Matomo DSGVO konform nutzen

Rechtssichere Maßnahmen und Cookie Consent

Matomo (ehemals Piwik) ist ein Open-Source-Projekt des US-amerikanischen Technologieunternehmens Alphabet. Als Alternative zu Google Analytics bietet Matomo Webseite-Analyse-Tools, die der Erfassung von Aktivitäten Ihrer Besucher dienen. Zu diesem Zweck nutzt Matomo Cookies verschiedener Art. Um Matomo DSGVO konform zu gestalten, ist ein Matomo Cookie Consent unabdingbar. Auch in der Matomo Datenschutzerklärung sind entsprechende Angaben zu machen. Dies wirft die Frage auf, worauf Sie als Webseitenbetreiber im Allgemeinen zu achten haben, wenn Sie Matomo DSGVO gerecht betreiben wollen.

Matomo: die Open-Source-Software im Überblick


Matomo gilt als wesentlicher Konkurrent des Marktführers Google Analytics. Ebenso wie letztere Software dient auch Matomo der Erfassung der Aktivitäten der Besucher auf Ihrer Webseite. Zu den weiteren Funktionalitäten gehören Statistiken und Referenzanalysen.

Matomo basiert auf PHP und nutzt eine MySQL-Datenbank. Die intuitive Handhabung sowie die datenschutzfreundlichen Einstellungs-Optionen tragen zur Beliebtheit des Analyse-Tools bei. Matomo findet Anwendung auf über einer Million Internetseiten in mehr als 200 Ländern.

Matomo wirbt bereits damit, anders als Google Analytics keiner Tracking-Zustimmung durch Webseiten-Besucher zu bedürfen. Dies verspricht Matomo DSGVO konform und rechtssicher zu gestalten. Matomo gibt auf der eigenen Webseite an, dass die auf diese Weise aggregierten Informationen nicht weitergegeben werden und damit vollumfänglich beim Seitenbetreiber verbleiben. Als Betreiber haben Sie die Option, selbst festzulegen, an welchem Ort (in welchen Daten- und Rechenzentren) die genutzten Daten abgelegt sowie gespeichert werden sollen. Auch darin unterscheidet sich Matomo von Google Analytics, da dort in den Nutzungsbestimmungen festgelegt ist, dass die Daten in einem nicht weiter spezifizierten Google-Netzwerk gespeichert werden. In der Praxis läuft dies darauf hinaus, dass Google Analytics die Daten grundsätzlich auch in Staaten wie den USA speichern darf.

Matomo DSGVO konform gestalten: Worauf Sie achten müssen

In der Frage, Matomo DSGVO gerecht zu betreiben, gilt es, stets die aktuelle Rechtslage im Blick zu haben. Tendenziell werden Datenschutzauflagen von einem Urteil zum anderen immer weiter verschärft. Im Online-Marketing und unter Webseiten-Betreibern wächst daher die Sorge, dass immer weniger Nutzer der Anwendung von Tracking- und Analyse-Cookies zustimmen werden. Diese Tools sind jedoch wichtig, um Analysen und darauf basierend Optimierungen durchzuführen. Die Performance jeder Seite ist auf die Nutzung vieler Cookies angewiesen.

Eine Besonderheit Matomos besteht in der vollen Datenkontrolle. Sie haben die datensparsame Einstell-Option, Matomo ohne Cookies und damit ohne Besucheranalyse zu betreiben. Daher stellt sich die Frage, ob und unter welchen Voraussetzungen Matomo ebenso wie Google Analytics zwingend auf die Zustimmung der Nutzer angewiesen ist und welche Maßnahmen erforderlich sind, damit die Nutzung von Matomo DSGVO konform wird.

Bleiben Sie auf dem Laufenden!

Newsletter abonnieren

EuGH-Urteil: Wie Matomo DSGVO konform wird

Um Matomo DSGVO gerecht zu gestalten, ist auch das EuGH-Urteil zum Thema Cookies aus dem Jahre 2019 zu betrachten.

In der Vergangenheit waren Tools wie Google Analytics oder Matomo vor der DSGVO auch ohne Einwilligung nutzbar, solange sich Seitenbetreiber an bestimmte Vorgaben hielten (etwa AV-Vertrag und Anonymisierung der IP). Auch mit Inkrafttreten der DSGVO beriefen sich viele Seitenbetreiber hinsichtlich der Nutzung von Cookies auf das sogenannte „berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO.

Eine explizitere Regelung zum Umgang mit Cookies sieht das EuGH-Urteil von 2019 (Az.: C-673/17) vor: seitdem bedarf es der ausdrücklichen Einwilligung der Nutzer, bevor Matomo Cookies, Google Analytics Cookies oder andere Daten angelegt werden. Die praktische Umsetzung muss über einen doppelten Opt-in erfolgen. Bevor der Nutzer dem zugestimmt hat, ist es nicht rechtmäßig, mit Matomo Cookies anzulegen. Davon ausgenommen sind lediglich technisch zwingend erforderliche Cookies. Alles, was über den essenziellen Betrieb der Webseite hinausgeht, bedarf der expliziten Einwilligung.

Bei der Umsetzung dieser Auflage finden Sie Unterstützung in einem Matomo Cookie Consent Banner. Dieser regelt den Matomo Cookie Consent durch das Ausspielen eines Hinweises, sobald Besucher auf Ihre Seite gelangen. Noch bevor der Inhalt der Seite lädt, werden Nutzer über das Consent-Banner um Zustimmung gebeten.

Weiterhin bietet das Koordinationsgremium der deutschen Datenschutzaufsichtsbehörden (DSK) eine Orientierungshilfe für Telemedien-Anbieter. Darin sind bestimmte Maßnahmen und Einstellungen erläutert, die zu einem rechtssicheren Betrieb der Internetseite beitragen.

Frameworks und Standards für den Umgang mit Matomo Cookies

Um Matomo DSGVO konform zu gestalten, sind bestimmte rechtliche Rahmenbedingungen zu beachten, bei deren Einhaltung Sie Unterstützung von verschiedenen Frameworks bekommen. Es existiert ein Standard beziehungsweise Framework zum Umgang mit dem Cookie Consent. Der Branchenverband IAB Europe (Interactive Advertising Bureau) hat das TCF (Transparency and Consent Framework) herausgegeben, das für ein rechtssicheres Cookie-Management sorgt. Der erstmals im Jahr 2018 herausgegebene Standard liegt inzwischen in der Variante 2.0 vor. Moderne CMPs (Consent Management Provider) wie Consentmanager legen dieses Framework zugrunde und nutzen dies zur Einholung der Zustimmung in die Cookie-Verarbeitung.

Die Herausgeber dieses Standards haben das Ziel, die Informationen über den Status der Einwilligung der Nutzer in die Verarbeitung der Cookies jederzeit nachvollziehbar zu machen. Die Informationen sollen dabei für alle an der Auslieferungskette der Matomo Cookies beteiligten Personen (meist Werbende und andere Dienstleister) zugänglich sein. Diese sind über Informationen zum Status der Einwilligung in die Matomo Cookies angewiesen.

Ein Consent-Tool für Matomo Cookies, das auf dem IAB-Framework basiert, ermittelt daher zunächst, ob eine Zustimmung der Nutzer in die Verarbeitung von Matomo Cookies überhaupt vorliegt. Im nächsten Schritt kann das Matomo Cookie Consent Tool identifizieren, welchen konkreten Cookies Nutzer zugestimmt haben. Auch Informationen über Art und Umfang der Zustimmung zur Cookie-Nutzung gehören dazu.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Maßnahmen, um Matomo DSGVO konform zu nutzen

Verschiedene Maßnahmen tragen dazu bei, Matomo DSGVO gerecht zu betreiben. Die Rechtssicherheit der Open-Source-Software lässt sich bei Einhaltung bestimmter Grundsätze wahren.

Matomo ohne Cookies und ohne Opt-in

Sie finden in Matomo die Einstellung, alle Tracking-Cookies zu deaktivieren und damit Matomo ohne Cookies zu nutzen. Auf diese Weise ist Matomo für die DSGVO unproblematisch. Ebenso ist es möglich, den JavaScript-Code der Software entsprechend anzupassen. In beiden Fällen kommt es beim nächsten Seitenaufruf zur Löschung verbleibender Matomo Cookies.

Wenn keine Matomo Cookies erhoben werden, ist auch keine explizite Einwilligung per Opt-in mehr erforderlich, um Matomo DSGVO konform zu betreiben. Dennoch bleibt die Anforderung, Ihre Besucher über die Nutzung des Tools zu informieren. Dies sollten Sie mindestens in der Datenschutzerklärung tun. Beim Einsatz unseres Consentmanagers können Sie darin auch Matomo auflisten. Da beim Verzicht auf Matomo Cookies kein Consent mehr erforderlich ist, genügt die Einstufung in die Kategorie „essenziell“, für die keine Opt-out-Möglichkeit gegeben ist.

Die Matomo Datenschutzerklärung

Sie müssen bei jeder Nutzung von Matomo DSGVO Konformität mitsamt ihrer datenschutzrechtlichen Richtlinien berücksichtigen. Anwendbar ist die DSGVO grundsätzlich in allen Fällen, in denen es zur Verarbeitung personenbezogener Daten kommt. Dazu gehören bereits so grundlegende Dinge wie Standort, Namen oder auch die IP-Adresse Ihrer Besucher. Diese und andere Angaben dienen der Identifizierung Ihrer Besucher beziehungsweise sind zur Identifizierbarkeit geeignet.

Wann immer Sie personenbezogene Daten erheben, ist Matomo DSGVO konform anzuwenden. Die Verarbeitung dieser Daten bedarf grundsätzlich der Einwilligung und Zustimmung Ihrer Besucher. Um ohne Consent Matomo DSGVO gerecht zu betreiben, gibt es nur dann eine Ausnahme, wenn die Datenverarbeitung erforderlich ist, um einen Vertrag mit dem Nutzer zu erfüllen.

In der Matomo Datenschutzerklärung haben Sie als Seitenbetreiber Ihre Benutzer umfassend über die Erhebung und Verarbeitung der personenbezogenen Daten aufzuklären. Diese Anforderung an die Transparenz geht aus Art. 13 DSGVO hervor.

Die Anpassung von Matomo an die DSGVO-konforme Datenschutzerklärung muss im Mindesten folgende Informationen beinhalten: zum einen müssen Sie den Umfang der Datenerhebung deutlich zum Ausdruck bringen und dabei auch auf die Rechtsgrundlage eingehen, auf deren Basis die Datenerhebung erfolgt. Weiterhin muss die Matomo Datenschutzerklärung Rückschluss darauf geben, welche Speicherdauer vorliegt. Gleichermaßen sollte die Datenschutzerklärung einen Hinweis auf die Kriterien geben, die der Speicherdauer zugrunde liegen. Auch und insbesondere das Widerrufsrecht und die Möglichkeiten deren Umsetzung müssen Gegenstand der Datenschutzerklärung sein.

Anonymisierung der IP

Im Falle einer Anonymisierung personenbezogener Daten entfällt die Anwendbarkeit der DSGVO. Wenn Sie also die IP-Adresse anonymisieren, ist dies ein wichtiger datenschutzrechtlicher Beitrag. Daten gelten dann als anonym, wenn aufgrund der Entfernung des Personenbezugs eine Identifikation der Besucher nicht mehr möglich ist. Eine wichtige Voraussetzung ist in diesem Zusammenhang, dass die Anonymisierung nicht mehr umkehrbar ist (alternativ gibt es auch die Pseudonymisierung). Bei IP-Adressen stellt sich die Frage, bis auf welches Byte diese zu anonymisieren sind, um zu gewährleisten, dass Besucher nicht mehr zu identifizieren sind. Die Entwickler empfehlen diesbezüglich eine Anonymisierung der IP von 2 oder 3 Byte in Matomo, um die DSGVO-Anforderungen zu erfüllen.

Altdaten entfernen

Um Matomo DSGVO gerecht zu nutzen, ist es ebenso vorteilhaft, Altdaten zu entfernen. Einige Datenschützer und Aufsichtsbehörden vertreten die Auffassung, dass ältere Analyseprofile oftmals ohne rechtliche Grundlage erstellt wurden. Damit sind sie zu löschen. Die Löschung der Altdaten beziehungsweise der bestehenden Analyseprofile geht in Matomo vergleichsweise reibungslos vonstatten. In der Rubrik „Einstellungen“ finden Sie unter dem Reiter „Privatsphäre“ die Option „Daten anonymisieren“. Hier können Sie auch alte und bereits erhobene Tracking-Daten anonymisieren. Ebenso können Sie hier ältere Besucher-Logs entfernen beziehungsweise löschen.

Nicht sicher ob Sie ein CMP brauchen?


Das Mamoto Cookie Banner und sein Stellenwert

Auch bei Mamoto sind Ihre Besucher über die Nutzung zu informieren. Ein Mamoto Cookie Consent Banner unterstützt Sie hierbei. Sobald Daten der Besucher in Form von Cookies auf den Endgeräten zu erfassen und zu speichern sind, wird es unabdingbar, die Einwilligung einzuholen. Die Information beziehungsweise der Hinweis sowie die Einwilligung erfolgen über ein solches Cookie-Banner. Wichtig ist in diesem Zusammenhang, dass nach Auffassung des EuGH nicht zwischen personenbezogenen sowie nicht-personenbezogenen Daten zu unterscheiden ist. Wenn es darum geht, die Privatsphäre Ihrer Nutzer zu schützen, so ist diese grundsätzlich durch das Speichern und Wiederaufrufen der Cookies betroffen. Dies gilt auch dann, wenn es sich um nicht-personenbezogene Daten handelt. Als einzige Ausnahme gelten technisch essenzielle Cookies, ohne die ein Betrieb der Webseite nicht möglich ist. Hierbei handelt es sich um sogenannte einwilligungsfreie Cookies.

Wenn Sie als Betreiber der Webseite Mamoto nutzen, stellt sich daher die Frage, ob Sie lediglich technisch essenzielle Cookies nutzen oder darüber hinaus auch solche, die nicht zwingend notwendig sind. Im letzteren Fall sind Sie darauf angewiesen, die aktive Zustimmung des Nutzers einzuholen und Ihre Besucher explizit auf die Cookie-Nutzung hinzuweisen. Dies beinhaltet auch umfassende Angaben zur Funktion der Cookies, zur Funktionsdauer sowie Informationen darüber, ob auch Dritte Zugriff zu den Cookies bekommen.

Vorteilhaft und auf vielen Webseiten gängige Praxis ist es, die genutzten Cookies zu gruppieren. Diese Cookie-Gruppen erhalten anschließend eine kurze Beschreibung und haben jeweils eine eigenständige Einwilligungsmöglichkeit. Ein guter Mamoto Cookie Consent Provider bietet diese Optionen integriert im Consent-Banner.

Consentmanager: Lösungen für das rechtssichere Matomo Cookie Consent Management

Als Webseiten-Betreiber ist es für Sie von hoher Bedeutung, die Nutzung von Matomo DSGVO konform zu gestalten. Dazu gehört es auch, Maßnahmen zum rechtssicheren Matomo Cookie Consent zu treffen. Mit einer Consent Management Lösung wie Consentmanager können Sie Ihre Besucher umfassend über die Nutzung der Matomo Cookies informieren. Weiterhin können Sie im gleichen Schritt die Zustimmung und Einwilligung in die Cookie-Nutzung erfragen. Ein Consent Management Tool berücksichtigt bei Matomo DSGVO Konformität sowie die Vorgaben des EuGH-Urteils.

Ferner hat diese technische Umsetzung des Matomo Cookie Managements den Vorteil, zu einer positiven Nutzererfahrung beizutragen. Nutzer werden unmittelbar beim Besuch der Seite über die Nutzung der Matomo Cookies informiert und nach ihrer Zustimmung gefragt. Der Anspruch der Nutzer auf Datenschutz wird damit ernst genommen. Die Entscheidung über Art und Umfang der zugelassenen Cookies liegt ganz bei den Besuchern.

Die wesentlichen Faktoren des positiven Nutzererlebnisses sind eine hohe Verweildauer, eine hohe Akzeptanz-Rate und eine niedrigere Absprung-Rate (Bounce-Rate). Ein gutes Consent Management Tool leistet seinen Beitrag dazu, eine hohe Akzeptanzrate zu gewährleisten und die Absprung-Rate entsprechend gering zu halten. Die übergeordneten Ziele der Kundengewinnung sowie Kundenbindung profitieren somit vom Einsatz des Consentmanagers.

Mit dem Consentmanager haben Sie einen Überblick in Echtzeit über die aktuellen Akzeptanzraten und die Verweildauer. Dies ermöglicht einen Rückschluss auf die gegenwärtige Performance Ihrer Webseite und legt damit gleichzeitig das Optimierungs-Potenzial offen.

Dank responsiver Anpassung eignet sich der Consentmanager für nahezu sämtliche Geräte und Betriebssysteme. Dies ist von besonders hoher Bedeutung, da Kunden im Allgemeinen über unterschiedliche Endgeräte auf Webseiten zugreifen. Matomo DSGVO konform zu betreiben, ist über die Grenzen Deutschlands hinaus wichtig, wenn Sie internationale Besucher haben. Dank der internationalen Ausrichtung und der Unterstützung von über 30 Sprachen eignet sich der Consentmanager für Besucher aus dem gesamten DSVGO-Raum und darüber hinaus. Das Matomo Cookie Consent Banner wird automatisch in der Sprache des auf die Seite zugreifenden Nutzers ausgespielt.

FAQ zu Matomo und DSGVO

Die DSGVO findet Anwendung für alle personenbezogenen Daten. Häufig verarbeiten Sie personenbezogene Daten mit Matomo. Die DSGVO sieht entsprechend vor, dass die Datenschutzerklärung darauf hinweist. Bereits Name, Standort und IP-Adresse sind personenbezogene Daten, da sie die Identifizierung ermöglichen.

Technisch nicht erforderliche Cookies dürfen spätestens seit dem EuGH-Urteil nur noch nach ausdrücklicher Zustimmung gesetzt werden. Diese Cookies umfassen wertvolle Tracking- und Analysedaten, auf die viele Webseiten im Sinne einer guten Performance angewiesen sind. Mit dem Consentmanager geben Sie Ihren Kunden eine rechtssichere Möglichkeit, in die Verarbeitung dieser Cookies einzuwilligen.

CMP

Nicht sicher ob Sie ein CMP brauchen?

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden!

In Kontakt treten