HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
Demo vereinbaren
Kostenlos starten
cookiebox logo
analyse

Plausible

Das datenfreundlichste Analysetool?

data processing services & kategorisierung
Plausible

Plausible

Simple Analytics – entweder als Cloud oder lokal geladene Variante.

  • Sitz: Tartu, Estland
  • Kategorie: Webanalytics
  • Rechtsgrundlage: Einwilligungsabfrage bei Standardeinstellung und Cloudbetrieb via Consent Management Plattform (CMP) erforderlich
Inhalt des Beitrags

Was ist Plausible Analytics?

Plausible ist ein Open Source Analyse-Programm, das durch seinen Ruf, das datenschutz- und benutzerfreundlichste Analyse-Tool zu sein, bekannt geworden ist. Das Programm lässt sich sowohl über die von Plausible selbst verwaltete Cloud Variante nutzen, als auch in einer vollständig datenschutzkonformen self-hostet-Variante. Die Zählung von Besuchern wird ausschließlich durch die übermittelte IP-Adresse und den User-Agent gewährleistet. Die Daten werden hierbei nicht gespeichert. Aus den Daten wird ein sog. Daily-Salt generiert, welcher genutzt wird, um den Nutzer als einzigartig zu identifizieren. Dieser Daily-Salt besteht jedoch nur für einen Tag und wir nach Tagesende wieder gelöscht – was bleibt ist der gemessene Traffic.
Aufgrund der datenschutzfreundlichen Funktionsweise und einfachen Handhabe ist Plausible ein beliebtes und empfehlenswertes Analyse-Tool unter Datenschützern, welches alleinstehend auch ohne eine Zustimmungsabfrage auskommen kann.  

Brauche ich für Plausible eine explizite Einwilligung meiner Webseiten-Besucher?

Ja und Nein. Das kommt ganz darauf an, ob du Plausible als Cloud-Variante oder self-hosted verwendest. Bei der Cloud-Variante von Plausible, besteht weiterhin die Datenverbindung zu den Plausible Servern, für welche strenggenommen eine Einwilligung notwendig ist. In dieser Variante ist Plausible also einwilligungspflichtig
Eine informierte, freiwillige und aktive Einwilligung müsste somit beispielsweise über ein Consent-Management-Tool vor Nutzung erteilt werden. 

Solltest du Plausible auf deinem eigenen Server hosten, ist Plausible nicht einwilligungspflichtig. Du musst dennoch über dessen Nutzung in deiner Datenschutzerklärung oder Consent-Management-Tool informieren.

Na, auf der Suche nach einem ganz bestimmten Service?

Ziel erreicht! 🏁 

In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!

Expertenwissen und Profi-Tipps gibt’s on top 😉

Zur Cookiepedia-Übersicht
data processing services

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

Cookies

Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:


  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon

IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon

Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon

Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

Plausible muss Bestandteil deiner Datenschutzerklärung sein!

Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!

Fazit: Gibt es verbleibende Risiken bei der Nutzung von Plausible?

Der Konsens zur Nutzung von Plausible auf Websites ist, dass ein Tool ohne Cookies und ohne jegliche Form der Datenspeicherung von personenbezogenen Daten, keiner Einwilligung bedarf. 
Dennoch bleibt die Frage offen, wie das Tool in einem Cookie-Banner einzuordnen ist:
Auch wenn der Nutzer kein Opt-In erteilen muss, muss er die Möglichkeit eines Widerrufs/Opt-Outs, sprich einer Ablehnung seiner Profilerstellung (obwohl anonymisiert und nicht seitenübergreifend) bekommen?

Unserer Meinung nach ist es immer notwendig, den Nutzern im Falle einer Profilerstellung, auch wenn diese in diesem Fall nicht auf die natürliche Person selbst zurückzuführen ist, die Möglichkeit zu geben, dieser zu widersprechen. 
Dementsprechend empfehlen wir sowohl bei der Cloud-Variante als auch dann, wenn das Tool self-hostet eingebunden wird, immer eine Einwilligung der Nutzer einzuholen.

 

Plausible

Du hast Fragen?

Kontaktiere uns  gerne für ein unverbindliches Erstgespräch:

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

Erich Panihin

Erich Panihin

CEO & Head of Product

sales@cookiebox.pro
Telefon:
Kostenlos testen
Preise & Pakete
Pakete & Preise
Kostenlos testen
cookiebox logo