Was ist mit Google Analytics, Matomo/PiwiK, Facebook/Twitter-Plugins
Oft liest man in den Datenschutzerklärungen, die Seite verwende z.B. Facebook-Plugins. Was ist denn so ein Plugin - und wie finde ich heraus, ob es verwendet wird?
Ein Plugin ist in diesen Fällen Code, der in die Webseite eingebunden wird - und dann Daten von einer externen Datenquelle, zum Beispiel Google oder Facebook nachlädt. Ohne dieses Nachladen wäre die Anzeige von "121 Facebook-User mögen diesen Beitrag" nicht möglich, da die Anzahl der Facebook-User in diesem Beispiel ja irgendwie ermittelt werden muss - wozu die Webseite mit Facebook kommunizieren, und die Daten von dort nachladen muss.
Schau Dir doch mal diesen Beispiel-Code für ein Facebook-Plugin hier an.
Ein einfacher Link auf eine URL bei Facebook ist dagegen kein Plugin. Plugins und Links werden aber oft verwechselt, viele Webmaster wissen auch nicht, dass man sich Facebook, Twitter und co. ganz offizielle Logos herunterladen und direkt als lokale (intern) gespeicherte Grafik-Datei in die Webseite einbinden und entsprechend verlinken kann.
Beim Thema Google Analytics, Matomo und co erfolgt die Einbindung oft durch ein Javascript oder ein Bild, welches man in den Developer-Tools findet. Allerdings bedeutet das Fehlen einer sichtbaren Datenquelle zu Tracking-Tools, wie Matomo/Piwiki, nicht, dass im Hintergrund nicht Logfiles auf Web-Server-Ebene ausgewertet werden. Diese Auswertemöglichkeiten beziehen sich dann aber nur auf die Daten, die im Webserver-Log landen, die Einbindung per Javascript ist in der Regel deutlich leistungsfähiger.
Bei Webseiten ohne Login sind es in der Regel die IP-Adressen, die hier im Logfile problematisch sind, da sie als personenbezogenes Datum gelten. Ich rate zu einer Webserver-Konfiguration, bei der diese gar nicht erst vollständig im Log-File landen. Anchließend sollte man noch im Einzelfall prüfen, ob andere personenbezogene Daten im Log landen, was ich bei einer Standard-Webseite aber für unwahrscheinlich halte.
Beispiel eines WebServer-Logs, bei dem ein Teil der IPv4-Adresse anonymisiert (durch Nullen ersetzt) wurde:
2.204.0.0 www.andrehotzler.de - [06/Feb/2019:03:17:26 +0100] "GET /de/blog/technology/59-joomla-und-die-dsgvo-cookies-und-externe-datenquellen.html?showall=1 HTTP/1.1" 200 8575 "https://www.google.de/" "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:65.0) Gecko/20100101 Firefox/65.0" 1147 13345
Fazit
Ob Du Änderungen an der Webseite vornehmen musst, ob Du bestimmte Sachverhalte dokumentieren musst, dafür eine Zustimmung brauchst - und so weiter und so fort... dazu kann der Artikel keine Aussage treffen, erfahrungsgemäß stellen Anwälte und Datenschützer aber genau diese Fragen, um dann eine passende Datenschutzerklärung zu erstellen und/oder Änderungen zu verlangen.
Mit den hier beschriebenen Methoden habe ich Dich hoffentlich in die Lage versetzt, die eingangs erwähnte Frage: "Welche Cookies werden denn gesetzt und welche externen Datenquellen verwende ich (bzw. meine Webseite)?" kompetent beantworten zu können.