Burst Statistics wirbt damit, datenschutzfreundlich zu sein – und das stimmt mit einer kleinen Ausnahme. Die Daten bleiben tatsächlich auf deinem eigenen Server, kein externes Tracking, kein Datentransfer ins Ausland. Trotzdem beginnt das Plugin nach der Aktivierung sofort damit, nicht nur Besucherdaten zu erfassen, sondern auch Cookies zu setzen.
Was das für deinen Cookie-Banner und deine Datenschutzerklärung bedeutet, erfährst du in diesem Artikel.
Was ist Burst Statistics?
Burst Statistics ist ein WordPress-Plugin für Website-Analysen. Es zeigt dir, wie viele Besucher auf deiner Website waren, welche Seiten sie aufgerufen haben und woher sie kamen – direkt im WordPress-Dashboard, ohne externen Dienst wie Google Analytics. Das Plugin richtet sich an Website-Betreiber, die Besucherstatistiken einfach und ohne Drittanbieter-Konto verwalten wollen.
Datenschutz und Burst Statistics auf einen Blick
| Punkt | Bewertung |
|---|---|
| Rechtsgrundlage | Einwilligung (bei Cookie-Tracking); berechtigtes Interesse möglich (bei cookielosem Tracking – rechtlich umstritten) |
| Einwilligung / Cookie-Banner nötig | Ja – im Standardbetrieb mit Cookie |
| Auftragsverarbeitungsvertrag (AVV) | Nicht erforderlich – kein externer Auftragsverarbeiter |
| Drittlandtransfer | Nein – alle Daten bleiben lokal auf deinem Server |
| Datenschutzerklärung erforderlich | Ja |
| Risikostufe | Niedrig bis mittel – abhängig von der gewählten Tracking-Methode |
Datenverarbeitung
Welche Daten erfasst Burst Statistics?
Burst Statistics beginnt nach der Aktivierung sofort mit dem Tracken von Besucherstatistiken – standardmäßig mit einem Cookie namens burst_uid. Dieses Cookie speichert eine anonyme ID im Browser des Besuchers und bleibt dort einen Monat lang gespeichert. Zusätzlich legt Burst folgende Daten in deiner WordPress-Datenbank ab:
- Seitenaufrufe (Pageviews)
- Sitzungen (Sessions)
- Besucher und Wiederkehrerkennung über die Cookie-ID
- Verweisquellen (Referrers)
- Gerätekategorie und Browser-Informationen (Device Stats)
- Absprungrate (Bounce Rate) und Sitzungsdauer
Das Cookie von Burst Statistics gilt datenschutzrechtlich als personenbezogene Daten, weil es einzelne Besucher über mehrere Seitenaufrufe hinweg identifizierbar macht – auch wenn keine direkte Zuordnung zu einem Namen möglich ist.
Wenn du in den Einstellungen auf Cookie-freies Tracking umstellst, entfällt das Cookie – stattdessen erzeugt Burst einen Fingerprint-Hash aus Browser- und Gerätesignalen. Auch dieser Hash zählt als personenbezogenes Datum und landet dauerhaft in deiner Statistikdatenbank, solange du keine automatische Löschung einrichtest.
Mit der Pro-Version kommen weitere Felder hinzu: UTM-Kampagnendaten, Geodaten bis auf Stadt- und Regionsebene sowie WooCommerce-Verkaufsdaten und Umsatzzuordnung. Diese Funktionen sind im kostenlosen Plugin nicht enthalten.
Einen Drittlandtransfer gibt es nicht. Burst überträgt keine Daten an externe Server – alles bleibt auf deinem eigenen Hosting. Auch einen externen Auftragsverarbeiter gibt es nicht; Burst Statistics verarbeitet nichts im Auftrag, sondern stellt dir nur das Werkzeug bereit.
Und standardmäßig speichert Burst Statistikdaten ohne Ablaufdatum – bis du die automatische Archivierung oder Löschung aktivierst.
Cookie-Banner
Brauchst du einen Cookie-Banner für Burst Statistics?
Im Standardbetrieb mit Cookie-Tracking: ja. Das Cookie burst_uid dient dem Tracking von Besucherverhalten und fällt damit unter die Einwilligungspflicht. Du musst Besucher vor dem Setzen dieses Cookies um Erlaubnis fragen – das geht nur über einen funktionierenden Cookie-Banner.
Burst Statistics bringt selbst keinen Cookie-Banner mit. Du brauchst dafür ein separates Plugin wie Complianz oder Real Cookie Banner. In der Burst-Dokumentation findest du dazu eine eigene Anleitung zur Integration mit gängigen Cookie-Banner-Plugins. Dort ist auch dokumentiert, unter welcher Kategorie das Cookie einzutragen ist: „Statistik“ mit dem Zweck „Interaktionen lokal zu speichern und zu verfolgen“.
Wenn du auf Cookie-freies Tracking umstellst, entfällt das Cookie. Ob du dann noch einen Banner brauchst, hängt davon ab, wie das Fingerprinting datenschutzrechtlich bewertet wird – und das ist aktuell nicht abschließend geklärt. Sicherer ist es, den Banner auch beim cookiefreien Tracking beizubehalten.
Datenschutzerklärung
Was muss in die Datenschutzerklärung?
Weil Burst Statistics Besucherdaten erfasst und speichert, gehört ein entsprechender Abschnitt in deine Datenschutzerklärung. Dort gehört idealerweise rein:
- dass du ein Analytics-Plugin verwendest, das Besucherstatistiken lokal speichert
- welche Daten erfasst werden (z. B. Seitenaufrufe, Gerätekategorie, anonyme Besucher-ID)
- zu welchem Zweck die Daten verarbeitet werden (Website-Analyse)
- auf welcher Rechtsgrundlage du das tust (bei Cookie-Tracking: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO; bei cookielosem Tracking: ggf. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO – hier empfiehlt sich eine Einzelfallprüfung)
- wie lange die Daten gespeichert werden
- dass die Daten auf deinem eigenen Server gespeichert und nicht an Dritte weitergegeben werden
Textvorschlag für die Datenschutzerklärung:
Wir nutzen für unsere Website das Datenanalyse-Tool Burst Statistics. Dienstanbieter ist das niederländische Unternehmen Burst Statistics BV, CoC 85105147, H. W. Mesdagstraat 22, 9718 HH, Groningen Niederlande.
Mehr über die Daten, die durch die Verwendung von Burst Statistics verarbeitet werden, erfahren Sie in der Datenschutzerklärung auf https://burst-statistics.com/legal/privacy-statement-eu/?tid=331778065996.
Wenn du die Pro-Version nutzt und Geodaten oder WooCommerce-Tracking aktiviert hast, musst du auch diese Verarbeitungen beschreiben.
Auftragsverarbeitung
Brauchst du einen Auftragsverarbeitungsvertrag?
Nein. Burst Statistics ist kein externer Dienstleister, der Daten in deinem Auftrag verarbeitet. Das Plugin läuft auf deinem eigenen Server, die Statistikdaten bleiben in deiner eigenen WordPress-Datenbank, und Burst Statistics B.V. sieht diese Daten nicht. Ein Auftragsverarbeitungsvertrag (AVV) ist für den Standardbetrieb nicht erforderlich.
Typische Fehler bei Burst Statistics
Der häufigste Fehler ist, das Plugin zu aktivieren und davon auszugehen, dass „lokal = kein Datenschutzproblem“. Burst beginnt sofort mit dem Setzen von Cookies und dem Speichern von Besucherdaten – ohne Konfiguration, ohne Banner, ohne Eintrag in der Datenschutzerklärung. Wer das Plugin einfach aktiviert und nichts weiter tut, hat zumindest bei der Cookie-Banner-Pflicht eine Lücke.
Ein weiterer Fehler ist die fehlende Speicherdauer. Standardmäßig löscht Burst keine alten Statistikdaten. Die Daten bleiben dauerhaft in der Datenbank, bis du die automatische Archivierung oder Löschung aktivierst. Das widerspricht dem Grundsatz der Datensparsamkeit aus der DSGVO, nach dem Daten nicht länger gespeichert werden sollen, als es der Zweck erfordert.
Und zuletzt: Wer auf Cookie-freies Tracking umstellt, sollte nicht einfach den Cookie-Banner entfernen. Der Fingerprint-Hash ist ebenfalls ein personenbezogenes Datum, und die rechtliche Einordnung des cookielosen Trackings ist nicht abschließend geklärt.
Nächste Schritte
Was musst du jetzt konkret tun?
- Cookie-Banner einrichten oder prüfen: Das Cookie
burst_uidmuss unter der Kategorie „Statistik“ eingetragen sein und darf erst nach Einwilligung gesetzt werden. - Datenschutzerklärung ergänzen: Füge einen Abschnitt zu Burst Statistics hinzu, der Zweck, Datenfelder, Rechtsgrundlage und Speicherdauer beschreibt.
- Automatische Datenlöschung einrichten: Gehe in Burst Statistics → Einstellungen und aktiviere die automatische Löschung alter Statistikdaten, z. B. nach 12 oder 24 Monaten.
- Pro-Funktionen prüfen: Wenn du Geodaten, UTM-Tracking oder WooCommerce-Tracking nutzt, müssen diese Verarbeitungen zusätzlich in der Datenschutzerklärung stehen.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
