Webanalytics

Matomo ohne Einwilligung?

header-monitoring
service_matomo
Matomo (ehem. Piwik)
Der Analysedienst kann entweder über die Cloud oder lokal als Open-Source-Variante betrieben werden.
Sitz: Osnabrück, Niedersachsen, Deutschland
Kategorie: Webanalytics
Einordnung: Einwilligung bei Standardeinstellung via Consent Management Platform (CMP) erforderlich
Inhalt des Beitrags

    Was ist Matomo Analytics?

    Matomo, ehemals Piwik, ist ein kostenloses Analyse-Programm, das auf PHP basiert und eine MySQL-Datenbank nutzt, die du herunterlädst und auf dem eigenen Webserver installieren und hosten kannstDie Zählung von Besuchern wird mit JavaScript, Zählpixel, API oder einer Logdateianalyse vorgenommenAufgrund seiner datenschutzfreundlichen Einstellungsmöglichkeiten und einfachen Handhabe ist es ein beliebtes Analyse-Tool, welches bereits auf mehr als einer Million Websites in 200 Ländern eingesetzt wird.

    Nicht erst seit dem Wegfall des Privacy Shields – einem Datenschutzabkommen zwischen den USA und der EU – ist das Ausspielen von Google Analytics bei Datenschützern nicht gern gesehen und nur über die explizite Einwilligung von Website-Besuchern zulässig. Aus diesem Grund sind Unternehmen nun auf der Suche nach alternativen Analyse-Tools, die ihre Marketing-Strategien ohne Datenverluste wahren. Matomo ist ein bewährtes Tool, das zwar weniger Funktionen als Google Analytics bietet, aber für den durchschnittlichen Nutzer mehr als ausreicht.  

     

    Na, auf der Suche nach einem ganz bestimmten Service?

    Ziel erreicht! 🏁

    In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services - übersichtlich und digital!

    Expertenwissen und Profi-Tipps gibt's on top 😉

     

    Dataprocessing-Services (DPS)

    Brauche ich für Matomo die explizite Einwilligung meiner Webseiten-Besucher?

    Ja und Nein. Denn das kommt ganz auf die Voreinstellungen an. Bei den Standardeinstellungen von Matomo werden Cookies zur Analyse des Nutzerverhaltens auf dem Endgerät des Users ausgespielt. Mit den Standardeinstellungen ist Matomo also EinwilligungspflichtigEine Einwilligung muss beispielsweise über ein Consent-Management-Tool informiert, freiwillig, aktiv und vorherig erteilt werden.  

    Da der Respekt vor persönlichen Daten und der DSGVO zu Matomos Grundsätzen gehört, bietet das Tool viele Möglichkeiten, datenschutzfreundlich eingesetzt zu werden. Matomo ohne vorherige Zustimmung des Nutzers ausspielen zu können, ist bereits durch wenige, unkomplizierte Anpassungen möglich 

    Unser Cookiebox-Tipp: Anleitung zur datenschutzkonformen Nutzung – ohne Opt-In

    monitor

    Automatische Anonymisierung der IP von Website-Besuchern

    Die IP-Adresse stellt nach aktueller Rechtsauffassung ein personenbezogenes Datum dar und sollte daher anonymisiert werden. Dies kann mit dem Plugin “Privacy Manager” unter dem Menüpunkt “Einstellungen > Privatsphäre > Daten anonymisieren” geschehen. Zusätzlich sollte unbedingt bei den Datenschutzeinstellungen von Matomo die Einstellung “Also use anonymised IP when enriching visit aktiviert werden.  

    Den Einsatz von Cookies generell deaktivieren

    Einfach in den Einstellungen “alle Tracking Cookies deaktivieren” anklicken.  Oder: den JavaScript-Code mithilfe dieser Anleitung von Matomo anpassen. Diese Einstellung führt dazu, dass verbleibende Matomo-Cookies bei dem nächsten Aufruf der Seite automatisch gelöscht werden.  

    cmp-design
    dsb

    Der Informationspflicht nachkommen

    Auch wenn keine explizite Einwilligung mit diesen Einstellungen mehr nötig ist, müssen deine Website-Besucher über den Einsatz von Cookies informiert werden. Dies sollte mindestens in der Datenschutzerklärung geschehen. Wenn du ein Consent-Management-Tool (für andere Tools verwenden), kannst du auch hier Matomo aufführen. Da kein Consent nötig ist, reicht hier die Einstufung in die Kategorie “Essentiell” ohne Opt-Out-Möglichkeit.

    Rechtliche Grundlage für die Verarbeitung

    Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zählen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Gerät herauszufinden, zu verknüpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
    5. Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen

    IP-Adresse

    Beachte dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

    dsb

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    monitor

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusätzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berücksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Fazit: Gibt es verbleibende Risiken bei der cookielosen Nutzung von Matomo?

    Der Konsenz zur cookielosen und somit zustimmungsfreien Nutzung von Matomo Analytics auf Websites ist, dass ein Tool ohne Cookies keiner Einwilligung bedarf. Wenn die Privacy Einstellungen korrekt durchgeführt sind, spricht laut Datenschutzgrundverordnung (DSGVO) nichts dagegen. Dennoch bleibt die Frage, wie das Tool in einem Cookie-Banner einzuordnen ist: Auch wenn der Nutzer kein Opt-In erteilen muss, muss er die Möglichkeit eines Widerrufs/Opt-Outs, sprich einer Ablehnung seiner Profilerstellung (obwohl anonymisiert und nicht seitenübergreifend) bekommen?

    Aktuell gibt es zu dieser Frage keine Rechtssprechung oder bekannten Bußgeldverfahren. Daher sind unsere Datenschutzexperten der Meinung, dass mit dem Verbleib eines geringen Risikos, das Tool ohne Zustimmung und ohne der Möglichkeit einer Ablehnung datenschutzkonform ist.

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an