Mato­mo gilt schon lan­ge als die siche­re Tracking-Alternative zum gro­ßen Markt­füh­rer. Wäh­rend nach aktu­el­ler Rechts­la­ge von den meis­ten Tracking- und Analysesoftware-Anbietern immer noch ein Cookie-Banner ver­langt wird, ver­spricht Mato­mo das Gegen­teil. Bei rich­ti­ger Imple­men­tie­rung sei kei­ne Ein­wil­li­gung und damit kein Cookie-Banner erforderlich. 

Setzt man die Ein­stel­lun­gen um, kön­nen kei­ne Nut­zer­sta­tis­ti­ken erstellt wer­den und es erfolgt kein Track­ing über meh­re­re Web­sei­ten hin­weg. Damit wären alle Vor­aus­set­zun­gen, die zu einem ein­wil­li­gungs­pflich­ti­gen Track­ing füh­ren, nicht erfüllt.” – Eileen Binder

Die Rechts­la­ge hin­sicht­lich des Ein­sat­zes von Coo­kies ist nach wie vor unein­deu­tig, umstrit­ten und noch nicht zu Ende gere­gelt. Die neue ePrivacy-Verordnung lässt auf sich war­ten und es hat fast den Anschein als wür­den auch Gerich­te den grund­le­gen­den Fra­gen rund um Coo­kies so gut es geht aus­wei­chen. In einem ver­gan­ge­nen Bei­trag haben wir über das neue GA 4 berich­tet (Hier geht’s zum Bei­trag). In die­sem Bei­trag soll es um die Fra­ge gehen, ob Mato­mo daten­schutz­kon­form und ohne Ein­wil­li­gung genutzt wer­den kann.

Grund­satz der Cookie-Einwilligungen

Wann Coo­kies ein­wil­li­gungs­pflich­tig sind, ist immer noch nicht ein­deu­tig geklärt. Das gilt auch für die Fra­gen, wel­che Coo­kies ein­wil­li­gungs­pflich­tig sind. Der Zweck des Coo­kies und das Umfeld, in dem es genutzt wird, spielt eben­falls eine Rolle.

Die Daten­schutz­kon­fe­renz (DSK) hat in der Ori­en­tie­rungs­hil­fe für Anbie­ter von Tele­me­di­en vom März 2019 (Hier geht’s zur Ori­en­tie­rungs­hil­fe) einen recht brauch­ba­ren Ansatz gelie­fert, wann Coo­kies ein­wil­li­gungs­pflich­tig sind. Danach sind drei Vor­aus­set­zun­gen ausschlaggebend:

  • Es wer­den Nut­zer­sta­tis­ti­ken erstellt, die Rück­schlüs­se auf ein­zel­ne Nut­zer zulassen.
  • Es erfolgt ein Track­ing über meh­re­re Web­sei­ten, Apps und Diens­te hinweg.
  • Die erho­be­nen Daten wer­den Drit­ten zugäng­lich gemacht.

Die DSK hält in der Ori­en­tie­rungs­hil­fe jedoch den Ein­satz von Coo­kies auch ohne Ein­wil­li­gung für mög­lich. Näm­lich dann, wenn die oben genann­ten drei wesent­li­chen Vor­aus­set­zun­gen alle­samt nicht vor­lie­gen. Das kann erreicht wer­den, indem eine Ana­ly­se­soft­ware ohne Ein­bin­dung Drit­ter lokal auf den eige­nen Ser­vern imple­men­tiert wird. Der Ein­satz einer ent­spre­chen­den Soft­ware ist dann auf Grund­al­ge des berech­tig­ten Inter­es­ses mög­lich und nennt sich Reichweitenmessung.

Hier liegt nun der gro­ße Unter­schied zwi­schen Goog­le Ana­ly­tics und Matomo.

Mato­mo ist eine Open Source-Software. Das hat den gro­ßen Vor­teil, dass das Sys­tem fle­xi­bel kon­fi­gu­riert und lokal auf den eige­nen Ser­vern instal­liert wer­den kann. Der Track­ing­code kann ein­fach modi­fi­ziert wer­den. Der Anbie­ter oder ande­re Drit­te erhal­ten dadurch kei­ne Daten, die für eige­ne Zwe­cke genutzt wer­den könn­ten. Damit wäre eine der oben genann­ten Bedin­gun­gen nicht erfüllt.

Daten­schutz­kon­for­me Anwen­dung von Matomo

Den­noch wer­den bei der Nut­zung von Mato­mo Coo­kies gesetzt. Die­se sind stan­dard­mä­ßig als Tracking-Cookies aus­ge­stal­tet. Das Track­ing kann gene­rell deak­ti­viert wer­den. Über diver­se Ein­stel­lungs­mög­lich­kei­ten lässt sich der Daten­schutz wei­ter ver­bes­sern, z.B.:

  • IP-Anonymisierung durch die letz­ten zwei bis drei Bytes (emp­foh­len)
  • Dadurch auch Geo­lo­ka­li­sie­rung einschränken
  • Do-not-Track akti­vie­ren
  • Wider­spruchs­mög­lich­keit ein­stel­len (Hier geht’s zum Mato­mo Opt-Out)
  • Regel­mä­ßi­ge Löschung alter Daten einstellen
  • Mato­mo in der Datenschutz-Information für die Web­site erwähnen

Setzt man die Ein­stel­lun­gen um,  kön­nen kei­ne Nut­zer­sta­tis­ti­ken erstellt wer­den und es erfolgt kein Track­ing über meh­re­re Web­sei­ten hin­weg. Damit wären alle Vor­aus­set­zun­gen, die zu einem ein­wil­li­gungs­pflich­ti­gen Track­ing füh­ren, nicht erfüllt.

Der Über­blick erfolgt nur stich­wort­ar­tig und ist kei­nes­falls abschlie­ßend. Für die daten­schutz­kon­for­me Nut­zung von Mato­mo sind ggf. noch mehr Ein­stel­lungs­schrit­te erfor­der­lich. Deren Dar­stel­lung wür­de den Rah­men des Bei­trags spren­gen. Mato­mo selbst bie­tet auf sei­ner Web­site vie­le Hil­fe­stel­lun­gen und Hin­wei­se zur daten­schutz­kon­for­men Kon­fi­gu­ra­ti­on (Hier geht’s zu Mato­mo).

Device Fin­ger­prin­ting

Ver­ein­zelt regt sich die Sor­ge um das Device Fin­ger­prin­ting, das auch ohne Coo­kies mög­lich ist und des­sen tracking-ähnlicher Ein­satz einer ein­wil­li­gungs­lo­sen Ver­wen­dung ent­ge­gen­ste­hen könnte.

Device Fin­ger­prin­ting bezeich­net die Mög­lich­keit vom ver­wen­de­ten End­ge­rät des Nut­zers Infor­ma­tio­nen (etwa den Gerä­te­typ, die Gerä­te­leis­tung, das Betriebs­sys­tem, etc.) so aus­zu­le­sen und zusam­men­zu­füh­ren, dass durch die­se rein gerä­te­be­zo­ge­nen Infor­ma­tio­nen ein ein­zig­ar­ti­ger „Geräte-Fingerabdruck“ erstellt wird. Die­ser ermög­licht es, das Gerät trotz deak­ti­vier­ter Coo­kies sei­ten­über­grei­fend wiederzuerkennen.

Doch auch hier hat Mato­mo nach­ge­ar­bei­tet. Laut eige­ner Aus­sa­ge (Hier geht’s zur Aus­sa­ge) ändern sich die Fin­ger­ab­drü­cke täg­lich. Das bedeu­tet, dass Nut­zer nicht mehr über meh­re­re Web­sei­ten hin­weg nach­ver­folgt bzw. wie­der­erkannt wer­den kön­nen und dadurch kein Nut­zer­pro­fil erstellt wer­den kann. Auch dann, wenn Coo­kies deak­ti­viert sind.

Zweck der Verarbeitung

Der Ver­gleich zu Goog­le Ana­ly­tics hält nur solan­ge Stand, wie sich die Inter­es­sen der Anwen­der über­schnei­den. Ob Mato­mo als ech­te Alter­na­ti­ve zu Goog­le Ana­ly­tics funk­tio­niert, hängt ein­zig vom Zweck ab, zu dem das Sys­tem genutzt wer­den soll.  Liegt der Zweck in der Ana­ly­se des Nut­zer­ver­hal­tens (unab­hän­gig vom Nut­zer­pro­fil), in der Ver­bes­se­rung der Website-Performance und möch­te man die Inhal­te ste­tig der Ziel­grup­pe anpas­sen und ver­bes­sern, so reicht ein hüb­sches Bün­del an anony­men, agg­re­gier­ten Daten, die trotz ihrer Abs­trakt­heit einen Rück­schluss auf das Nut­zungs­ver­hal­ten auf der eige­nen Web­site zulas­sen. Mato­mo könn­te die rich­ti­ge Wahl sein. Goog­le Ana­ly­tics ist in der Kon­fi­gu­ra­ti­on hin­ge­gen nicht so fle­xi­bel und will es viel­leicht auch gar nicht sein. Goog­le Ana­ly­tics steht per se für Online-Marketing und Konversion-Tracking und eig­net sich bes­ser für umfas­sen­de Nut­zer­ana­ly­sen, um Mar­ke­ting­zwe­cke zu verfolgen.

Es ist daher zu emp­feh­len den Zweck von Mato­mo gut zu doku­men­tie­ren, um im Ernst­fall Auf­sichts­be­hör­den gegen­über ver­tre­ten zu kön­nen, dass kei­ne Mar­ke­ting­zwe­cke ver­folgt wer­den sollen.

Es soll­te jedoch beach­tet wer­den, dass die Ver­wen­dung von Funk­tio­nen wie die E‑Commerce-Verfolgung oder die Benutzer-ID sehr wahr­schein­lich zu einer Ein­wil­li­gung füh­ren. Wer­den neben Mato­mo wei­te­re Sys­te­me von Dritt­an­bie­tern ver­wen­det, die Coo­kies set­zen, kann den­noch ein Cookie-Banner erfor­der­lich sein.

Fazit

Mit Mato­mo ist es durch­aus mög­lich Nut­zer­sta­tis­ti­ken und Ver­hal­tens­da­ten auf der eige­nen Web­site zu sam­meln, ohne zuvor eine Ein­wil­li­gung der Nut­zer ein­zu­ho­len. Es ist dann von einer Reich­wei­ten­mes­sung und nicht von einem Track­ing die Rede. Dass sich Mato­mo als ech­te Alter­na­ti­ve zu Goog­le Ana­ly­tics eig­net und anders als der Markt­füh­rer ohne Ein­wil­li­gung genutzt wer­den kann, erklä­ren auch der Zusam­men­schluss der deut­schen Auf­sichts­be­hör­den und die fran­zö­si­che Auf­sichts­be­hör­de CNIL, die das Sys­tem als Tool lis­ten, dass vol­le Daten­schutz­kon­for­mi­tät gewähr­leis­ten kann. Um das zu errei­chen ist jedoch bei der Kon­fi­gu­ra­ti­on von Mato­mo peni­bel genau dar­auf zu ach­ten, dass alle daten­schutz­kon­for­men Ein­stel­lun­gen umge­setzt sind und die Nut­zer mit den erfor­der­li­chen Infor­ma­tio­nen auf der Web­site ver­sorgt wer­den. Nur dann ist für den Ein­satz von Mato­mo kein Ban­ner erforderlich.

Der Bei­trag stellt nur eine Moment­auf­nah­me unter der aktu­el­len Rechts­auf­fas­sung dar. Ände­run­gen kön­nen sich in der schnell­le­bi­gen DSGVO-Welt jeder­zeit ergeben. 

Was Sie noch interessieren könnte:

AI-Act – ein Überblick

20. Juni 2024|

Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. […]

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz