So nicht! Wie Xamit durch Fehlinformationen unsere Branche in Verruf bringt
Aktuell macht eine “Studie” des IT-Spezialisten Xamit die Runde, die Webanalyse-Anwender und -Interessenten sehr verunsichert: Darin steht, dass alle Webanalyseanbieter in Deutschland Datenschutzbestimmungen außer Acht lassen würden - außer einem: etracker.
Wie bitte? Sorry - das können wir auf keinen Fall so stehen lassen!
Die “Studie” “Webstatistiken im Test - Welcher Dienst ist in Deutschland legal?” strotzt vor Fehlern. Das Problem: Xamit betreibt damit ungeniert Öffentlichkeitsarbeit, hat es damit bis in die Internet World geschafft - und bringt so unsere Branche in Verruf.
Hier einige der gröbsten Schnitzer:
Die Auswahl der untersuchten Marktangebote: Xamit nahm gerade einmal neun Angebote unter die Lupe - wobei drei davon (IVW, Piwik und phpmyVisites) eine Extrabehandlung erfuhren und außen vor blieben. Es sind also sechs übrig: Google Analytics (GA), etracker, WiredMinds, Statcounter, Stats4free sowie “weitere Anbieter”. Das bedeutet: Wichtige Marktteilnehmer wie Omniture und Webtrekk wurden außer Acht gelassen. Wie also kommt Xamit auf die Idee, anhand dieser mickrigen Auswahl eine pauschale Aburteilung der gesamten Branche vorzunehmen?
Die “weiteren Anbieter”: Diese sollen laut der Tabelle “Markt 2009″ gerade einmal 1% des Markts ausmachen. Ein Prozent? Für Omniture, coremetrics, WebTrends, Unica, AT Internet und Webtrekk und allen anderen, die nicht untersucht wurden, zusammen? Der Marktanteil von etracker hingegen wird mit 10% angeben. Die Tabelle “Markt 2009″ - ein Witz.
Die Marktbewertung: GA hat laut Xamit einen Marktanteil 79%. Anteil von was? Vom Umsatz wohl kaum, schon eher an der Anzahl der Websites. Hier wird aber nicht berücksichtigt, dass es in zahlreichen Unternehmen üblich ist, mehrere Tools zu verwenden - kostenlose, kostenpflichtige und selbst gebaute.
Die “Checkliste”: Diese müsste eigentlich “Selbstverständlichkeiten-Liste” heißen. Die ersten zwei Fragen lauten etwa: “Ist der Vertrag schriftlich abgefasst?” und “Ist der Auftragsgegenstand konkret beschrieben?” Wenn ein Unternehmen hinter solchen Fragen kein Häkchen machen kann, dann hat es ein massives Problem - aber nicht mit dem Datenschutz, sondern schon beim Einkauf, weil die kaufmännische Sorgfaltspflicht nicht eingehalten würde.
Die Argumentation: Wie kommt Xamit darauf, dass die untersuchten Lösungen nicht BDSG-konform sind? Diese Behauptung wird zwar aufgestellt, aber nicht belegt. Interessant ist auch die “Sonderstellung” der IVW. Natürlich sind ihre Statistiken nicht öffentlich und nur den Site-Betreibern zugänglich - wie bei allen anderen auch!
Das Thema “Geolokalisierung”: Der Düsseldorfer Kreis hat das “Speichern der IP-Adresse” als kritisch reklamiert. Wichtig ist, dass für eine Geolokalisierung die IP-Adresse nicht gespeichert werden muss. Der Ablauf ist:
- Verbindungsaufnahme auf TCP/IP-Ebene mit der IP-Adresse des Client-PCs (das entspricht der “Telefonnummer des Anrufers” und kann sinnvollerweise nicht unterbunden werden)
- Abfrage der Geolokalisation: “Verwerfen” der IP-Adresse, wird nur noch für die aktuelle Kommunikation benötigt.
Ein Speichern ist nicht nötig. Die Geolokalisierung als solche ist also nicht kritisch. Die Behauptung, diese ginge nur per Opt-In, ist schlicht falsch.
Das Thema “IP-Adressen”: Es gibt in GA keine IP-Adressen. Derjenige, der mir einen Standard-GA-Report zeigt, der eine IP-Adresse enthält (nicht explizit per Custom Parameter gemessen, sondern einen Standard Report ohne Custom Parameter), erhält von mir ein Exemplar unseres Buchs “Mehr Erfolg durch Web Analytics“.
Sehr wohl kann man aber in etracker bei ausgeschalteten IP-Adressen personenbezogene Profile gewinnen - im Standardreport:
Der Screenshot zeigt eine komplette Session eines einzelnen Benutzers. Die IP ist zwar abgeschnitten, aber deswegen könnte sie trotzdem irgendwo vollständig gespeichert werden (etracker macht ja auch Geolokalisierung). In GA bekomme ich einen solchen Report nicht, kein Wunder: Es gibt ihn nicht (siehe oben). Bleibt also die Frage: Weshalb bewertet Xamit hier etracker höher als GA? Faktisch gibt es dafür keine ausreichenden Anhaltspunkte, wenn man den gleichen “Annahmehorizont” zugrunde legt. Hier wird wohl mit zweierlei Maß gemessen.
Aus dieser “Studie” ziehen wir nur eine Erkenntnis: Das IT-Unternehmen Xamit versucht mit irreführenden Behauptungen Kompetenz in einem Markt vorzutäuschen, von dem es offensichtlich keine Ahnung hat. Von zahlreichen Kollegen hören wir mittlerweile, dass sie von besorgten Kunden und Interessenten angerufen werden, die von der “Studie” gelesen hätten. In diesen Gesprächen dürfen wir nun das Image der Web-Analytics-Branche wieder gerade rücken.
Danke, Xamit!
Beiträge mit ähnlicher Thematik
- Der Datenschutz hat die IP-Adresse entdeckt …
21. Dezember 2007 (22) - Google Analytics ist nicht verboten!
7. Oktober 2008 (20) - Prüfsiegel sind kein Garant für Datenschutz in der Webanalyse
27. Januar 2010 (21)
[...] So nicht! Wie Xamit durch Fehlinformationen unsere Branche in Verruf bringt :: smartmetrics - the co… http://www.smartmetrics.de/2010/05/03/so-nicht-wie-xamit-durch-fehlinformationen-unsere-branche-in-verruf-bringt – view page – cached Web Analytics ist Pflicht. Dieser Blog widmet sich allen Aspekten zum Thema Web Analytics: Web Analytics Markt, Web Analytics Technik und Analyse. Tweets about this link Topsy.Data.Twitter.User['xlthor'] = {”location”:”München”,”photo”:”http://a3.twimg.com/profile_images/84042549/Axel_Amthor_Hintergrund_grey_cropped_normal.jpg”,”name”:”Axel Amthor”,”url”:”http://twitter.com/xlthor”,”nick”:”xlthor”,”description”:”Web Analytics Evangelist @ contentmetrics”,”influence”:”"}; xlthor: “Blog Eintrag: So nicht! Wie Xamit durch Fehlinformationen unsere Branche in Verruf bringt http://bit.ly/9iMe7n #wa #measure ” 7 minutes ago view tweet retweet Filter tweets [...]
[...] mbH und rege mich schon wieder auf; bin damit aber wenigstens nicht alleine: “So nicht! Wie Xamit durch Fehlinformationen unsere Branche in Verruf bringt” schreibt [...]
Danke!
Hallo Herr Amthor,
http://www.web-analytics-tools.com/de/wer_nutzt_was.php
wenn man nach Anzahl an Websites geht, kommt es hin, dass eTracker den 2.Größten Marktanteil hat (ca. 10%, wenn man auf Top 10.000 Domains filtert).
Danke für Ihren Artikel und ich freu mich auf Ihr Buch.
@Mario Casarano
Danke für den Kommentar.
Die Statistik von Frank Reese belegt sicherlich den “Verbreitungsgrad” von 10% von etracker bezogen auf die deutschen Websites. Die gleiche Statistik weist aber Omniture auf Platz zwei bzw. drei (je nach Gewichtung) aus. Insofern ist die Marktübersicht von Xamit, die “andere” mit insgesamt 1% angibt, schlicht falsch. Interessant ist in der gewichteten Übersicht auch, dass Omniture VOR etracker auf Platz zwei liegt, dicht gefolgt von den Anbietern Webtrekk, Webtrends und Nedstat. Nicht berücksichtigt wurden im übrigen Doppelbelegungen (GA und ein anderes Tool gleichzeitig).
In der Statistik der Top 100 ist etracker übrigens auf “ferner liefen” - was eindeutig zeigt, das Anwender etracker weniger als strategisches Tool verwenden.
Gruß,
Axel Amthor
@Axel Amthor
“In der Statistik der Top 100 ist etracker übrigens auf “ferner liefen” - was eindeutig zeigt, das Anwender etracker weniger als strategisches Tool verwenden.”
Das ist bereits eine qualitative Bewertung, die für das betrachtete Thema “Datenschutz” in dieser Form wenig relevant ist.
Es ist peinlich, dass Xamit ihre Zahlen nicht mit selbst mit Frank Reeses Ergebnissen abgeglichen haben, aber nach meiner Rechnung erfassen sie >96% des von Reese beobachteten Marktes.
Was ist an dem Screenshot denn personenbezogen? Ich sehe dort keine Information, die auf eine natürliche Person schließen lassen.
@Lars
Guter Punkt. Aber die Argumentation des Düsseldorfer Kreises der Datenschutzbeauftragten der Länder geht wie folgt:
Über eine IP-Adresse kann mithilfe der Daten beim Provider der Bezug zu einer Person hergestellt werden. Die Person muss nicht zwingend der “Surfer” sein, auch der “Anschlussinhaber” ist eine Person.
Insofern ist also eine IP Adresse ein “Personenbezogenes Datum”. Und daher ist diese zu löschen.
Der Screenshot soll nun zeigen, dass es Tools gibt, die im Gegensatz zum permanent angeprangerten G-A nicht nur IP Adressen anzeigen, sondern auch die damit verbundene Session aufschlüsseln.
In der angesprochenen Studie von Xamit wird Google Analytics (das keine IP Adressen anzeigen kann) als datenschutzrechtlich nicht konform, etracker aber (das IP Adressen anzeigen kann) als “einziges datenschutzkonformes Tool” angezeigt.
Hierbei geht es jetzt gar nicht darum, ob die datenschutzrechtlichen Bestimmungen eingehalten wurden oder nicht von dem einen oder dem anderen Hersteller, sondern dass die Xamit-Studie offensichtlich mit zweierlei Maß misst.
Dies ist der Diskussion um den Datenschutz und der Web-Analytics Branche nicht hilfreich.
Lieber Axel,
vielen Dank für Deine interessante Sichtweise auf die Studie.
Als “Berater” solltet Ihr an einer sachlichen Diskussion und nicht an einer falschen Emotionalisierung interessiert sein. Zu einer Versachlichung möchten wir gerne mit ein paar Fakten beitragen:
1. Auch wir sind überrascht, dass der Marktanteil unserer Marktbegleiter durch die von Xamit erhobene Stichprobe nicht groß genug ist, dass sie in der Studie berücksichtigt werden konnten. Die Krux mit Studien ist immer, dass diese NIE den gesamten Markt betrachten können und sich fokussieren müssen. Hier eben auf den Verbreitungsgrad der Systeme.
2. Wie Dir bekannt ist, zieht die Beauftragung eines Web-Analyse Dienstleisters immer eine “Datenverarbeitung im Auftrag” nach §11 BDSG nach sich. Hierbei bleibt der Auftraggeber stets verantwortlich für die datenschutzgemäße Verarbeitung seiner Daten. Wir liefern nur ein Werkzeug, mit dem sich der Websitebetreiber gesetzeskonform verhalten KANN und bieten daher unterschiedliche Optionen zum Datenschutzverhalten an. Der Vergleich mit dem Fahrer eines PKWs, der mit 240km/h in eine Baustelle mit 80km/h Beschränkung fährt, liegt nahe. Der PKW bremst nicht von alleine - dafür ist der Fahrer verantwortlich. Ähnlich verhält es sich mit unseren Produkte: Diese “bremsen” auch nicht automatisch ab, haben aber, im Gegensatz zu den in der Studie betrachteten Marktbegleitern, wenigstens eine gesetzeskonforme “Bremse”. Diese ist sehr wohl für etracker Kunden sehr gut dokumentiert als auch in unseren Datenschutz-FAQs aufgeführt. Insofern gibt es in Bezug auf etracker und den Datenschutz keinen “Annahmehorizont”, wie Du es darstellst, sondern schlicht Fakten, die jeder nachlesen kann.
3. Eure Betrachtung mit dem Screenshot ist nicht ganz korrekt, da alle dort aufgeführten Informationen im Einklang mit den Gesetzesauflagen sind. Die Ableitung, dass diese Daten bei GA nicht abgerufen werden können und daher GA “legaler” ist, ist schlicht Unsinn, da diese Daten keine datenschutzrechtliche Relevanz entfalten.
4. Bezüglich der vollständigen IP-Adresse (des Besuchers) verbietet uns der Düsseldorfer Kreis Beschluss, diese zu speicher oder zu verarbeiten. Eine illegale Verarbeitung liegt bereits bei der Verwendung der IP-Adresse vor, sofern sie vollständig (d.h. ungekürzt) zur Geo-Lokalisation herangezogen wird. Dies gilt im Übrigen für alle Verfahren, die eine vollständige IP-Adresse benötigen (z.B. Domain-Lookup, Provider-Analyse etc). Google wird bereits deshalb schon als illegal eingestuft, weil GA in dem Kunden zur Verfügung gestellten Google-Disclaimer klar wird, dass Google die vollständige IP-Adresse speichert: “…Die durch den Cookie erzeugten Informationen über Ihre Benutzung diese Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert…”.
Im Übrigen haben wir gemeinsam mit dem zuständigen Landesdatenschutzbeauftragten unsere Geo-Analyse überarbeitet und diese auf eine gesetzeskonforme Verarbeitung umgestellt.
Abschließend freut uns die Diskussion, die das Bewusstsein der Anwender für den Datenschutz schärft und dazu veranlasst, bei der Anbieterwahl genauer hinzusehen. Leider helfen hier auch keine TÜV-Siegel, denn die bekommen, wie die Studie zeigt, auch Unternehmen, die durch IP-Adressverarbeitung massiv gegen die Bestimmungen verstoßen. Hier ist sicher auch mehr Kontrolle durch die Aufsichtsbehörden gefragt - bis das aber passiert, ist der Anwender selbst gefordert.
Lieber Christian,
Deine Ausführungen 1. bis 3. unterstützen wir voll und ganz, wie man leicht in diesem Blog nachlesen kann. Zu 3. sei zu sagen, dass sowohl Google als auch etracker ‘behaupten’ keine IP Adressen zu speichern, dies von Xamit aber unterschiedlich bewertet wird. Ich spar mir mal jetzt die erneute Gebetsmühle Safe Harbour und TÜV-Siegel.
Bezüglich Punkt 4. gibt es durchaus differenzierte Sichtweisen, da auch der Düsseldorfer Kreis hier Interpretationen zulässt (noch). Diese werden offen in der Branche diskutiert und das ist gut so.
Mir ging es im Wesentlichen, wie bereits dargelegt, um den populistischen Tenor dieser “Studie”, die mit durchaus verbesserungswürdigen Thesen und Zahlenmaterialien der Branche keinen Gefallen tut. Datenschutz und Diskussion darüber ist wichtig, aber bitte fachlich richtig und mit belastbaren Zahlenmaterialien und ausgewogenen Bewertungen.
Danke für Deinen Beitrag,
Gruß,
Axel
Hallo Christian, hallo Axel,
mit Eurem ständigen aufeinander Einhacken und Rechthaben begeht Ihr mE genau den Fehler, den Ihr einvernehmlich dieser sogenannten Studie ankreidet: Ihr verunsichert den Anwender und bringt unsere Branche damit nicht unbedingt weiter. Wieso kann es denn nicht mal einen Roundtable der WA-Anbieter geben, der beschließt, endlich mal die eigentlichen Probleme anzugehen (zb zu wenig ausgebildete Fachkräfte, die mit den angebotenen Werkzeugen auch arbeiten können), statt Euch gebetsmühlenartig zu streiten, welches Tool jetzt den noch besseren Datenschutz/Geo-lookup/Usability/genauere Zahlen/günstigen Preis/…(endlose Liste) hat?
Oder ein Alternativ-Vorschlag: Macht doch ein geschlossenes Forum auf und stichelt dort aufeinander ein. Ich glaube die meisten Mit-Leser können diese “Aber bei uns ist das Gras grüner”-Debatte nicht mehr hören.
Aber andererseits, ok, macht ruhig weiter … das ist gut für wirklich unabhängige Berater.
Gruß
karsten
@karsten
Diesen Kommentar-Post kann ich nicht unkommentiert lassen. Der Autor hat mit der Forderung nach einem Roundtable sicherlich einen guten Beitrag geleistet und ich hoffe er wird von den Herstellern aufgegriffen.
Zur Klarstellung der anderen Punkte:
Wenn schon Kritik, dann bitte auch an den richtigen Adressaten, lieber Kommentator!
Hallo Axel,
zu 1. zumindest Berater und kein Hersteller, das ist mir durchaus bekannt. Und Ihr macht bestimmt einen guten Job. Aber …
… zu 2: allerdings themantisiert Du im Blogpost etracker, und zwar nicht als leuchtendes Beispiel, sonst hätte sich der Christian doch gar nicht gemeldet. Also krittelst Du doch an anderer Software rum. Was zu Verunsicherung führt. Das meine ich. WA-Neulinge (d.h. potentielle Käufer einer solchen Software) kennen doch die ganze Historie gar nicht und hören nur, wie sich alle gegenseitig “dissen”. Ich darf nur an die sogenannte Anbieter-Runde auf der Emetrics erinnern. Spassig für alle alten Hasen, aber die Zuschauer waren anschließend stark verunsichert. Wenig zielführend.
Dass die Studie Mist ist, ist doch offensichtlich.
zu 3. habt Ihr einen Juristen unter Vertrag? Oder wie beratet Ihr Eure Kunden zu diesem Thema?
zu 4. Fachkräftemangel, “So er denn existiert”?!? Wie kommen denn freie Berater an Anfragen von Dax-notierten Konzernen, die zwar für teuer Euros Omniture/coremetrics/wasauchimmer implementiert haben, aber keine Ahnung, was sie nun damit anfangen sollen? Ich könnte ohne Nachzudenken 10 große Unternehmen nennen ohne ausreichendes WA-Staffing, d.h. allein hier fehlen mindestens 20 bis 30 Leute (10 mal 2 bis 3, und das ist sehr knapp kalkuliert). Dir fallen bestimmt auch noch 10 oder mehr Unternehmen ein, so dass wir ganz schnell auf 100+ Stellen kommen die nicht besetzt werden können - weil es die Fachkräfte gar nicht gibt.
Deine Feststellung zur Diskussion (Datenschutz/Fachkräfte) ist natürlich richtig, weil das gar nichts miteinander zu tun hat.
5. schön.
Offensichtlich war mein Kommentar in seiner Polemik nicht ganz eindeutig und wenn ich Dir auf den Schlips getreten habe: Sorry. Meine Kritik hat sich nur an Deinem Post entladen. Grund: Siehe zu 2.)
Disclaimer: Man verstehe mein Post bitte allgemein und nicht explizit als Kritik an Contentmetrics oder Etracker.
@karsten
zu Punkt 3:
Der allgemeinen Ansicht zuwiderlaufend ist dies gar nicht erforderlich:
http://de.wikipedia.org/wiki/Rechtsdienstleistung#Deutschland
Ansonsten müsste ja auch jeder Datenschutzbeauftragte mindestens zugelassener Rechtsanwalt sein.
Hallo Axel,
sachlich richtig. Allerdings gibt es auch zwischen den Kategorien “Laie” und “Rechtsanwalt” noch mindestens die weiteren Kategorien “gefährliches Halbwissen” und “autodidaktisch geschulter Berater” … und offensichtlich auch “Web Analytics Berater mit Datenschutz-Expertise” …
Wie auch immer, ich habe in der Vergangenheit gelernt, von solchen Rechtsfragen lieber die Finger zu lassen. Aber wenn Ihr Euch das zutraut, bitteschön, ich will es Euch gar nicht ausreden.
Gruß
karsten
Gerne steht Nedstat einem Roundtable unter Web Analytics Anbietern zur Verfügung, um aktiv über Fachkräftemangel, Datenschutz, Optimierungsmaßnahmen etc. zu sprechen.
Gruß,
ralf haberich.
Web Analytics Europa