Matomo mit/ohne Cookies nutzen: Handlungsanleitungen und Risikoanalyse
Beim Einsatz des Webanalysetools Matomo (ehemals Piwik) müssen einige Anforderungen gemäß der Datenschutz-Grundverordnung beachtet werden, um den Dienst rechtskonform zu verwenden. Wir klären in unserem Beitrag über die einzelnen Voraussetzungen auf und zeigen vor dem Hintergrund der vom EuGH aufgestellten Einwilligungspflicht für technisch nicht notwendige Cookies, welche Handlungsalternativen für die Einbindung von Matomo bestehen und welche Risiken zu beachten sind.
Sachlicher Anwendungsbereich DSGVO Art. 2 bei Hosting auf eigenem Server
Beitrag von Thomas
19.05.2019, 01:44 Uhr
Vorweg: großes Lob dafür, dass die Diskussion hier offen ist und für einen Artikel der sich mal mit der technischen Realität befasst (selbst bei wichtigen Urteilen ja nicht selbstverständlich leider)!
- FRAGE: Art. 2 DSGVO bestimmt ja "Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung PERSONENBEZOGENER Daten...". Anders gesagt: Wenn nicht "personenbezogen", kann man die DSGVO vollständig ignoieren, weil sie ja keine Anwendung findet, somit auch auf betreffende Erklärungen zum Datenschutz zu verzichten. - Nehmen wir also den Fall an,
dass Matomo auf einem eigenen bzw. Kunden-Server installiert wird und in der Konfiguration die IP-Adressen von vornherein bei der Erhebung gekürzt. - In den Cookies wiederum (soweit ich sehe) ist ein langer, damit eindeutiger Zuffalswert aus Zahlen/Buchstaben hinterlegt mit dem man auch den Rechner nicht und somit noch weniger eine Person identifizieren kann. Einzig natürlich lassen sich so feststellen: 1. ruft derselbe Rechner erneut auf (solange nicht neue Sitzung/Zählung) und 2. NUR DIESEM nicht zurückverfolgbaren CODE (und der aber ja ggf. ausreichend gekürzten IP) z.B. Betriebssystem und Monitorauflösung... zugeordnet. - M.E. könnte man - in diesem Fall also Selbst-Hosting + anonymisierte IP - auch mindestens mal in den Raum stellen ob die DSGV überhaupt Anwendung findet und man - in diesem Fall/bei solcher Installation - nicht sogar auf jeglichen Hinweis/DS-Erklärung sogar komplett verzichten kann? - Diese Frage und Ansatz "sachl. Geltungsbereich" fände ich mal sehr interessant beantwortet zu finden - während Ihr Artikel ja mal ganz hervorragend sich mit der kommerziellen Matomo-Variante diesbzgl. beschäftigt. (Nur nebenbei: der Provider, der in DS-Erklärungen ja kaum bis nie Erwähnung findet, hat sehr viel mehr Daten, mind. kurzzeitig auch die volle IP, weil ja sonst die Website nicht abrufbar wäre). Sicher also eine spannende Frage? Und vielen Dank, auch im namen der Mitlesenden!
Weitere Kommentare zu diesem Artikel | Alle 29 Kommentare vollständig anzeigen
-
Device Fingerprinting von G.S., 13.01.2023, 11:43 Uhr
Der Artikel ist schon etwas älter. Matomo selbst schreibt nämlich, dass auch kein Device Fingerprinting eingesetzt wird! Das ist ja ein entscheidender Faktor, da dann vollends keine Einwilligung mehr notwendig ist. https://matomo.org/faq/general/how-is-the-visitor-config_id-processed/... » Weiterlesen
-
matomo ip anonymisierung (1byte) bei on-premise von helmut, 14.03.2022, 14:46 Uhr
hallo, guter informativer artikel. eine frage: wenn der user seine zustimmung zum tracking mit matomo (self hosted!) gibt, reicht es dann, die ip um nur 1 byte oder gar nicht zu kürzen? wäre relevant für genauere standortbestimmung. danke! helmut
-
Ist das noch unter TTDSG aktuell? von Vincent Rammelt, 15.01.2022, 01:40 Uhr
Wäre mal interessant, ob der Artikel noch mit der Risiko Einschätzung Bestand hat, wo gerade alle nach Matomo suchen
-
Guter Artikel von Roman, 07.12.2020, 11:08 Uhr
Danke für diese Meinung und die gute Begründung. Nun hat der BGH die Rechtsprechung ja bereits aufgegriffen und ist dabei offensichtlich nicht besonders weit gegangen. Von einer Einwilligungspflicht für Fingerprinting in Deutschland kann zurzeit doch keine Rede sein oder?
-
arthur2020@freenet.de von Stephan, 04.09.2020, 09:45 Uhr
Mir geht das noch zu wenig weit: 1) erfahre ich ja bei der Bestellung eines Kunden wie der heißt. 2) kenne ich dann sein Geschlecht und 3) weiß ich wo er die Ware hinhaben möchte. 4) Kann es sein dass er eine Tel.Nr. angegeben hat und 5) weiß ich altes Schlitzohr, was er bestellt hat, sogar ob... » Weiterlesen
-
Nutzung ohne Consent ab Matomo 3.13.6 von Th.M., 03.08.2020, 14:06 Uhr
Könnten Sie ggf. mal ein Follow-Up machen mit Ihrer Einschätzung bzgl. der Situation ab Matomo 3.13.6: https://matomo.org/faq/new-to-piwik/how-do-i-use-matomo-analytics-without-consent-or-cookie-banner/ Matomo.org schreibt, dass Tracking ab 3.13.6. ohne Consent / Zustimmungsbanner möglich sei,... » Weiterlesen
-
Grrrrr von Marco, 15.06.2020, 13:01 Uhr
Echt erstaunlich was für einen Aufwand man betreiben muss nur um zu erfahren wie viele Leute auf der Seite sind
-
Wie lange auf Antwort warten? von Stefan Lenzner, 26.11.2019, 08:17 Uhr
Bekommt man hier auch Antwort auf die Fragen?
-
Intern gehostetes Matomo von Stefan Lenzner, 25.11.2019, 09:52 Uhr
Laut Aussage von den Machern des Wordpress-Plugins WP DSGVO Tools muss man bei einem intern gehosteten Matomo keine Cookie-Einwilligung des Users einholen. Ist das richtig?
-
Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird. von Gabriele Sch., 05.11.2019, 08:47 Uhr
Guten Morgen, ich nutze die neuste Matomo Ausgabe in der deutschen Fassung.. Unter Punkt 1 findet sich in Ihrer Anweisung: "Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf... » Weiterlesen
Eigenen Kommentar schreiben?
Gerne können auch Sie uns einen Kommentar zu diesem Artikel hinterlegen.
Kommentar schreiben