Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz
eBay
eBay B2B
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Fairmondo.de
For-vegans
Fotografie und Bildbearbeitung
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage (kein Verkauf)
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kauflux
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
YouTube
Zen-Cart
ZVAB
von RA Jan Lennart Müller und RA Phil Salewski

Matomo mit/ohne Cookies nutzen: Handlungsanleitungen und Risikoanalyse

News vom 25.02.2020, 14:05 Uhr | 30 Kommentare 

Beim Einsatz des Webanalysetools Matomo (ehemals Piwik) müssen einige Anforderungen gemäß der Datenschutz-Grundverordnung beachtet werden, um den Dienst rechtskonform zu verwenden. Wir klären in unserem Beitrag über die einzelnen Voraussetzungen auf und zeigen vor dem Hintergrund der vom EuGH aufgestellten Einwilligungspflicht für technisch nicht notwendige Cookies, welche Handlungsalternativen für die Einbindung von Matomo bestehen und welche Risiken zu beachten sind.

1.) Anonymisierung der IP-Adresse des Seitennutzers durch „PrivacyManager“-Plugin

Der Webanalysedienst Matomo erhebt und speichert die IP-Adresse Ihres Seitenbenutzers. Nach derzeitiger Rechtsauffassung stellt die der IP-Adresse ein personenbezogenes Datum dar. Sie sollten daher die IP-Adresse anonymisieren.

Matomo bietet in diesem Zusammenhang das Plugin „PrivacyManager“ an. Dieses wird bei der aktuellen Matomo- Version bereits mitgeliefert und muss lediglich vom „Super User“ aktiviert werden. Dies geschieht durch Aufruf des Menüpunkts „ Einstellungen > Privatsphäre > Daten anonymisieren" sogar in grafischer Form.

Die Anzahl der zu maskierenden Oktette ist in config/global.ini.php als ip_address_mask_length mit dem Default-Wert 1 festgelegt. Ändert man also nichts an der Einstellung, wird bei aktiviertem PrivacyManager-Plugin das letzte Oktett der IP-Adresse auf 0 gesetzt.

Eine gespeicherte IP-Adresse sollte dann beispielsweise so aussehen: 128.91.97.0.
Die Anzahl der zu maskierenden Oktette kann in config.ini.php konfiguriert werden. Zulässige Werte sind für IPv4-Adressen 1 bis 4.

Die Einstellung erfolgt durch das Einfügen einer neuen Wertangabe unter [Tracker]. Um beispielsweise nicht nur ein Oktett, sondern zwei Oktette der IP-Adresse zu anonymisieren, muss die Datei config/config.ini.php wie folgt geändert werden:

ip_address_mask_length = 2

Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird.

2.) Wirksame Cookie-Einwilligung und Widerrufsmöglichkeit

Matomo setzt in der Standard-Variante diverse Tracking-Cookies auf dem Endgerät des Nutzers, welche die Analyse des Nutzerverhaltens unterstützen.

Aufgrund eines Grundsatzurteils des EuGH vom 01.10.2019 (C-673/17) ist für den Einsatz derartiger Cookies aber zwingend die vorherige ausdrückliche Einwilligung des Nutzers (etwa über ein hinreichendes Cookie-Banner oder ein konformes Cookie-Consent-Tool) einzuholen. Cookies von Matomo dürfen daher nur gesetzt werden, wenn der Nutzer zuvor wirksam in deren Verwendung eingewilligt hat. Ein Einsatz von Matomo auf Cookie-Basis vor oder unabhängig von der Nutzereinwilligung ist unzulässig. Insbesondere ein reines Opt-Out genügt nicht mehr.

Ist eine konforme Cookie-Einwilligung vorgeschaltet worden, muss der Nutzer zusätzlich die Möglichkeit haben, diese jederzeit mit Wirkung für die Zukunft zu widerrufen.

Dies kann über das eingesetzte Consent-Tool selbst erfolgen.

Alternativ lässt sich ein Widerruf bei bei Matomo durch Verwendung eines sog. Opt-Out-IFrames umsetzen, welcher es dem Seitenbesucher ermöglicht, dass durch Setzen eines Häkchens der Erstellung und Speicherung eines anonymisierten Nutzerprofils widersprochen bzw. widerrufen wird, indem ein Opt-Out-Cookie auf dem Computerrechner des Seitenbesuchers abgelegt wird.

Der HTML-Code für den Opt-Out-IFrame lautet wie folgt (*ACHTUNG* bitte ersetzen Sie den Teil „IHRE-DOMAIN“ durch Ihre Internetadresse):


<iframe frameborder="no" width="500px" height="250px" src="https://www.IHRE-DOMAIN.de/index.php?module=CoreAdminHome&action=optOut&language=de"></iframe>

Dieser Opt-Out-IFrame sollte direkt unterhalb der Datenschutzklausel eingebunden werden. Der Opt-Out-IFrame unterhalb der Matomo-Klausel sollte in der Datenschutzerklärung wie folgt aussehen:

Matomo

3.) Nutzung von Matomo ohne Cookies: Handlungsanleitung und Risikoanalyse

Für Matomo lässt sich der Einsatz von Tracking-Cookies generell deaktivieren.

Nachfolgend wird aufgezeigt, wie dies technisch umzusetzen ist und welche rechtlichen Risiken (auch) bei Deaktivierung von Cookies für Matomo bestehen.

a.) Handlungsanleitung

Eine Webanalyse von Matomo lässt sich auch durchgeführen, ohne dass von der Anwendung Cookies gesetzt werden.

Um ein Cookie-Tracking für Matomo abzustellen, ist in den erweiterten Einstellungen die Option „Alle Tracking Cookies deaktivieren“ auszuwählen.

Alternativ kann zum Deaktivieren der Cookies für Matomo auch der Java-Script-Code modifiziert werden. Eine Anleitung dazu ist hier zu finden.

Wird das Cookie-Tracking auf Matomo generell deaktiviert, werden verbleibende Matomo-Cookies beim nächsten Aufruf der Website automatisch gelöscht.

Die Möglichkeit, das cookie-lose Tracking von Matomo zu deaktivieren, muss allerdings auch hier fortbestehen, da Nutzer das Recht haben müssen, solchen Datenverarbeitungen jederzeit zu widersprechen.

Insofern ist auch beim Einsatz von Matomo ohne Cookies ein Opt-Out-IFrame gemäß Ziffer 2. in der Datenschutzklausel zu erzeugen

b) Voraussichtliche keine Einwilligungspflicht bei Verwendung von Matomo ohne Cookies

Anstelle eines digitalen Fingerabdrucks (Device Fingerprinting) verwendet Matomo im Falle der Deaktivierung von Cookies eine datenschutzfreundlichere Maßnahme zum Schutz von Seitenbesuchern: Die config_id wird von Matomo verwendet, um verschiedene Aktionen in einem kurzen Zeitfenster von bis zu 24 Stunden zu "Besuchen" zusammenzufassen.

Die config_id des Besuchers ist ein zufällig gesetzter, zeitlich begrenzter Hash einer begrenzten Menge von Einstellungen und Attributen des Besuchers. Die config_id oder der config-Hash ist eine Zeichenkette, die für einen Besucher auf der Grundlage seines Betriebssystems, seines Browsers, seiner Browser-Plugins, seiner IP-Adresse und seiner Browsersprache berechnet wird.

Im Gegensatz zu anderen Anbietern von Analyssoftware, die Device Fingerprinting verwenden, erstellt Matomo bei der Nutzung ohne Cookies keinen solchen Fingerprint, und die config_id ist nur für weniger als 24 Stunden und nur für eine bestimmte Website-Domain gültig:

  • die config_id ist nach Auskunft von Matomo nur für maximal 24 Stunden gültig und wird dann rotiert, was bedeutet, dass derselbe Besucher jeden Tag eine andere config_id erhält.
  • die config_id ändert sich zufällig und wird alle 24 Stunden anonymisiert. Der zufällig erzeugte Seed wird jeden Tag verworfen und kann nicht wiederhergestellt werden.
  • die Website-ID wird verwendet, um die config_id zu verarbeiten, was bedeutet, dass ein bestimmter Benutzer/Besucher auf Ihrer Matomo (Piwik)-Instanz immer eine andere config_id hat, wenn er Ihre verschiedenen Websites und Domains besucht.
  • die IP-Adresse, die zur Erstellung der config_id verwendet wird, ist die anonymisierte IP-Adresse, wenn Sie die IP-Anonymisierung aktiviert haben, was die Standard-Datenschutzeinstellung in Matomo ist (wenn Sie "Auch anonymisierte IP beim Anreichern von Besuchen verwenden: Nein", wird die vollständige IP-Adresse für die Hash-Berechnung verwendet).

Um Matomo ohne Einwilligung verwenden zu können, sollten Nutzer von Matomo noch die weitergehenden Voraussetzungen erfüllen:

  • Cookies deaktivieren
  • IP-Adresse anonymisieren
  • Referrer anonymisieren
  • Personenbezogene Daten aus URLs und Seitentiteln ausschließen
  • Personenbezogene Daten aus benutzerdefinierten Variablen, Dimensionen und Ereignissen ausschließen
  • Maskieren Sie persönliche Daten in Heatmaps und Bildschirmaufzeichnungen
  • Bestell-IDs für den elektronischen Handel ausschließen
  • Aktivieren Sie keine Benutzer-ID-Funktionen
  • Verwenden Sie die gesammelten Daten nur für die Analyse
  • Verfolgen Sie Nutzer nur auf einer einzigen Website/Anwendung

Weiterführende Information zur Umsetzung der vorstehenden Punkte finden Sie auf der Seite von Matomo.

Wichtig - Sie müssen eine Widerspruchsmöglichkeit schaffen! Wenn Sie die Analysemöglichkeit von Matomo ohne Cookies rechtskonform einbinden möchten, müssen Sie dem Seitenbesucher noch eine Möglichkeit zum Widerspruch ermöglichen. In diesem Fall raten wir dazu, eine eigene Unterseite zu erstellen und auf dieser Unterseite die von Matomo vorgeschlagene Opt-Out-Lösung zu implementieren.

Wenn Sie die vorgenannten Punkte erfüllen, können Sie Matomo ohne Cookies auf Basis Ihres berechtigten Interesses an der statistischen Analyse des Nutzerverhaltens zu Optimierungs- und Marketingzwecken nutzen.

c.) Zwischenfazit

Mittels einer generellen Deaktivierung der Cookie-Setzung lässt sich über Matomo ein bestimmtes Nutzerverhalten auch ohne den Einsatz von Cookies nachvollziehen.

Sofern die weiteren Vorgaben zur datenschutzfreundlichen Nutzung von Matomo ohne Cookies einhalten, müssen Sie keine Einwilligung des Seitenbesuchers einholen.

4.) Löschung von Altdaten (bestehende Analyseprofile)

Es ist zu beachten, dass die Anpassungen nur neue Analyseprofile erfassen. Zuvor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Hinweis:
Die Einfügung des Opt-Out-IFrames (siehe oben unter Ziffer 2.) muss von Ihnen mittels HTML-Code gesondert auf Ihrer Internetseite erfolgen!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© PhotoSG - Fotolia.com
Jan Lennart Müller Autor:
Jan Lennart Müller
Rechtsanwalt
Phil Salewski Unter Mitwirkung von:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Device Fingerprinting

13.01.2023, 11:43 Uhr

Kommentar von G.S.

Der Artikel ist schon etwas älter. Matomo selbst schreibt nämlich, dass auch kein Device Fingerprinting eingesetzt wird! Das ist ja ein entscheidender Faktor, da dann vollends keine Einwilligung mehr...

matomo ip anonymisierung (1byte) bei on-premise

14.03.2022, 14:46 Uhr

Kommentar von helmut

hallo, guter informativer artikel. eine frage: wenn der user seine zustimmung zum tracking mit matomo (self hosted!) gibt, reicht es dann, die ip um nur 1 byte oder gar nicht zu kürzen? wäre relevant...

Ist das noch unter TTDSG aktuell?

15.01.2022, 01:40 Uhr

Kommentar von Vincent Rammelt

Wäre mal interessant, ob der Artikel noch mit der Risiko Einschätzung Bestand hat, wo gerade alle nach Matomo suchen

Guter Artikel

07.12.2020, 11:08 Uhr

Kommentar von Roman

Danke für diese Meinung und die gute Begründung. Nun hat der BGH die Rechtsprechung ja bereits aufgegriffen und ist dabei offensichtlich nicht besonders weit gegangen. Von einer Einwilligungspflicht...

arthur2020@freenet.de

04.09.2020, 09:45 Uhr

Kommentar von Stephan

Mir geht das noch zu wenig weit: 1) erfahre ich ja bei der Bestellung eines Kunden wie der heißt. 2) kenne ich dann sein Geschlecht und 3) weiß ich wo er die Ware hinhaben möchte. 4) Kann es sein...

Nutzung ohne Consent ab Matomo 3.13.6

03.08.2020, 14:06 Uhr

Kommentar von Th.M.

Könnten Sie ggf. mal ein Follow-Up machen mit Ihrer Einschätzung bzgl. der Situation ab Matomo...

© 2005-2023 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller