanismen (Art. 13 Abs. 1 lit. f DSGVO) sowie die Speicherdauer oder Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

Eine weit verbreitete, aber nicht empfehlenswerte Praxis ist der sogenannte „Textbaustein pro Tool" – für jedes Analytics-Tool ein separater Absatz in der Datenschutzerklärung. Dies führt zu Dokumenten, die schwer lesbar, redundant und schwer zu pflegen sind. Besser ist ein themenorientierter Ansatz: ein Abschnitt zu „Reichweitenmessung und Website-Analytik" mit allgemeinen Zwecken und Rechtsgrundlagen, ergänzt durch eine Empfängerliste im Anhang, in der alle eingesetzten Analytics-Tools mit ihren Anbietern, Standorten und Links zu deren Datenschutzerklärungen aufgelistet werden. Dies entspricht dem Transparenzgebot der DSGVO (Art. 12 Abs. 1) besser.

C. Anbieter von Piwik PRO

Unternehmensname: Piwik PRO Sp. z o.o. (Spółka z ograniczoną odpowiedzialnością)

Anschrift: Ul. Świętego Antoniego 2/4, 50-073 Wrocław (Breslau), województwo DOLNOŚLĄSKIE, Polen

Sitzland: Polen (EU-Mitgliedstaat)

Datenschutzbeauftragter/Kontakt: Piwik PRO stellt unter https://piwik.pro/privacy-compliance/ und https://piwikpro.de/datenschutz/ Informationen zur Datenschutzkonformität zur Verfügung. Für Fragen zur Datenverarbeitung kann die Datenschutzstelle unter gdpr@piwik.pro kontaktiert werden. Die Datenschutzerklärung des Anbieters findet sich unter https://piwikpro.de/datenschutz/.

Rolle: Piwik PRO tritt regelmäßig als Auftragsverarbeiter auf – der Webseitenbetreiber bleibt Verantwortlicher (Controller).

D. Datenverarbeitung mit Piwik PRO – Ablauf in Schritten

E. Von Piwik PRO erhobene Daten

Piwik PRO erfasst bei jedem Besuch automatisch technische und verhaltensorientierte Daten. Dazu gehören die IP-Adresse des Besuchers, eindeutige Besucher- und Session-IDs, Informationen zum Browser und Betriebssystem, Gerätetyp und Bildschirmauflösung, besuchte Seiten und deren Reihenfolge, Verweildauer pro Seite, Klicks auf Links/Buttons, Referrer-Information, grobe geografische Standortdaten (ermittelt aus der IP-Adresse auf Stadt-/Gemeindeebene), UTM-Parameter aus Links und definierte Conversion-Ereignisse (z.B. „Formular abgesendet", „Download durchgeführt").

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitstempel, URL der angeforderten Seite, HTTP-Referrer, Browser-Name und -Version, Betriebssystem.
• Klickpfade und Navigationsverhalten: Reihenfolge besuchter Seiten, Links auf die Seite, Klicks auf bestimmte UI-Elemente.
• Endgeräte-Daten: Gerätetyp (Desktop/Tablet/Mobiltelefon), Betriebssystem, Bildschirmauflösung, Ausrichtung (Portrait/Landscape).
• Browserinformationen: Browser-Name, -version, installierte Plug-ins/Erweiterungen (soweit erfasst).
• Grobe Standortdaten: Land, Region, Stadt (auf Grundlage der IP-Adresse; keine Geolokalisierung auf Genauigkeit von Straße/Hausnummer).
• Interaktionsdaten: Scroll-Tiefe, Verweildauer pro Element, Klicks auf Buttons, ggf. Tastatureingaben (bei aktivierter Session-Recording-Funktion – diese muss explizit eingeschaltet werden).
• Conversion-Ereignisse: benutzerdefinierten Ziele (z.B. Anmeldung, Kauf, Download).
• Nutzerprofile und Segmente: bei Einsatz der CDP-Funktion aggregierte Interessensprofile oder Kohorten basierend auf Verhalten.
• Technische Telemetriedaten: JavaScript-Fehler, Seitenlade-Zeiten, API-Fehler.

F. Nutzungszwecke bei Einsatz von Piwik PRO

Der Webseitenbetreiber nutzt die mit Piwik PRO erfassten Daten primär zur Reichweitenmessung (wie viele Besucher, Seitenaufrufe, Sessions), zur Analyse von Nutzerverhalten (welche Inhalte interessieren, wie ist die Verweildauer, wo sind Absprungpunkte), zur Optimierung der Webseite (welche Änderungen wirken sich positiv auf Conversion aus), zum Tracking von Marketing-Kampagnen (UTM-Parameter) und zur Verbesserung von Produkten und Dienstleistungen. Bei Einsatz der CDP-Funktion können Nutzerprofile erstellt und für zielgerichtete Ansprachen verwendet werden.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Allgemeine Produktverbesserung: Aggregierte Analyse von Nutzungsmustern (z.B. „80% der Besucher navigieren zu Abschnitt X"), um die Struktur und Inhalte zu optimieren.
• Nutzer-individuelle Produktverbesserung: Verfolgung einzelner Besucherjourneys zur Behebung von UX-Problemen oder zur Personalisierung von Inhalten (erfordert typischerweise erweiterte Einwilligung).
• Allgemeines Marketing: Messung der Reichweite und Wirkung von Werbekampagnen über UTM-Parameter oder Pixel-Tracking; Benchmarking gegen Branchendurchschnitte.
• Nutzer-individuelles Marketing: Retargeting, Audienz-Segmentierung und gezielte Ansprache basierend auf erfasstem Verhalten (erfordert Einwilligung).
• Sicherheit und Missbrauchsschutz: Erkennung verdächtiger Zugriffsmuster, Bot-Erkennung, Schutz vor DDoS-Attacken.

G. Rechtsgrundlagen für Piwik PRO

Tool-Kategorie: Piwik PRO ist primär ein Tracking-Tool der Kategorie Statistik/Analytics, optional auch Tracking der Kategorie Marketing, falls die Daten für Retargeting oder Marketing-Optimierung eingesetzt werden.

Anwendbare Rechtsgrundlagen:

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): Dies ist die regelmäßig einschlägige Rechtsgrundlage für Tracking-Cookies oder ähnliche Speichertechniken (z.B. Besucher-IDs), die von Piwik PRO verwendet werden. Der Webseitenbetreiber muss vor dem Setzen des Tracking-Codes eine freiwillige, spezifische und informierte Einwilligung des Besuchers einholen – typischerweise über eine Cookie-Banner oder Consent-Management-Plattform.

2. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Bei cookieloser, anonymisierter Messung (Piwik PRO bietet eine Consent-freie Tracking-Variante an, bei der Identifizierer wie Session-Hash statt Cookies verwendet werden und keine Rückverfolgung einzelner Nutzer möglich ist) kommt Art. 6 Abs. 1 lit. f DSGVO in Betracht – die berechtigten Interessen des Webseitenbetreibers an Verbesserung und Geschäftssteuerung. Diese Ansicht ist jedoch umstritten in der Rechtspraxis und Datenschutzaufsicht; eine Einzelfallprüfung ist erforderlich.

Wichtiger Hinweis: Die einschlägige Rechtsgrundlage ist fallabhängig und im Einzelfall vom Webseitenbetreiber unter Beratung durch Datenschutzfachkräfte oder Rechtsanwalt zu prüfen. Es handelt sich hierbei nicht um eine abschließende rechtliche Bewertung.

H. Besonderheiten und Hinweise zu Piwik PRO

• Datenschutz-Folgenabschätzung (DSFA): Bei der Verarbeitung von Besucherdaten kommt eine DSFA nach Art. 35 DSGVO in Betracht. Eine vollständige Risikoanalyse wird empfohlen.

• Auftragsverarbeitungsvertrag (AVV/DPA): Piwik PRO stellt Vorlagen für einen Auftragsverarbeitungsvertrag zur Verfügung. Ein unterzeichneter AVV ist Voraussetzung für die Rechtmäßigkeit der Auftragsverarbeitung. Ein Hard-Copy-DPA kann unter legal+dpa@piwik.pro angefordert werden.

• EU-Hosting als Standardoption: Um Drittlandtransfers zu vermeiden, sollten Webseitenbetreiber in der EU die EU-Cloud-Option wählen (z.B. Hosting in Deutschland, Niederlanden oder Schweden). US-Cloud-Optionen führen zu Übermittlung in ein Drittland und erfordern geeignete Schutzmechanismen (Standard Data Protection Clauses, ggf. Adequacy Decision).

• Opt-Out und Consent-Manager-Integration: Piwik PRO bietet Opt-Out-Möglichkeiten an; Details dazu finden sich unter https://help.piwik.pro/support/privacy/setting-consent-manager/. Auch ist die Integration mit Consent-Management-Plattformen (z.B. Cookie Information) möglich.

• Anonymisierungs- und Pseudonymisierungsoptionen: Der Webseitenbetreiber kann IP-Adressen anonymisieren, Session-Hashes statt Cookies verwenden oder vollständig anonymisierte Messung aktivieren. Dies reduziert oder beseitigt die datenschutzrechtliche Einstufung als personenbezogen.

• ISO 27001 und SOC 2 Zertifizierung: Piwik PRO ist nach ISO 27001 zertifiziert und erfüllt SOC 2-Standards, was auf technische Datensicherheit hinweist.

• Bedenken bei Session Recording: Falls der Webseitenbetreiber die Session-Recording-Funktion von Piwik PRO (Heatmaps, Session-Playback) nutzt, sind zusätzliche Vorsichtsmaßnahmen erforderlich, um zu verhindern, dass sensible Nutzereingaben (Passwörter, Kreditkartendaten) aufgezeichnet werden.

I. FAQ zu Piwik PRO und Datenschutz

J. Fazit und Call-to-Action

Piwik PRO ist ein europäisches, datenschutzfreundliches Analytics-Tool mit EU-Hosting, Consent-Manager-Integration und anonymisierten Tracking-Optionen. Webseitenbetreiber sollten die damit verarbeiteten Daten, Zwecke und Rechtsgrundlagen transparent in ihrer Datenschutzerklärung dokumentieren.

Eine verbreitete Fehlanwendung ist der sogenannte „Textbaustein pro Tool" – für jedes Analytics-System ein separater Absatz. Dies macht Datenschutzerklärungen unlesbar, redundant und schwer pflegbar. Besser: Themenorientierter Aufbau (z.B. ein Abschnitt „Webanalytics") mit allgemeinen Zwecken und Rechtsgrundlagen, ergänzt durch eine Empfängerliste im Anhang mit Namen, Sitz und Links zu Datenschutzerklärungen und AVV-Links aller eingesetzten Tools.

K. Kurator