von RA Jan Lennart Müller

Handlungsanleitung: Matomo (ehemals Piwik) nach DSGVO richtig einbinden

News vom 03.04.2018, 22:50 Uhr | 12 Kommentare 

Beim Einsatz des Webanalysetools Matomo (ehemals Piwik) müssen einige Anforderungen gemäß der Datenschutz-Grundverordnung beachtet werden, um den Dienst rechtskonform zu verwenden. Wir klären in unserem Beitrag über die einzelnen Voraussetzungen auf: wichtig ist vor allem die Einbindung des speziellen Opt-Out-iFrames.

1. Anonymisierung der IP-Adresse des Seitennutzers durch „AnonymizeIP“-Plugin

Der Webanalysedienst Matomo erhebt und speichert die IP-Adresse Ihres Seitenbenutzers. Nach derzeitiger Rechtsauffassung stellt die der IP-Adresse ein personenbezogenes Datum dar. Sie sollten daher die IP-Adresse anonymisieren.

Matomo bietet in diesem Zusammenhang das Plugin „AnonymizeIP“ an. Dieses wird bei der aktuellen Matomo- Version bereits mitgeliefert und muss lediglich vom „Super User“ aktiviert werden. Dies geschieht durch Aufruf des Menüpunkts „Einstellungen -> Plugins“.

Die Anzahl der zu maskierenden Oktette ist in config/global.ini.php als ip_address_mask_length mit dem Default-Wert 1 festgelegt. Ändert man also nichts an der Einstellung, wird bei aktiviertem AnonymizeIP-Plugin das letzte Oktett der IP-Adresse auf 0 gesetzt.

Eine gespeicherte IP-Adresse sollte dann beispielsweise so aussehen: 128.91.97.0.
Die Anzahl der zu maskierenden Oktette kann in config.ini.php konfiguriert werden. Zulässige Werte sind für IPv4-Adressen 1 bis 4.

Die Einstellung erfolgt durch das Einfügen einer neuen Wertangabe unter [Tracker]. Um beispielsweise nicht nur ein Oktett, sondern zwei Oktette der IP-Adresse zu anonymisieren, muss die Datei config/config.ini.php wie folgt geändert werden:

ip_address_mask_length = 2

2. Belehrung über die Widerspruchsmöglichkeit

Neben der konfigurierbaren Datenschutzklausel müssen Sie dem Seitenbesucher eine Widerspruchsmöglichkeit eröffnen. Die Widerspruchsmöglichkeit des Seitenbesuchers wird bei Matomo durch Verwendung eines sog. Opt-Out-IFrames umgesetzt, welcher es dem Seitenbesucher ermöglicht, dass durch Setzen eines Häkchens der Erstellung und Speicherung eines anonymisierten Nutzerprofils widersprochen wird, indem ein Opt-Out-Cookie auf dem Computerrechner des Seitenbesuchers abgelegt wird.

Der HTML-Code für den Opt-Out-IFrame lautet wie folgt (*ACHTUNG* bitte ersetzen Sie den Teil „IHRE-DOMAIN“ durch Ihre Internetadresse):

<iframe frameborder="no" width="500px" height="250px" src="https://www.IHRE-DOMAIN.de/sites/index.php?module=CoreAdminHome&action=optOut&language=de"></iframe>

Dieser Opt-Out-IFrame sollte direkt unterhalb der Datenschutzklausel eingebunden werden. Die Datenschutzklausel mit dem direkt darunter befindlichen Opt-Out-IFrame sollte wie folgt in der Datenschutzerklärung aussehen:

"Einsatz von Matomo
Auf dieser Website werden unter Einsatz der Webanalysedienst-Software Matomo (www.matomo.org), einem Dienst des Anbieters InnoCraft Ltd., 150 Willis St, 6011 Wellington, Neuseeland, („Mataomo“) auf Basis unseres berechtigten Interesses an der statistischen Analyse des Nutzerverhaltens zu Optimierungs- und Marketingzwecken gemäß Art. 6 Abs. 1 lit. f DSGVO Daten gesammelt und gespeichert. Aus diesen Daten können zum selben Zweck pseudonymisierte Nutzungsprofile erstellt und ausgewertet werden. Hierzu können Cookies eingesetzt werden. Bei Cookies handelt es sich um kleine Textdateien, die lokal im Zwischenspeicher des Internet-Browsers des Seitenbesuchers gespeichert werden. Die Cookies ermöglichen unter anderem die Wiedererkennung des Internet-Browsers. Die mit der Matomo-Technologie erhobenen Daten (einschließlich Ihrer pseudonymisierten IP-Adresse) werden auf unseren Servern verarbeitet. .
Die durch das Cookie erzeugten Informationen im pseudonymen Nutzerprofil werden nicht dazu benutzt, den Besucher dieser Website persönlich zu identifizieren und nicht mit personenbezogenen Daten über den Träger des Pseudonyms zusammengeführt.
Wenn Sie mit der Speicherung und Auswertung dieser Daten aus Ihrem Besuch nicht einverstanden sind, dann können Sie der Speicherung und Nutzung nachfolgend per Mausklick jederzeit widersprechen. In diesem Fall wird in Ihrem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass Matomo keinerlei Sitzungsdaten erhebt. Bitte beachten Sie, dass die vollständige Löschung Ihrer Cookies zur Folge hat, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von Ihnen erneut aktiviert werden muss.
Opt-Out-iFrame:"

Matomo

3. Löschung von Altdaten (bestehende Analyseprofile)

Es ist zu beachten, dass die Anpassungen nur neue Analyseprofile erfassen. Zuvor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Hinweis:
Die Einfügung des Opt-Out-IFrames (siehe oben unter Ziffer 2.), muss von Ihnen mittels HTML-Code gesondert auf Ihrer Internetseite erfolgen!

Bildquelle:
© PhotoSG - Fotolia.com
Autor:
Jan Lennart Müller
Rechtsanwalt

Besucherkommentare

Auftragsverarbeiter in Datenschutzklausel

22.06.2018, 13:23 Uhr

Kommentar von Christian

Muss denn in der Datenschutzklausel nirgends der Hoster angegeben werden, also wo Piwik gehostet wird, und dass man mit diesem einen Vertrag zur Auftragsverarbeitung geschlossen hat? Ich meine die...

Jurastudent

20.06.2018, 17:51 Uhr

Kommentar von Ränsch

Dadurch, dass das Häckchen automatisch gesetzt wird, widerspricht dies doch dem privacy by default? 

Anmerkung zu IHRE DOMAIN

23.05.2018, 18:06 Uhr

Kommentar von Herr Silberadler

Damit es verständlicher ist: Es ist wohl nicht wichtig, ob man Matomo auf einem eigenen Server oder bei Matomo direkt nutzt. Mit "IHRE DOMAIN"ist die Serveradresse von Matomo gemeint. Dazu gibt es...

iframe lasse ich auch wegen der DSGVO erst gar nicht zu

22.05.2018, 09:04 Uhr

Kommentar von Rene

Um meine Seite zugriffs-und rechtssicher zu halten, lasse ich technisch gesehen kein iframe zu. Daher die Frage, gibt es dazu eine Alternative dazu?

Matomo ohne Cookies

19.05.2018, 09:15 Uhr

Kommentar von Marc

Guten Tag, auch mich würde interessieren, was bei der Konfiguration von Matomo ohne Cookies zu beachten ist. Ziel ist für mich eine Web-Seite, welche ohne ein Cookie-Banner auskommt. Insbesondere...

cookieless und selbstgehostet?

08.05.2018, 14:47 Uhr

Kommentar von Wolfgang

Wie sieht es aus wenn man ohne cookies tracked und matomo selber hostet? Die derzeitige Version der Datenschutzerklärung legt nahe, dass es sich hier um die Cloud-Version handelt. 

© 2005-2018 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller