Matomo DSGVO
Matomo Analytics ohne Einwilligung
Die Frage nach der DSGVO-konformen Nutzung des Analyse-Tools und seine Vorteile gegenüber Google Analytics

Einordnung: Constent Management Platform (CMP)
Nicht erst seit dem Wegfall des Privacy Shields – einem Datenschutzabkommen zwischen den USA und der EU – ist das Ausspielen von Google Analytics bei Datenschützern nicht gern gesehen und nur über die explizite Einwilligung von Website-Besuchern zulässig. Aus diesem Grund sind Unternehmen nun auf der Suche nach alternativen Analyse-Tools, die ihre Marketing-Strategien ohne Datenverluste wahren. Matomo ist ein bewährtes Tool, das zwar weniger Funktionen als Google Analytics bietet, aber für den durchschnittlichen Nutzer mehr als ausreicht.
SEITENINHALT
Was ist Matomo Analytics?
Matomo, ehemals Piwik, ist ein kostenloses Analyse-Programm, das auf PHP basiert und eine MySQL-Datenbank nutzt, die du herunterlädst und auf dem eigenen Webserver installieren und hosten kannst. Die Zählung von Besuchern wird mit JavaScript, Zählpixel, API oder einer Logdateianalyse vorgenommen. Aufgrund seiner datenschutzfreundlichen Einstellungsmöglichkeiten und einfachen Handhabe ist es ein beliebtes Analyse-Tool, welches bereits auf mehr als einer Million Websites in 200 Ländern eingesetzt wird. Die Besonderheit von Matomo im Gegensatz zu Google Analytics ist, dass man es ohne die Einwilligung von Usern im Sinne der DSGVO nutzen kann und gewährt trotzdem die Sicherheit deiner Privatsphäre. Lese hier, wie es geht.
Was kostet Matomo?
Matomo ist genau wie Google Analytics ein in seinen Grundeinstellungen kostenloses Tool. Diverse Plugins kosten eine monatliche oder jährliche Lizenz. Auch eine Fremdserver-Lösung ist kostenpflichtig möglich. Dank seiner datenschutzfreundlichen Privacy-Einstellungsmöglichkeiten können Marketing Einnahmen auch ohne Einwilligung der Nutzer im Cookie Banner geschützt werden.
Matomo & DSGVO
Die Frage nach der DSGVO-konformen Nutzung von Matomo Analytics und der Darstellung im Cookie-Banner ist ein Streitpunkt im Datenschutz. Wir wollen hiermit sämtliche Fragen beantworten und die datenschutzkonforme Nutzung von Matomo erläutern.
Brauche ich für Matomo die explizite Einwilligung meiner Webseiten-Besucher?
Ja und Nein. Denn das kommt ganz auf die Voreinstellungen an. Bei den Standardeinstellungen von Matomo werden Cookies zur Analyse des Nutzerverhaltens auf dem Endgerät des Users ausgespielt. Mit den Standardeinstellungen ist Matomo also Einwilligungspflichtig. Eine Einwilligung muss beispielsweise über ein Consent-Management-Tool informiert, freiwillig, aktiv und vorherig erteilt werden.
Da der Respekt vor persönlichen Daten und der DSGVO zu Matomos Grundsätzen gehört, bietet das Tool viele Möglichkeiten, datenschutzfreundlich eingesetzt zu werden. Matomo ohne vorherige Zustimmung des Nutzers ausspielen zu können, ist bereits durch wenige, unkomplizierte Anpassungen möglich.
Eine Anleitung zur datenschutzkonformen Nutzung von Matomo – ohne Opt-In

AUTOMATISCHE ANONYMISIERUNG DER IP VON WEBSEITEN-BESUCHERN
Die IP-Adresse stellt nach aktueller Rechtsauffassung ein personenbezogenes Datum dar und sollte daher anonymisiert werden. Dies kann mit dem Plugin “Privacy Manager” unter dem Menüpunkt “Einstellungen > Privatsphäre > Daten anonymisieren” geschehen. Zusätzlich sollte unbedingt bei den Datenschutzeinstellungen von Matomo die Einstellung “Also use anonymised IP when enriching visit” aktiviert werden.

DEN EINSATZ VON COOKIE GENERELL DEAKTIVIEREN
Einfach in den Einstellungen “alle Tracking Cookies deaktivieren” anklicken. Oder: den JavaScript-Code mithilfe dieser Anleitung von Matomo anpassen. Diese Einstellung führt dazu, dass verbleibende Matomo-Cookies bei dem nächsten Aufruf der Seite automatisch gelöscht werden.

DER INFORMATIONSPFLICHT NACHKOMMEN
Auch wenn keine explizite Einwilligung mit diesen Einstellungen mehr nötig ist, müssen deine Website-Besucher über den Einsatz von Cookies informiert werden. Dies sollte mindestens in der Datenschutzerklärung geschehen. Wenn du ein Consent-Management-Tool (für andere Tools verwenden), kannst du auch hier Matomo aufführen. Da kein Consent nötig ist, reicht hier die Einstufung in die Kategorie “Essentiell” ohne Opt-Out-Möglichkeit.

Check your Website Compliance
Mach den Test mit unserem kostenlosen Quickscanner!
Vergleich von Matomo vs Google Analytics
- Matomo ermöglicht das Speichern der Daten auf eigenem Server / oder einem sicheren EU-Server und ist somit auch ohne Privacy Shield anwendbar
- Matomo basiert auf einer Open-Source-Sorftware: Das bedeutet, dass der Quelltext eingesehen, geändert und genutzt werden kann
- Matomo ist eine ethische Alternative zu Google Analytics, da keine personenbezogenen Daten an Dritte weitergegeben werden = Schutz von Nutzerdaten
- Die Nutzung von Matomo stärkt das Vertrauen der Nutzer und führt zu höheren Opt-In-Raten
- Matomo-Anwender vefügen über die volle Datenkontrolle
- Matomo kann ohne explizite Einwilligung (CMP) eingesetzt werden
- Matomo ermöglicht datenschutzfreundliche / datensparsame Einstellungsmöglichkeiten und eine Besucheranalyse ohne Cookies = DSGVO-konform
Warum ist eine Zustimmung bei Matomo nicht erforderlich?
- Die Daten werden bei Matomo für keinen anderen Zweck als für Analysezwecke verwendet. Im Gegensatz zu Google Analytics, das sie für andere Zwecke verwendet und daher immer der Zustimmung bedarf.
- Besucher werden im Vergleich zu Google Analytics nicht über verschiedene Websites verfolgt.
- Die Fingerabdrücke ändern sich täglich für jeden Besucher, was bedeutet, dass kein Besucher über Tage hinweg innerhalb derselben Website verfolgt wird und keine Benutzerprofile erstellt werden können, wenn Cookies deaktiviert sind.
Der LfDI hat sich dazu folgendermaßen geäußert:
[...] Eine Reichweitenanalyse funktioniert nämlich auch ohne Dritten (wie Google Analytics) Informationen über das Nutzungsverhalten der Website-Besucher weiterzugeben. Stattdessen kann eine Logfile-Analyse gemacht oder es können lokal installierte Analysewerkzeuge[1] ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg verwendet werden [...]. Auch diese müssen transparent dargestellt (vgl. Art. 12 ff. DSGVO) und datensparsam konfiguriert werden. Verantwortliche Seitenbetreiber ersparen sich damit den Aufwand für eine datenschutzrechtliche Untersuchung externer Dienste im Einzelfall und das Einholen der ausdrücklichen Einwilligung der Nutzer [...].
Du möchtest nicht auf Google Analytics verzichten?

Kein Problem. Nutze einfach beides! Wenn du auf bestimmte Funktionen, die Matomo nicht bietet, nicht verzichten möchtest, kann trotzdessen Google Analytics genutzt werden. Mit einem gut konfigurierten Cookie-Banner bekommst du auch hierfür das Opt-In der Nutzer. Allerdings ist die explizite Einwilligung durch den User im Falle von Google Analytics Pflicht und das Ausspielen kann im Zweifel abgelehnt werden. Sollte dies der Fall sein, hättst du immer noch die anonymisierten Daten von Matomo und könntest diese für Marketingzwecke nutzen.
Gibt es verbleibende Risiken bei der Cookielosen Nutzung von Matomo?
Der Konsenz zur cookielosen und somit zustimmungsfreien Nutzung von Matomo Analytics auf Websites ist, dass ein Tool ohne Cookies keiner Einwilligung bedarf. Wenn die Privacy Einstellungen korrekt durchgeführt sind, spricht laut Datenschutzgrundverordnung (DSGVO) nichts dagegen. Dennoch bleibt die Frage, wie das Tool in einem Cookie-Banner einzuordnen ist: Auch wenn der Nutzer kein Opt-In erteilen muss, muss er die Möglichkeit eines Widerrufs/Opt-Outs, sprich einer Ablehnung seiner Profilerstellung (obwohl anonymisiert und nicht seitenübergreifend) bekommen?
Aktuell gibt es zu dieser Frage keine Rechtssprechung oder bekannten Bußgeldverfahren. Daher sind unsere Datenschutzexperten der Meinung, dass mit dem Verbleib eines geringen Risikos, das Tool ohne Zustimmung und ohne der Möglichkeit einer Ablehnung datenschutzkonform ist.
Du hast Fragen?
Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:
