Matomo gilt schon lan­ge als die siche­re Tracking-Alternative zum gro­ßen Markt­füh­rer. Wäh­rend nach aktu­el­ler Rechts­la­ge von den meis­ten Tracking- und Analysesoftware-Anbietern immer noch ein Cookie-Banner ver­langt wird, ver­spricht Matomo das Gegen­teil. Bei rich­ti­ger Imple­men­tie­rung sei kei­ne Ein­wil­li­gung und damit kein Cookie-Banner erfor­der­lich.

Setzt man die Ein­stel­lun­gen um, kön­nen kei­ne Nut­zer­sta­tis­ti­ken erstellt wer­den und es erfolgt kein Tracking über meh­re­re Web­sei­ten hin­weg. Damit wären alle Vor­aus­set­zun­gen, die zu einem ein­wil­li­gungs­pflich­ti­gen Tracking füh­ren, nicht erfüllt.” – Eile­en Bin­der

Die Rechts­la­ge hin­sicht­lich des Ein­sat­zes von Coo­kies ist nach wie vor unein­deu­tig, umstrit­ten und noch nicht zu Ende gere­gelt. Die neue ePrivacy-Verordnung lässt auf sich war­ten und es hat fast den Anschein als wür­den auch Gerich­te den grund­le­gen­den Fra­gen rund um Coo­kies so gut es geht aus­wei­chen. In einem ver­gan­ge­nen Bei­trag haben wir über das neue GA 4 berich­tet (Hier geht’s zum Bei­trag). In die­sem Bei­trag soll es um die Fra­ge gehen, ob Matomo daten­schutz­kon­form und ohne Ein­wil­li­gung genutzt wer­den kann.

Grund­satz der Cookie-Einwilligungen

Wann Coo­kies ein­wil­li­gungs­pflich­tig sind, ist immer noch nicht ein­deu­tig geklärt. Das gilt auch für die Fra­gen, wel­che Coo­kies ein­wil­li­gungs­pflich­tig sind. Der Zweck des Coo­kies und das Umfeld, in dem es genutzt wird, spielt eben­falls eine Rol­le.

Die Daten­schutz­kon­fe­renz (DSK) hat in der Ori­en­tie­rungs­hil­fe für Anbie­ter von Tele­me­di­en vom März 2019 (Hier geht’s zur Ori­en­tie­rungs­hil­fe) einen recht brauch­ba­ren Ansatz gelie­fert, wann Coo­kies ein­wil­li­gungs­pflich­tig sind. Danach sind drei Vor­aus­set­zun­gen aus­schlag­ge­bend:

  • Es wer­den Nut­zer­sta­tis­ti­ken erstellt, die Rück­schlüs­se auf ein­zel­ne Nut­zer zulas­sen.
  • Es erfolgt ein Tracking über meh­re­re Web­sei­ten, Apps und Diens­te hin­weg.
  • Die erho­be­nen Daten wer­den Drit­ten zugäng­lich gemacht.

Die DSK hält in der Ori­en­tie­rungs­hil­fe jedoch den Ein­satz von Coo­kies auch ohne Ein­wil­li­gung für mög­lich. Näm­lich dann, wenn die oben genann­ten drei wesent­li­chen Vor­aus­set­zun­gen alle­samt nicht vor­lie­gen. Das kann erreicht wer­den, indem eine Ana­ly­se­soft­ware ohne Ein­bin­dung Drit­ter lokal auf den eige­nen Ser­vern imple­men­tiert wird. Der Ein­satz einer ent­spre­chen­den Soft­ware ist dann auf Grund­al­ge des berech­tig­ten Inter­es­ses mög­lich und nennt sich Reich­wei­ten­mes­sung.

Hier liegt nun der gro­ße Unter­schied zwi­schen Goog­le Ana­ly­tics und Matomo.

Matomo ist eine Open Source-Software. Das hat den gro­ßen Vor­teil, dass das Sys­tem fle­xi­bel kon­fi­gu­riert und lokal auf den eige­nen Ser­vern instal­liert wer­den kann. Der Tracking­code kann ein­fach modi­fi­ziert wer­den. Der Anbie­ter oder ande­re Drit­te erhal­ten dadurch kei­ne Daten, die für eige­ne Zwe­cke genutzt wer­den könn­ten. Damit wäre eine der oben genann­ten Bedin­gun­gen nicht erfüllt.

Daten­schutz­kon­for­me Anwen­dung von Matomo

Den­noch wer­den bei der Nut­zung von Matomo Coo­kies gesetzt. Die­se sind stan­dard­mä­ßig als Tracking-Cookies aus­ge­stal­tet. Das Tracking kann gene­rell deak­ti­viert wer­den. Über diver­se Ein­stel­lungs­mög­lich­kei­ten lässt sich der Daten­schutz wei­ter ver­bes­sern, z.B.:

  • IP-Anonymisierung durch die letz­ten zwei bis drei Bytes (emp­foh­len)
  • Dadurch auch Geo­lo­ka­li­sie­rung ein­schrän­ken
  • Do-not-Track akti­vie­ren
  • Wider­spruchs­mög­lich­keit ein­stel­len (Hier geht’s zum Matomo Opt-Out)
  • Regel­mä­ßi­ge Löschung alter Daten ein­stel­len
  • Matomo in der Datenschutz-Information für die Web­site erwäh­nen

Setzt man die Ein­stel­lun­gen um,  kön­nen kei­ne Nut­zer­sta­tis­ti­ken erstellt wer­den und es erfolgt kein Tracking über meh­re­re Web­sei­ten hin­weg. Damit wären alle Vor­aus­set­zun­gen, die zu einem ein­wil­li­gungs­pflich­ti­gen Tracking füh­ren, nicht erfüllt.

Der Über­blick erfolgt nur stich­wort­ar­tig und ist kei­nes­falls abschlie­ßend. Für die daten­schutz­kon­for­me Nut­zung von Matomo sind ggf. noch mehr Ein­stel­lungs­schrit­te erfor­der­lich. Deren Dar­stel­lung wür­de den Rah­men des Bei­trags spren­gen. Matomo selbst bie­tet auf sei­ner Web­site vie­le Hil­fe­stel­lun­gen und Hin­wei­se zur daten­schutz­kon­for­men Kon­fi­gu­ra­ti­on (Hier geht’s zu Matomo).

Device Fin­ger­prin­ting

Ver­ein­zelt regt sich die Sor­ge um das Device Fin­ger­prin­ting, das auch ohne Coo­kies mög­lich ist und des­sen tracking-ähnlicher Ein­satz einer ein­wil­li­gungs­lo­sen Ver­wen­dung ent­ge­gen­ste­hen könn­te.

Device Fin­ger­prin­ting bezeich­net die Mög­lich­keit vom ver­wen­de­ten End­ge­rät des Nut­zers Infor­ma­tio­nen (etwa den Gerä­te­typ, die Gerä­te­leis­tung, das Betriebs­sys­tem, etc.) so aus­zu­le­sen und zusam­men­zu­füh­ren, dass durch die­se rein gerä­te­be­zo­ge­nen Infor­ma­tio­nen ein ein­zig­ar­ti­ger „Geräte-Fingerabdruck“ erstellt wird. Die­ser ermög­licht es, das Gerät trotz deak­ti­vier­ter Coo­kies sei­ten­über­grei­fend wie­der­zu­er­ken­nen.

Doch auch hier hat Matomo nach­ge­ar­bei­tet. Laut eige­ner Aus­sa­ge (Hier geht’s zur Aus­sa­ge) ändern sich die Fin­ger­ab­drü­cke täg­lich. Das bedeu­tet, dass Nut­zer nicht mehr über meh­re­re Web­sei­ten hin­weg nach­ver­folgt bzw. wie­der­erkannt wer­den kön­nen und dadurch kein Nut­zer­pro­fil erstellt wer­den kann. Auch dann, wenn Coo­kies deak­ti­viert sind.

Zweck der Ver­ar­bei­tung

Der Ver­gleich zu Goog­le Ana­ly­tics hält nur solan­ge Stand, wie sich die Inter­es­sen der Anwen­der über­schnei­den. Ob Matomo als ech­te Alter­na­ti­ve zu Goog­le Ana­ly­tics funk­tio­niert, hängt ein­zig vom Zweck ab, zu dem das Sys­tem genutzt wer­den soll.  Liegt der Zweck in der Ana­ly­se des Nut­zer­ver­hal­tens (unab­hän­gig vom Nut­zer­pro­fil), in der Ver­bes­se­rung der Website-Performance und möch­te man die Inhal­te ste­tig der Ziel­grup­pe anpas­sen und ver­bes­sern, so reicht ein hüb­sches Bün­del an anony­men, aggre­gier­ten Daten, die trotz ihrer Abs­trakt­heit einen Rück­schluss auf das Nut­zungs­ver­hal­ten auf der eige­nen Web­site zulas­sen. Matomo könn­te die rich­ti­ge Wahl sein. Goog­le Ana­ly­tics ist in der Kon­fi­gu­ra­ti­on hin­ge­gen nicht so fle­xi­bel und will es viel­leicht auch gar nicht sein. Goog­le Ana­ly­tics steht per se für Online-Marketing und Konversion-Tracking und eig­net sich bes­ser für umfas­sen­de Nut­zer­ana­ly­sen, um Mar­ke­ting­zwe­cke zu ver­fol­gen.

Es ist daher zu emp­feh­len den Zweck von Matomo gut zu doku­men­tie­ren, um im Ernst­fall Auf­sichts­be­hör­den gegen­über ver­tre­ten zu kön­nen, dass kei­ne Mar­ke­ting­zwe­cke ver­folgt wer­den sol­len.

Es soll­te jedoch beach­tet wer­den, dass die Ver­wen­dung von Funk­tio­nen wie die E‑Commerce-Verfolgung oder die Benutzer-ID sehr wahr­schein­lich zu einer Ein­wil­li­gung füh­ren. Wer­den neben Matomo wei­te­re Sys­te­me von Dritt­an­bie­tern ver­wen­det, die Coo­kies set­zen, kann den­noch ein Cookie-Banner erfor­der­lich sein.

Fazit

Mit Matomo ist es durch­aus mög­lich Nut­zer­sta­tis­ti­ken und Ver­hal­tens­da­ten auf der eige­nen Web­site zu sam­meln, ohne zuvor eine Ein­wil­li­gung der Nut­zer ein­zu­ho­len. Es ist dann von einer Reich­wei­ten­mes­sung und nicht von einem Tracking die Rede. Dass sich Matomo als ech­te Alter­na­ti­ve zu Goog­le Ana­ly­tics eig­net und anders als der Markt­füh­rer ohne Ein­wil­li­gung genutzt wer­den kann, erklä­ren auch der Zusam­men­schluss der deut­schen Auf­sichts­be­hör­den und die fran­zö­si­che Auf­sichts­be­hör­de CNIL, die das Sys­tem als Tool lis­ten, dass vol­le Daten­schutz­kon­for­mi­tät gewähr­leis­ten kann. Um das zu errei­chen ist jedoch bei der Kon­fi­gu­ra­ti­on von Matomo peni­bel genau dar­auf zu ach­ten, dass alle daten­schutz­kon­for­men Ein­stel­lun­gen umge­setzt sind und die Nut­zer mit den erfor­der­li­chen Infor­ma­tio­nen auf der Web­site ver­sorgt wer­den. Nur dann ist für den Ein­satz von Matomo kein Ban­ner erfor­der­lich.

Der Bei­trag stellt nur eine Moment­auf­nah­me unter der aktu­el­len Rechts­auf­fas­sung dar. Ände­run­gen kön­nen sich in der schnell­le­bi­gen DSGVO-Welt jeder­zeit erge­ben.

Was Sie noch interessieren könnte:

Hinweisgebersystem — Pflicht ab Dezember 2021

4. Okto­ber 2021|

Ein gekipp­ter Gesetzes-Entwurf der noch aktu­el­len Bun­des­re­gie­rung kann für Unter­neh­men schon ab Dezem­ber zu Sank­tio­nen füh­ren. Grund ist die […]

BEM: Betriebliches Eingliederungsmanagement

5. August 2021|

Keh­ren Arbeit­neh­mer nach län­ge­rer Krank­heit an ihren Arbeits­platz zurück, ist der Arbeit­ge­ber gesetz­lich ver­pflich­tet, mit Zustim­mung und unter Betei­li­gung […]

Ist die Nutzung eines Port-Scans strafbar?

21. Juli 2021|

Port-Scanner wie Nmap sind belieb­te Tools, um Sicher­heits­lü­cken von Netz­wer­ken im Rah­men einer Netz­werk­dia­gno­se auf­zu­spü­ren. Doch war­um könn­te sich […]

Autorin des Arti­kels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN