Matomo mit/ohne Cookies nutzen: Handlungsanleitungen und Risikoanalyse
Beim Einsatz des Webanalysetools Matomo (ehemals Piwik) müssen einige Anforderungen gemäß der Datenschutz-Grundverordnung beachtet werden, um den Dienst rechtskonform zu verwenden. Wir klären in unserem Beitrag über die einzelnen Voraussetzungen auf und zeigen vor dem Hintergrund der vom EuGH aufgestellten Einwilligungspflicht für technisch nicht notwendige Cookies, welche Handlungsalternativen für die Einbindung von Matomo bestehen und welche Risiken zu beachten sind.
Inhaltsverzeichnis
- 1.) Anonymisierung der IP-Adresse des Seitennutzers durch „PrivacyManager“-Plugin
- 2.) Wirksame Cookie-Einwilligung und Widerrufsmöglichkeit
- 3.) Nutzung von Matomo ohne Cookies: Handlungsanleitung und Risikoanalyse
- a.) Handlungsanleitung
- b) Voraussichtliche keine Einwilligungspflicht bei Verwendung von Matomo ohne Cookies
- c.) Zwischenfazit
- 4.) Löschung von Altdaten (bestehende Analyseprofile)
1.) Anonymisierung der IP-Adresse des Seitennutzers durch „PrivacyManager“-Plugin
Der Webanalysedienst Matomo erhebt und speichert die IP-Adresse Ihres Seitenbenutzers. Nach derzeitiger Rechtsauffassung stellt die der IP-Adresse ein personenbezogenes Datum dar. Sie sollten daher die IP-Adresse anonymisieren.
Matomo bietet in diesem Zusammenhang das Plugin „PrivacyManager“ an. Dieses wird bei der aktuellen Matomo- Version bereits mitgeliefert und muss lediglich vom „Super User“ aktiviert werden. Dies geschieht durch Aufruf des Menüpunkts „ Einstellungen > Privatsphäre > Daten anonymisieren" sogar in grafischer Form.
Die Anzahl der zu maskierenden Oktette ist in config/global.ini.php als ip_address_mask_length mit dem Default-Wert 1 festgelegt. Ändert man also nichts an der Einstellung, wird bei aktiviertem PrivacyManager-Plugin das letzte Oktett der IP-Adresse auf 0 gesetzt.
Eine gespeicherte IP-Adresse sollte dann beispielsweise so aussehen: 128.91.97.0.
Die Anzahl der zu maskierenden Oktette kann in config.ini.php konfiguriert werden. Zulässige Werte sind für IPv4-Adressen 1 bis 4.
Die Einstellung erfolgt durch das Einfügen einer neuen Wertangabe unter [Tracker]. Um beispielsweise nicht nur ein Oktett, sondern zwei Oktette der IP-Adresse zu anonymisieren, muss die Datei config/config.ini.php wie folgt geändert werden:
ip_address_mask_length = 2
Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird.
2.) Wirksame Cookie-Einwilligung und Widerrufsmöglichkeit
Matomo setzt in der Standard-Variante diverse Tracking-Cookies auf dem Endgerät des Nutzers, welche die Analyse des Nutzerverhaltens unterstützen.
Aufgrund eines Grundsatzurteils des EuGH vom 01.10.2019 (C-673/17) ist für den Einsatz derartiger Cookies aber zwingend die vorherige ausdrückliche Einwilligung des Nutzers (etwa über ein hinreichendes Cookie-Banner oder ein konformes Cookie-Consent-Tool) einzuholen. Cookies von Matomo dürfen daher nur gesetzt werden, wenn der Nutzer zuvor wirksam in deren Verwendung eingewilligt hat. Ein Einsatz von Matomo auf Cookie-Basis vor oder unabhängig von der Nutzereinwilligung ist unzulässig. Insbesondere ein reines Opt-Out genügt nicht mehr.
Ist eine konforme Cookie-Einwilligung vorgeschaltet worden, muss der Nutzer zusätzlich die Möglichkeit haben, diese jederzeit mit Wirkung für die Zukunft zu widerrufen.
Dies kann über das eingesetzte Consent-Tool selbst erfolgen.
Alternativ lässt sich ein Widerruf bei bei Matomo durch Verwendung eines sog. Opt-Out-IFrames umsetzen, welcher es dem Seitenbesucher ermöglicht, dass durch Setzen eines Häkchens der Erstellung und Speicherung eines anonymisierten Nutzerprofils widersprochen bzw. widerrufen wird, indem ein Opt-Out-Cookie auf dem Computerrechner des Seitenbesuchers abgelegt wird.
Der HTML-Code für den Opt-Out-IFrame lautet wie folgt (*ACHTUNG* bitte ersetzen Sie den Teil „IHRE-DOMAIN“ durch Ihre Internetadresse):
<iframe frameborder="no" width="500px" height="250px" src="https://www.IHRE-DOMAIN.de/index.php?module=CoreAdminHome&action=optOut&language=de"></iframe>
Dieser Opt-Out-IFrame sollte direkt unterhalb der Datenschutzklausel eingebunden werden. Der Opt-Out-IFrame unterhalb der Matomo-Klausel sollte in der Datenschutzerklärung wie folgt aussehen:
3.) Nutzung von Matomo ohne Cookies: Handlungsanleitung und Risikoanalyse
Für Matomo lässt sich der Einsatz von Tracking-Cookies generell deaktivieren.
Nachfolgend wird aufgezeigt, wie dies technisch umzusetzen ist und welche rechtlichen Risiken (auch) bei Deaktivierung von Cookies für Matomo bestehen.
a.) Handlungsanleitung
Eine Webanalyse von Matomo lässt sich auch durchführen, ohne dass von der Anwendung Cookies gesetzt werden.
Um ein Cookie-Tracking für Matomo abzustellen, ist in den erweiterten Einstellungen die Option „Alle Tracking Cookies deaktivieren“ auszuwählen.
Alternativ kann zum Deaktivieren der Cookies für Matomo auch der Java-Script-Code modifiziert werden. Eine Anleitung dazu ist hier zu finden.
Wird das Cookie-Tracking auf Matomo generell deaktiviert, werden verbleibende Matomo-Cookies beim nächsten Aufruf der Website automatisch gelöscht.
Die Möglichkeit, das cookie-lose Tracking von Matomo zu deaktivieren, muss allerdings auch hier fortbestehen, da Nutzer das Recht haben müssen, solchen Datenverarbeitungen jederzeit zu widersprechen.
Insofern ist auch beim Einsatz von Matomo ohne Cookies ein Opt-Out-IFrame gemäß Ziffer 2. in der Datenschutzklausel zu erzeugen
b) Voraussichtliche keine Einwilligungspflicht bei Verwendung von Matomo ohne Cookies
Anstelle eines digitalen Fingerabdrucks (Device Fingerprinting) verwendet Matomo im Falle der Deaktivierung von Cookies eine datenschutzfreundlichere Maßnahme zum Schutz von Seitenbesuchern: Die config_id wird von Matomo verwendet, um verschiedene Aktionen in einem kurzen Zeitfenster von bis zu 24 Stunden zu "Besuchen" zusammenzufassen.
Die config_id des Besuchers ist ein zufällig gesetzter, zeitlich begrenzter Hash einer begrenzten Menge von Einstellungen und Attributen des Besuchers. Die config_id oder der config-Hash ist eine Zeichenkette, die für einen Besucher auf der Grundlage seines Betriebssystems, seines Browsers, seiner Browser-Plugins, seiner IP-Adresse und seiner Browsersprache berechnet wird.
Im Gegensatz zu anderen Anbietern von Analyssoftware, die Device Fingerprinting verwenden, erstellt Matomo bei der Nutzung ohne Cookies keinen solchen Fingerprint, und die config_id ist nur für weniger als 24 Stunden und nur für eine bestimmte Website-Domain gültig:
- die config_id ist nach Auskunft von Matomo nur für maximal 24 Stunden gültig und wird dann rotiert, was bedeutet, dass derselbe Besucher jeden Tag eine andere config_id erhält.
- die config_id ändert sich zufällig und wird alle 24 Stunden anonymisiert. Der zufällig erzeugte Seed wird jeden Tag verworfen und kann nicht wiederhergestellt werden.
- die Website-ID wird verwendet, um die config_id zu verarbeiten, was bedeutet, dass ein bestimmter Benutzer/Besucher auf Ihrer Matomo (Piwik)-Instanz immer eine andere config_id hat, wenn er Ihre verschiedenen Websites und Domains besucht.
- die IP-Adresse, die zur Erstellung der config_id verwendet wird, ist die anonymisierte IP-Adresse, wenn Sie die IP-Anonymisierung aktiviert haben, was die Standard-Datenschutzeinstellung in Matomo ist (wenn Sie "Auch anonymisierte IP beim Anreichern von Besuchen verwenden: Nein", wird die vollständige IP-Adresse für die Hash-Berechnung verwendet).
Um Matomo ohne Einwilligung verwenden zu können, sollten Nutzer von Matomo noch die weitergehenden Voraussetzungen erfüllen:
- Cookies deaktivieren
- IP-Adresse anonymisieren
- Referrer anonymisieren
- Personenbezogene Daten aus URLs und Seitentiteln ausschließen
- Personenbezogene Daten aus benutzerdefinierten Variablen, Dimensionen und Ereignissen ausschließen
- Maskieren Sie persönliche Daten in Heatmaps und Bildschirmaufzeichnungen
- Bestell-IDs für den elektronischen Handel ausschließen
- Aktivieren Sie keine Benutzer-ID-Funktionen
- Verwenden Sie die gesammelten Daten nur für die Analyse
- Verfolgen Sie Nutzer nur auf einer einzigen Website/Anwendung
Weiterführende Information zur Umsetzung der vorstehenden Punkte finden Sie auf der Seite von Matomo.
Wichtig - Sie müssen eine Widerspruchsmöglichkeit schaffen! Wenn Sie die Analysemöglichkeit von Matomo ohne Cookies rechtskonform einbinden möchten, müssen Sie dem Seitenbesucher noch eine Möglichkeit zum Widerspruch ermöglichen. In diesem Fall raten wir dazu, eine eigene Unterseite zu erstellen und auf dieser Unterseite die von Matomo vorgeschlagene Opt-Out-Lösung zu implementieren.
Wenn Sie die vorgenannten Punkte erfüllen, können Sie Matomo ohne Cookies auf Basis Ihres berechtigten Interesses an der statistischen Analyse des Nutzerverhaltens zu Optimierungs- und Marketingzwecken nutzen.
c.) Zwischenfazit
Mittels einer generellen Deaktivierung der Cookie-Setzung lässt sich über Matomo ein bestimmtes Nutzerverhalten auch ohne den Einsatz von Cookies nachvollziehen.
Sofern die weiteren Vorgaben zur datenschutzfreundlichen Nutzung von Matomo ohne Cookies einhalten, müssen Sie keine Einwilligung des Seitenbesuchers einholen.
4.) Löschung von Altdaten (bestehende Analyseprofile)
Es ist zu beachten, dass die Anpassungen nur neue Analyseprofile erfassen. Zuvor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.
Hinweis:
Die Einfügung des Opt-Out-IFrames (siehe oben unter Ziffer 2.) muss von Ihnen mittels HTML-Code gesondert auf Ihrer Internetseite erfolgen!
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
Beiträge zum Thema
31 Kommentare
https://matomo.org/faq/general/how-is-the-visitor-config_id-processed/ und
https://matomo.org/faq/new-to-piwik/how-do-i-use-matomo-analytics-without-consent-or-cookie-banner/
Wenn man es so konfiguriert, ist laut Matomo keinerlei Einwilligung mehr notwendig.
eine frage: wenn der user seine zustimmung zum tracking mit matomo (self hosted!) gibt, reicht es dann, die ip um nur 1 byte oder gar nicht zu kürzen? wäre relevant für genauere standortbestimmung.
danke!
helmut
https://matomo.org/faq/new-to-piwik/how-do-i-use-matomo-analytics-without-consent-or-cookie-banner/
Matomo.org schreibt, dass Tracking ab 3.13.6. ohne Consent / Zustimmungsbanner möglich sei, wenn:
- Matomo selbstgehostet ist -> keine Übermittlung an Dritte
- Cookie-Nutzung deaktiviert -> _paq.push(['disableCookies']);
- Matomo "datenschutzfreundlich" konfiguriert ist
Auch der Datenschutzbeauftragte des Landes Baden-Württemberg kommt zu dieser Einschätzung:
https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/
Siehe hier die Antwort auf "1. Darf ich Werkzeuge zur Reichweitenanalyse ohne Einwilligung der Nutzer verwenden?"
ich nutze die neuste Matomo Ausgabe in der deutschen Fassung.. Unter Punkt 1 findet sich in Ihrer Anweisung: "Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird."
Ich kann das leider nicht finden. Wo genau befindet sich diese Einstellung?
Vielen Dank!
vielen Dank für Ihren Kommentar.
In der Tat liegt es nahe, das Browser-Fingerprintig, bei dem gewisse Informationen aus dem verwendeten Endgerät ausgelesen und zu einem eindeutigen Nutzerprofil zusammengefügt werden, generell als cookie-gleich und mithin einwilligungspflichtig behandelt werden (s. auch Wortlaut von Art. 5 Abs. 3 der RL 2002/58/EG).
Bei Matomo lässt sich für das Fingerprinting allerdings die erhobene IP-Adresse anonymisieren (Datenschutzeinstellungen --> “Also use anonymised IP when enriching visit: Yes). In diesem Fall können die Informationen nicht mehr vollständig ausgelesen werden, sodass nach unserer Ansicht eine Einwilligungspflicht entfällt und ein Opt-Out genügt.
vielen Dank für Ihre Kommentare. Kommt es beim Einsatz von Matomo zur Setzung von Cookies, genügt die vom Anbieter vorgehaltene Opt-Out-Lösung seit dem EuGH-Urteil vom 01.10.2019 ((Az. C-673/17) nicht mehr. Vielmehr ist nunmehr im Vorfeld der Cookie-Setzung die ausdrückliche Einwilligung in die Matomo-Cookies erforderlich.
Kann dies nicht sichergestellt werden, besteht die Möglichkeit, Cookies von Matomo beim Einsatz des Tools generell zu deaktivieren und so eine Einwilligungspflicht auszuhebeln.
Eine Anleitung hierzu finden Sie hier: https://matomo.org/faq/general/faq_157/
- FRAGE: Art. 2 DSGVO bestimmt ja "Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung PERSONENBEZOGENER Daten...". Anders gesagt: Wenn nicht "personenbezogen", kann man die DSGVO vollständig ignoieren, weil sie ja keine Anwendung findet, somit auch auf betreffende Erklärungen zum Datenschutz zu verzichten. - Nehmen wir also den Fall an,
dass Matomo auf einem eigenen bzw. Kunden-Server installiert wird und in der Konfiguration die IP-Adressen von vornherein bei der Erhebung gekürzt. - In den Cookies wiederum (soweit ich sehe) ist ein langer, damit eindeutiger Zuffalswert aus Zahlen/Buchstaben hinterlegt mit dem man auch den Rechner nicht und somit noch weniger eine Person identifizieren kann. Einzig natürlich lassen sich so feststellen: 1. ruft derselbe Rechner erneut auf (solange nicht neue Sitzung/Zählung) und 2. NUR DIESEM nicht zurückverfolgbaren CODE (und der aber ja ggf. ausreichend gekürzten IP) z.B. Betriebssystem und Monitorauflösung... zugeordnet. - M.E. könnte man - in diesem Fall also Selbst-Hosting + anonymisierte IP - auch mindestens mal in den Raum stellen ob die DSGV überhaupt Anwendung findet und man - in diesem Fall/bei solcher Installation - nicht sogar auf jeglichen Hinweis/DS-Erklärung sogar komplett verzichten kann? - Diese Frage und Ansatz "sachl. Geltungsbereich" fände ich mal sehr interessant beantwortet zu finden - während Ihr Artikel ja mal ganz hervorragend sich mit der kommerziellen Matomo-Variante diesbzgl. beschäftigt. (Nur nebenbei: der Provider, der in DS-Erklärungen ja kaum bis nie Erwähnung findet, hat sehr viel mehr Daten, mind. kurzzeitig auch die volle IP, weil ja sonst die Website nicht abrufbar wäre). Sicher also eine spannende Frage? Und vielen Dank, auch im namen der Mitlesenden!
Könnte ich die Datenschutzerklärung benutzen?
Bei Google Analytics wird ja auch die Anschrift benannt und dass ein Vertrag zur Auftragsverarbeitung geschlossen wurde...
Dazu gibt es auch von Matomo eine Anleitung, erst da wurde es mir klar: Unter Einstellungen -> links Privatsphäre -> Users Opt-Out bekommt man den gleichen Codeschnipsel, den man einbauen kann.
Hoffe das hilft für die Verständlichkeit.
S.
auch mich würde interessieren, was bei der Konfiguration von Matomo ohne Cookies zu beachten ist. Ziel ist für mich eine Web-Seite, welche ohne ein Cookie-Banner auskommt. Insbesondere stelle ich mir folgende Fragen: Ist die Datenschutzerklärung der IT-Recht-Kanzlei auch für die Konfiguration ohne Cookies geeignet? Kann ich meine Web-Seite dann ohne ein Cookie-Banner betreiben? Ist bei Aufruf der Seite eine gesonderte Einwilligung zum Tracking erforderlich, wenn Matomo auf dem eigenen Server betrieben wird?
Mit freundlichen Grüßen,
Marc
nach den aktuellen Interpretationen der DSK dürfen Tracking Cookies erst NACH der ausdrücklichen Zustimmung des Nutzers gesetzt werden:
http://www.online-marketing-recht.de/tracking-nur-noch-mit-einwilligung-was-ist-dran-am-beschluss-der-datenschutzkonferenz/
Wie ist ihre Meinung dazu?
Man kann Matomo auch komplett ohne Cookies nur über Javascript code betreiben (allerdings etwas ungenauer). Wäre das sicherer?
Wie hoch ist die Abmahngefahr?
Eine Trackingcookieabfrage am Anfang würde Kunden nur abschrecken.
Danke und viele Grüße
Jens Horstmannshoff
In wiefern müsste mann da (über den Hinweis, dass Serverlogs für technische Abläufe 7 Tage gespeichert werden) noch Hinweisen ? Ein OptOut gibt es hier ja auch nicht (das Serverlog, unterscheidet ja nicht) ? Danke für den guten Artikel !
Vielen Dank für eine kurze Rückmeldung. Mit freundlichen Grüßen Carsten Semmler