Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
BILD Marktplatz
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage ohne Verkauf
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
Voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Matomo mit/ohne Cookies nutzen: Handlungsanleitungen und Risikoanalyse

25.02.2020, 14:05 Uhr | Lesezeit: 6 min
Matomo mit/ohne Cookies nutzen: Handlungsanleitungen und Risikoanalyse

Beim Einsatz des Webanalysetools Matomo (ehemals Piwik) müssen einige Anforderungen gemäß der Datenschutz-Grundverordnung beachtet werden, um den Dienst rechtskonform zu verwenden. Wir klären in unserem Beitrag über die einzelnen Voraussetzungen auf und zeigen vor dem Hintergrund der vom EuGH aufgestellten Einwilligungspflicht für technisch nicht notwendige Cookies, welche Handlungsalternativen für die Einbindung von Matomo bestehen und welche Risiken zu beachten sind.

1.) Anonymisierung der IP-Adresse des Seitennutzers durch „PrivacyManager“-Plugin

Der Webanalysedienst Matomo erhebt und speichert die IP-Adresse Ihres Seitenbenutzers. Nach derzeitiger Rechtsauffassung stellt die der IP-Adresse ein personenbezogenes Datum dar. Sie sollten daher die IP-Adresse anonymisieren.

Matomo bietet in diesem Zusammenhang das Plugin „PrivacyManager“ an. Dieses wird bei der aktuellen Matomo- Version bereits mitgeliefert und muss lediglich vom „Super User“ aktiviert werden. Dies geschieht durch Aufruf des Menüpunkts „ Einstellungen > Privatsphäre > Daten anonymisieren" sogar in grafischer Form.

Die Anzahl der zu maskierenden Oktette ist in config/global.ini.php als ip_address_mask_length mit dem Default-Wert 1 festgelegt. Ändert man also nichts an der Einstellung, wird bei aktiviertem PrivacyManager-Plugin das letzte Oktett der IP-Adresse auf 0 gesetzt.

Eine gespeicherte IP-Adresse sollte dann beispielsweise so aussehen: 128.91.97.0.
Die Anzahl der zu maskierenden Oktette kann in config.ini.php konfiguriert werden. Zulässige Werte sind für IPv4-Adressen 1 bis 4.

Die Einstellung erfolgt durch das Einfügen einer neuen Wertangabe unter [Tracker]. Um beispielsweise nicht nur ein Oktett, sondern zwei Oktette der IP-Adresse zu anonymisieren, muss die Datei config/config.ini.php wie folgt geändert werden:

ip_address_mask_length = 2

Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird.

2.) Wirksame Cookie-Einwilligung und Widerrufsmöglichkeit

Matomo setzt in der Standard-Variante diverse Tracking-Cookies auf dem Endgerät des Nutzers, welche die Analyse des Nutzerverhaltens unterstützen.

Aufgrund eines Grundsatzurteils des EuGH vom 01.10.2019 (C-673/17) ist für den Einsatz derartiger Cookies aber zwingend die vorherige ausdrückliche Einwilligung des Nutzers (etwa über ein hinreichendes Cookie-Banner oder ein konformes Cookie-Consent-Tool) einzuholen. Cookies von Matomo dürfen daher nur gesetzt werden, wenn der Nutzer zuvor wirksam in deren Verwendung eingewilligt hat. Ein Einsatz von Matomo auf Cookie-Basis vor oder unabhängig von der Nutzereinwilligung ist unzulässig. Insbesondere ein reines Opt-Out genügt nicht mehr.

Ist eine konforme Cookie-Einwilligung vorgeschaltet worden, muss der Nutzer zusätzlich die Möglichkeit haben, diese jederzeit mit Wirkung für die Zukunft zu widerrufen.

Dies kann über das eingesetzte Consent-Tool selbst erfolgen.

Alternativ lässt sich ein Widerruf bei bei Matomo durch Verwendung eines sog. Opt-Out-IFrames umsetzen, welcher es dem Seitenbesucher ermöglicht, dass durch Setzen eines Häkchens der Erstellung und Speicherung eines anonymisierten Nutzerprofils widersprochen bzw. widerrufen wird, indem ein Opt-Out-Cookie auf dem Computerrechner des Seitenbesuchers abgelegt wird.

Der HTML-Code für den Opt-Out-IFrame lautet wie folgt (*ACHTUNG* bitte ersetzen Sie den Teil „IHRE-DOMAIN“ durch Ihre Internetadresse):


<iframe frameborder="no" width="500px" height="250px" src="https://www.IHRE-DOMAIN.de/index.php?module=CoreAdminHome&action=optOut&language=de"></iframe>

Dieser Opt-Out-IFrame sollte direkt unterhalb der Datenschutzklausel eingebunden werden. Der Opt-Out-IFrame unterhalb der Matomo-Klausel sollte in der Datenschutzerklärung wie folgt aussehen:

Matomo

3.) Nutzung von Matomo ohne Cookies: Handlungsanleitung und Risikoanalyse

Für Matomo lässt sich der Einsatz von Tracking-Cookies generell deaktivieren.

Nachfolgend wird aufgezeigt, wie dies technisch umzusetzen ist und welche rechtlichen Risiken (auch) bei Deaktivierung von Cookies für Matomo bestehen.

a.) Handlungsanleitung

Eine Webanalyse von Matomo lässt sich auch durchführen, ohne dass von der Anwendung Cookies gesetzt werden.

Um ein Cookie-Tracking für Matomo abzustellen, ist in den erweiterten Einstellungen die Option „Alle Tracking Cookies deaktivieren“ auszuwählen.

Alternativ kann zum Deaktivieren der Cookies für Matomo auch der Java-Script-Code modifiziert werden. Eine Anleitung dazu ist hier zu finden.

Wird das Cookie-Tracking auf Matomo generell deaktiviert, werden verbleibende Matomo-Cookies beim nächsten Aufruf der Website automatisch gelöscht.

Die Möglichkeit, das cookie-lose Tracking von Matomo zu deaktivieren, muss allerdings auch hier fortbestehen, da Nutzer das Recht haben müssen, solchen Datenverarbeitungen jederzeit zu widersprechen.

Insofern ist auch beim Einsatz von Matomo ohne Cookies ein Opt-Out-IFrame gemäß Ziffer 2. in der Datenschutzklausel zu erzeugen

b) Voraussichtliche keine Einwilligungspflicht bei Verwendung von Matomo ohne Cookies

Anstelle eines digitalen Fingerabdrucks (Device Fingerprinting) verwendet Matomo im Falle der Deaktivierung von Cookies eine datenschutzfreundlichere Maßnahme zum Schutz von Seitenbesuchern: Die config_id wird von Matomo verwendet, um verschiedene Aktionen in einem kurzen Zeitfenster von bis zu 24 Stunden zu "Besuchen" zusammenzufassen.

Die config_id des Besuchers ist ein zufällig gesetzter, zeitlich begrenzter Hash einer begrenzten Menge von Einstellungen und Attributen des Besuchers. Die config_id oder der config-Hash ist eine Zeichenkette, die für einen Besucher auf der Grundlage seines Betriebssystems, seines Browsers, seiner Browser-Plugins, seiner IP-Adresse und seiner Browsersprache berechnet wird.

Im Gegensatz zu anderen Anbietern von Analyssoftware, die Device Fingerprinting verwenden, erstellt Matomo bei der Nutzung ohne Cookies keinen solchen Fingerprint, und die config_id ist nur für weniger als 24 Stunden und nur für eine bestimmte Website-Domain gültig:

  • die config_id ist nach Auskunft von Matomo nur für maximal 24 Stunden gültig und wird dann rotiert, was bedeutet, dass derselbe Besucher jeden Tag eine andere config_id erhält.
  • die config_id ändert sich zufällig und wird alle 24 Stunden anonymisiert. Der zufällig erzeugte Seed wird jeden Tag verworfen und kann nicht wiederhergestellt werden.
  • die Website-ID wird verwendet, um die config_id zu verarbeiten, was bedeutet, dass ein bestimmter Benutzer/Besucher auf Ihrer Matomo (Piwik)-Instanz immer eine andere config_id hat, wenn er Ihre verschiedenen Websites und Domains besucht.
  • die IP-Adresse, die zur Erstellung der config_id verwendet wird, ist die anonymisierte IP-Adresse, wenn Sie die IP-Anonymisierung aktiviert haben, was die Standard-Datenschutzeinstellung in Matomo ist (wenn Sie "Auch anonymisierte IP beim Anreichern von Besuchen verwenden: Nein", wird die vollständige IP-Adresse für die Hash-Berechnung verwendet).

Um Matomo ohne Einwilligung verwenden zu können, sollten Nutzer von Matomo noch die weitergehenden Voraussetzungen erfüllen:

  • Cookies deaktivieren
  • IP-Adresse anonymisieren
  • Referrer anonymisieren
  • Personenbezogene Daten aus URLs und Seitentiteln ausschließen
  • Personenbezogene Daten aus benutzerdefinierten Variablen, Dimensionen und Ereignissen ausschließen
  • Maskieren Sie persönliche Daten in Heatmaps und Bildschirmaufzeichnungen
  • Bestell-IDs für den elektronischen Handel ausschließen
  • Aktivieren Sie keine Benutzer-ID-Funktionen
  • Verwenden Sie die gesammelten Daten nur für die Analyse
  • Verfolgen Sie Nutzer nur auf einer einzigen Website/Anwendung

Weiterführende Information zur Umsetzung der vorstehenden Punkte finden Sie auf der Seite von Matomo.

Wichtig - Sie müssen eine Widerspruchsmöglichkeit schaffen! Wenn Sie die Analysemöglichkeit von Matomo ohne Cookies rechtskonform einbinden möchten, müssen Sie dem Seitenbesucher noch eine Möglichkeit zum Widerspruch ermöglichen. In diesem Fall raten wir dazu, eine eigene Unterseite zu erstellen und auf dieser Unterseite die von Matomo vorgeschlagene Opt-Out-Lösung zu implementieren.

Wenn Sie die vorgenannten Punkte erfüllen, können Sie Matomo ohne Cookies auf Basis Ihres berechtigten Interesses an der statistischen Analyse des Nutzerverhaltens zu Optimierungs- und Marketingzwecken nutzen.

c.) Zwischenfazit

Mittels einer generellen Deaktivierung der Cookie-Setzung lässt sich über Matomo ein bestimmtes Nutzerverhalten auch ohne den Einsatz von Cookies nachvollziehen.

Sofern die weiteren Vorgaben zur datenschutzfreundlichen Nutzung von Matomo ohne Cookies einhalten, müssen Sie keine Einwilligung des Seitenbesuchers einholen.

4.) Löschung von Altdaten (bestehende Analyseprofile)

Es ist zu beachten, dass die Anpassungen nur neue Analyseprofile erfassen. Zuvor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Hinweis:
Die Einfügung des Opt-Out-IFrames (siehe oben unter Ziffer 2.) muss von Ihnen mittels HTML-Code gesondert auf Ihrer Internetseite erfolgen!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© PhotoSG - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

30 Kommentare

G
G.S. 13.01.2023, 11:43 Uhr
Device Fingerprinting
Der Artikel ist schon etwas älter. Matomo selbst schreibt nämlich, dass auch kein Device Fingerprinting eingesetzt wird! Das ist ja ein entscheidender Faktor, da dann vollends keine Einwilligung mehr notwendig ist.

https://matomo.org/faq/general/how-is-the-visitor-config_id-processed/ und
https://matomo.org/faq/new-to-piwik/how-do-i-use-matomo-analytics-without-consent-or-cookie-banner/

Wenn man es so konfiguriert, ist laut Matomo keinerlei Einwilligung mehr notwendig.
h
helmut 14.03.2022, 14:46 Uhr
matomo ip anonymisierung (1byte) bei on-premise
hallo, guter informativer artikel.
eine frage: wenn der user seine zustimmung zum tracking mit matomo (self hosted!) gibt, reicht es dann, die ip um nur 1 byte oder gar nicht zu kürzen? wäre relevant für genauere standortbestimmung.
danke!
helmut
V
Vincent Rammelt 15.01.2022, 01:40 Uhr
Ist das noch unter TTDSG aktuell?
Wäre mal interessant, ob der Artikel noch mit der Risiko Einschätzung Bestand hat, wo gerade alle nach Matomo suchen
R
Roman 07.12.2020, 11:08 Uhr
Guter Artikel
Danke für diese Meinung und die gute Begründung. Nun hat der BGH die Rechtsprechung ja bereits aufgegriffen und ist dabei offensichtlich nicht besonders weit gegangen. Von einer Einwilligungspflicht für Fingerprinting in Deutschland kann zurzeit doch keine Rede sein oder?
S
Stephan 04.09.2020, 09:45 Uhr
arthur2020@freenet.de
Mir geht das noch zu wenig weit: 1) erfahre ich ja bei der Bestellung eines Kunden wie der heißt. 2) kenne ich dann sein Geschlecht und 3) weiß ich wo er die Ware hinhaben möchte. 4) Kann es sein dass er eine Tel.Nr. angegeben hat und 5) weiß ich altes Schlitzohr, was er bestellt hat, sogar ob mobil oder per Desktop. Auch weiß ich wann er bestellt hat. Gehört meines Erachtens alles abgestellt.
T
Th.M. 03.08.2020, 14:06 Uhr
Nutzung ohne Consent ab Matomo 3.13.6
Könnten Sie ggf. mal ein Follow-Up machen mit Ihrer Einschätzung bzgl. der Situation ab Matomo 3.13.6:

https://matomo.org/faq/new-to-piwik/how-do-i-use-matomo-analytics-without-consent-or-cookie-banner/

Matomo.org schreibt, dass Tracking ab 3.13.6. ohne Consent / Zustimmungsbanner möglich sei, wenn:

- Matomo selbstgehostet ist -> keine Übermittlung an Dritte
- Cookie-Nutzung deaktiviert -> _paq.push(['disableCookies']);
- Matomo "datenschutzfreundlich" konfiguriert ist

Auch der Datenschutzbeauftragte des Landes Baden-Württemberg kommt zu dieser Einschätzung:

https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

Siehe hier die Antwort auf "1. Darf ich Werkzeuge zur Reichweitenanalyse ohne Einwilligung der Nutzer verwenden?"

weitere News

LG Hamburg: Gastzugang in Online-Shops kann datenschutzrechtlich entbehrlich sein
(13.05.2024, 11:02 Uhr)
LG Hamburg: Gastzugang in Online-Shops kann datenschutzrechtlich entbehrlich sein
Google Consent Mode im Datenschutz-Check: Tracking-Revolution oder rechtliches Risiko?
(29.04.2024, 14:33 Uhr)
Google Consent Mode im Datenschutz-Check: Tracking-Revolution oder rechtliches Risiko?
LG München I: Kein absolutes Kopplungsverbot bei Online-Shop-Registrierung und Newsletter-Anmeldung
(25.04.2024, 15:45 Uhr)
LG München I: Kein absolutes Kopplungsverbot bei Online-Shop-Registrierung und Newsletter-Anmeldung
Übertragung von Kundendaten bei Shop-Veräußerung: Muster-Informationsschreiben
(24.04.2024, 17:10 Uhr)
Übertragung von Kundendaten bei Shop-Veräußerung: Muster-Informationsschreiben
Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
(16.04.2024, 14:24 Uhr)
Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
(16.04.2024, 14:16 Uhr)
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei