Matomo gilt schon lange als die sichere Tracking-Alternative zum großen Marktführer. Während nach aktueller Rechtslage von den meisten Tracking- und Analysesoftware-Anbietern immer noch ein Cookie-Banner verlangt wird, verspricht Matomo das Gegenteil. Bei richtiger Implementierung sei keine Einwilligung und damit kein Cookie-Banner erforderlich.
“Setzt man die Einstellungen um, können keine Nutzerstatistiken erstellt werden und es erfolgt kein Tracking über mehrere Webseiten hinweg. Damit wären alle Voraussetzungen, die zu einem einwilligungspflichtigen Tracking führen, nicht erfüllt.” – Eileen Binder
Die Rechtslage hinsichtlich des Einsatzes von Cookies ist nach wie vor uneindeutig, umstritten und noch nicht zu Ende geregelt. Die neue ePrivacy-Verordnung lässt auf sich warten und es hat fast den Anschein als würden auch Gerichte den grundlegenden Fragen rund um Cookies so gut es geht ausweichen. In einem vergangenen Beitrag haben wir über das neue GA 4 berichtet (Hier geht’s zum Beitrag). In diesem Beitrag soll es um die Frage gehen, ob Matomo datenschutzkonform und ohne Einwilligung genutzt werden kann.
Grundsatz der Cookie-Einwilligungen
Wann Cookies einwilligungspflichtig sind, ist immer noch nicht eindeutig geklärt. Das gilt auch für die Fragen, welche Cookies einwilligungspflichtig sind. Der Zweck des Cookies und das Umfeld, in dem es genutzt wird, spielt ebenfalls eine Rolle.
Die Datenschutzkonferenz (DSK) hat in der Orientierungshilfe für Anbieter von Telemedien vom März 2019 (Hier geht’s zur Orientierungshilfe) einen recht brauchbaren Ansatz geliefert, wann Cookies einwilligungspflichtig sind. Danach sind drei Voraussetzungen ausschlaggebend:
- Es werden Nutzerstatistiken erstellt, die Rückschlüsse auf einzelne Nutzer zulassen.
- Es erfolgt ein Tracking über mehrere Webseiten, Apps und Dienste hinweg.
- Die erhobenen Daten werden Dritten zugänglich gemacht.
Die DSK hält in der Orientierungshilfe jedoch den Einsatz von Cookies auch ohne Einwilligung für möglich. Nämlich dann, wenn die oben genannten drei wesentlichen Voraussetzungen allesamt nicht vorliegen. Das kann erreicht werden, indem eine Analysesoftware ohne Einbindung Dritter lokal auf den eigenen Servern implementiert wird. Der Einsatz einer entsprechenden Software ist dann auf Grundalge des berechtigten Interesses möglich und nennt sich Reichweitenmessung.
Hier liegt nun der große Unterschied zwischen Google Analytics und Matomo.
Matomo ist eine Open Source-Software. Das hat den großen Vorteil, dass das System flexibel konfiguriert und lokal auf den eigenen Servern installiert werden kann. Der Trackingcode kann einfach modifiziert werden. Der Anbieter oder andere Dritte erhalten dadurch keine Daten, die für eigene Zwecke genutzt werden könnten. Damit wäre eine der oben genannten Bedingungen nicht erfüllt.
Datenschutzkonforme Anwendung von Matomo
Dennoch werden bei der Nutzung von Matomo Cookies gesetzt. Diese sind standardmäßig als Tracking-Cookies ausgestaltet. Das Tracking kann generell deaktiviert werden. Über diverse Einstellungsmöglichkeiten lässt sich der Datenschutz weiter verbessern, z.B.:
- IP-Anonymisierung durch die letzten zwei bis drei Bytes (empfohlen)
- Dadurch auch Geolokalisierung einschränken
- Do-not-Track aktivieren
- Widerspruchsmöglichkeit einstellen (Hier geht’s zum Matomo Opt-Out)
- Regelmäßige Löschung alter Daten einstellen
- Matomo in der Datenschutz-Information für die Website erwähnen
Setzt man die Einstellungen um, können keine Nutzerstatistiken erstellt werden und es erfolgt kein Tracking über mehrere Webseiten hinweg. Damit wären alle Voraussetzungen, die zu einem einwilligungspflichtigen Tracking führen, nicht erfüllt.
Der Überblick erfolgt nur stichwortartig und ist keinesfalls abschließend. Für die datenschutzkonforme Nutzung von Matomo sind ggf. noch mehr Einstellungsschritte erforderlich. Deren Darstellung würde den Rahmen des Beitrags sprengen. Matomo selbst bietet auf seiner Website viele Hilfestellungen und Hinweise zur datenschutzkonformen Konfiguration (Hier geht’s zu Matomo).
Device Fingerprinting
Vereinzelt regt sich die Sorge um das Device Fingerprinting, das auch ohne Cookies möglich ist und dessen tracking-ähnlicher Einsatz einer einwilligungslosen Verwendung entgegenstehen könnte.
Device Fingerprinting bezeichnet die Möglichkeit vom verwendeten Endgerät des Nutzers Informationen (etwa den Gerätetyp, die Geräteleistung, das Betriebssystem, etc.) so auszulesen und zusammenzuführen, dass durch diese rein gerätebezogenen Informationen ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird. Dieser ermöglicht es, das Gerät trotz deaktivierter Cookies seitenübergreifend wiederzuerkennen.
Doch auch hier hat Matomo nachgearbeitet. Laut eigener Aussage (Hier geht’s zur Aussage) ändern sich die Fingerabdrücke täglich. Das bedeutet, dass Nutzer nicht mehr über mehrere Webseiten hinweg nachverfolgt bzw. wiedererkannt werden können und dadurch kein Nutzerprofil erstellt werden kann. Auch dann, wenn Cookies deaktiviert sind.
Zweck der Verarbeitung
Der Vergleich zu Google Analytics hält nur solange Stand, wie sich die Interessen der Anwender überschneiden. Ob Matomo als echte Alternative zu Google Analytics funktioniert, hängt einzig vom Zweck ab, zu dem das System genutzt werden soll. Liegt der Zweck in der Analyse des Nutzerverhaltens (unabhängig vom Nutzerprofil), in der Verbesserung der Website-Performance und möchte man die Inhalte stetig der Zielgruppe anpassen und verbessern, so reicht ein hübsches Bündel an anonymen, aggregierten Daten, die trotz ihrer Abstraktheit einen Rückschluss auf das Nutzungsverhalten auf der eigenen Website zulassen. Matomo könnte die richtige Wahl sein. Google Analytics ist in der Konfiguration hingegen nicht so flexibel und will es vielleicht auch gar nicht sein. Google Analytics steht per se für Online-Marketing und Konversion-Tracking und eignet sich besser für umfassende Nutzeranalysen, um Marketingzwecke zu verfolgen.
Es ist daher zu empfehlen den Zweck von Matomo gut zu dokumentieren, um im Ernstfall Aufsichtsbehörden gegenüber vertreten zu können, dass keine Marketingzwecke verfolgt werden sollen.
Es sollte jedoch beachtet werden, dass die Verwendung von Funktionen wie die E‑Commerce-Verfolgung oder die Benutzer-ID sehr wahrscheinlich zu einer Einwilligung führen. Werden neben Matomo weitere Systeme von Drittanbietern verwendet, die Cookies setzen, kann dennoch ein Cookie-Banner erforderlich sein.
Fazit
Mit Matomo ist es durchaus möglich Nutzerstatistiken und Verhaltensdaten auf der eigenen Website zu sammeln, ohne zuvor eine Einwilligung der Nutzer einzuholen. Es ist dann von einer Reichweitenmessung und nicht von einem Tracking die Rede. Dass sich Matomo als echte Alternative zu Google Analytics eignet und anders als der Marktführer ohne Einwilligung genutzt werden kann, erklären auch der Zusammenschluss der deutschen Aufsichtsbehörden und die französiche Aufsichtsbehörde CNIL, die das System als Tool listen, dass volle Datenschutzkonformität gewährleisten kann. Um das zu erreichen ist jedoch bei der Konfiguration von Matomo penibel genau darauf zu achten, dass alle datenschutzkonformen Einstellungen umgesetzt sind und die Nutzer mit den erforderlichen Informationen auf der Website versorgt werden. Nur dann ist für den Einsatz von Matomo kein Banner erforderlich.
Der Beitrag stellt nur eine Momentaufnahme unter der aktuellen Rechtsauffassung dar. Änderungen können sich in der schnelllebigen DSGVO-Welt jederzeit ergeben.
Was Sie noch interessieren könnte:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]
