WEB-Compliance

Matomo Analytics ohne Einwilligung

13. April 2021

Inhalt der Seite

    Die Frage nach der DSGVO-konformen Nutzung des Analyse-Tools und seine Vorteile gegenüber Google Analytics

    Nicht erst seit dem Wegfall des Privacy Shields – einem Datenschutzabkommen zwischen den USA und der EU – ist das Ausspielen von Google Analytics bei Datenschützern nicht gern gesehen und nur über die explizite Einwilligung von Website-Besuchern zulässig.

    Aus diesem Grund sind Unternehmen nun auf der Suche nach alternativen Analyse-Tools, die ihre Marketing-Strategien ohne Datenverluste wahren. Matomo ist ein bewährtes Tool, das zwar weniger Funktionen als Google Analytics bietet, aber für den durchschnittlichen Nutzer mehr als ausreicht.

    Was ist Matomo Analytics?

    Matomo, ehemals Piwik, ist ein kostenloses Analyse-Programm, das auf PHP basiert und eine MySQL-Datenbank nutzt, die Sie herunterladen und auf Ihrem eigenen Webserver installieren und hosten. Die Zählung von Besuchernwird mit JavaScript, Zählpixel, API oder einer Logdateianalyse vorgenommen.

    Aufgrund seiner datenschutzfreundlichen Einstellungsmöglichkeiten und einfachen Handhabe ist es ein beliebtes Analyse-Tool, welches bereits auf mehr als einer Million Websites in 200 Ländern eingesetzt wird. Die Besonderheit von Matomo im Gegensatz zu Google Analytics ist, dass man es ohne die Einwilligung von Usern im Sinne der DSGVO nutzen kann und gewährt trotzdem die Sicherheit ihrer Privatsphäre.

    Was kostet Matomo?

    Matomo ist genau wie Google Analytics ein in seinen Grundeinstellungen kostenloses Tool. Diverse Plugins kosten eine monatliche oder jährliche Lizenz. Auch eine Fremdserver-Lösung ist kostenpflichtig möglich. Dank seiner datenschutzfreundlichen Privacy-Einstellungsmöglichkeiten können Marketing Einnahmen auch ohne Einwilligung der Nutzer im Cookie Banner geschützt werden.

    arrow-right

    DSGVO Beratung für Webseiten-Inhaber

    Jetzt datenschutzkonform werden!

    Matomo & DSGVO

    Die Frage nach der DSGVO-konformen Nutzung von Matomo Analytics und der Darstellung im Cookie-Banner ist ein Streitpunkt im Datenschutz. Wir wollen Ihnen hier sämtliche Fragen beantworten und die datenschutzkonforme Nutzung von Matomo erläutern.

    Brauche ich für Matomo die expliziete Einwilligung meiner Webseiten-Besucher?

    Ja und Nein. Denn das kommt ganz auf die Voreinstellungen an. Bei den Standardeinstellungen von Matomo werden Cookies zur Analyse des Nutzerverhaltens auf dem Endgerät des Users ausgespielt. Mit den Standardeinstellungen ist Matomo also Einwilligungspflichtig. Eine Einwilligung muss beispielsweise über ein Consent-Management-Tool informiert, freiwillig, aktiv und vorherig erteilt werden. 

    Da der Respekt vor persönlichen Daten und der DSGVO zu Matomos Grundsätzen gehört, bietet das Tool viele Möglichkeiten, datenschutzfreundlich eingesetzt zu werden. Matomo ohne vorherige Zustimmung des Nutzers ausspielen zu können, ist bereits durch wenige, unkomplizierte Anpassungen möglich 

    Eine Anleitung zur datenschutzkonformen Nutzung von Matomo-Analytics

    Automatische Anonymisierung der IP von Webseiten-Besuchern

    Die IP-Adresse stellt nach aktueller Rechtsauffassung ein personenbezogenes Datum dar und sollte daher anonymisiert werden. Dies kann mit dem Plugin “Privacy Manager” unter dem Menüpunkt “Einstellungen > Privatsphäre > Daten anonymisieren” geschehen. Zusätzlich sollte unbedingt bei den Datenschutzeinstellungen von Matomo die Einstellung “Also use anonymised IP when enriching visit” aktiviert werden.

    Den Einsatz von Cookies generell deaktivieren

    Einfach in den Einstellungen “alle Tracking Cookies deaktivieren” anklicken. Oder: den JavaScript-Code mithilfe dieser Anleitung von Matomo anpassen. Diese Einstellung führt dazu, dass verbleibende Matomo-Cookies bei dem nächsten Aufruf der Seite automatisch gelöscht werden.

    Der Informationspflicht nachkommen

    Auch wenn keine explizite Einwilligung mit diesen Einstellungen mehr nötig ist, müssen Sie Ihre Website-Besucher über den Einsatz von Cookies informieren. Dies sollte mindestens in der Datenschutzerklärung geschehen. Wenn Sie ein Consent-Management-Tool (für andere Tools verwenden), können Sie auch hier Matomo aufführen. Da kein Consent nötig ist, reicht hier die Einstufung in die Kategorie “Essentiell” ohne Opt-Out-Möglichkeit.

    Vergleich von Matomo vs Google Analytics

    • Matomo ermöglicht das Speichern der Daten auf eigenem Server / oder einem sicheren EU-Server und ist somit auch ohne Privacy Shield anwendbar
    • Matomo basiert auf einerOpen-Source-Sorftware: Das bedeutet, dass der Quelltext eingesehen, geändert und genutzt werden kann
    • Matomo ist eine ethische Alternative zu Google Analytics, da keine personenbezogenen Daten an Dritte weitergegeben werden = Schutz von Nutzerdaten
    • Die Nutzung von Matomo stärkt das Vertrauen der Nutzer und führt zu höherenOpt-In-Raten
    • Matomo-Anwender vefügen über die volle Datenkontrolle
    • Matomo kann ohne explizite Einwilligung (CMP) eingesetzt werden
    • Matomo ermöglicht datenschutzfreundliche / datensparsame Einstellungsmöglichkeiten und eine Besucheranalyse ohne Cookies = DSGVO-konform

    Warum ist eine Zustimmung bei Matomo nicht erforderlich?

    • Die Daten werden bei Matomo für keinen anderen Zweck als für Analysezwecke verwendet. Im Gegensatz zu Google Analytics, das sie für andere Zwecke verwendet und daher immer der Zustimmung bedarf. 
    • Besucher werden im Vergleich zu Google Analytics nicht über verschiedene Websites verfolgt. 
    • Die Fingerabdrücke ändern sich täglich für jeden Besucher, was bedeutet, dass kein Besucher über Tage hinweg innerhalb derselben Website verfolgt wird und keine Benutzerprofile erstellt werden können, wenn Cookies deaktiviert sind.

    Der LFDI hat sich dazu folgendermaßen geäussert:

    [...] Eine Reichweitenanalyse funktioniert nämlich auch ohne Dritten (wie Google Analytics) Informationen über das Nutzungsverhalten der Website-Besucher weiterzugeben. Stattdessen kann eine Logfile-Analyse gemacht oder es können lokal installierte Analysewerkzeuge[1] ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg verwendet werden [...]. Auch diese müssen transparent dargestellt (vgl. Art. 12 ff. DSGVO) und datensparsam konfiguriert werden. Verantwortliche Seitenbetreiber ersparen sich damit den Aufwand für eine datenschutzrechtliche Untersuchung externer Dienste im Einzelfall und das Einholen der ausdrücklichen Einwilligung der Nutzer [...].

    Sie möchten nicht auf Google Analytics verzichten?

    Kein Problem. Nutzen Sie einfach beides! Wenn Sie auf bestimmte Funktionen, die Matomo nicht bietet, nicht verzichten möchten, können Sie trotzdem Google Analytics nutzen. Mit einem gut konfigurierten Cookie-Banner bekommen Sie auch hierfür das Opt-In Ihrer Nutzer. Allerdings ist die explizite Einwilligung durch den User im Falle von Google Analytics Pflicht und das Ausspielen kann im Zweifel abgelehnt werden. Sollte dies der Fall sein, hätten Sie immer noch die anonymisierten Daten von Matomo und können diese für Ihre Marketingzwecke nutzen.

    • hilfe

      Wie können wir Ihnen helfen?

    Wir helfen Ihnen bei Fragen zu unseren Produkten oder zum Thema Datenschutz gerne weiter:

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Fazit

    Gibt es verbleibende Risiken bei der cookielosen Nutzung von Matomo?

    Der Konsenz zur cookielosen und somit zustimmungsfreien Nutzung von Matomo Analytics auf Websites ist, dass ein Tool ohne Cookies keiner Einwilligung bedarf. Wenn die Privacy Einstellungen korrekt durchgeführt sind, spricht laut Datenschutzgrundverordnung (DSGVO) nichts dagegen. Dennoch bleibt die Frage, wie das Tool in einem Cookie-Banner einzuordnen ist: Auch wenn der Nutzer kein Opt-In erteilen muss, muss er die Möglichkeit eines Widerrufs/Opt-Outs, sprich einer Ablehnung seiner Profilerstellung (obwohl anonymisiert und nicht seitenübergreifend) bekommen?

    Aktuell gibt es zu dieser Frage keine Rechtssprechung oder bekannten Bußgeldverfahren. Daher sind unsere Datenschutzexperten der Meinung, dass mit dem Verbleib eines geringen Risikos, das Tool ohne Zustimmung und ohne der Möglichkeit einer Ablehnung datenschutzkonform ist.