IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
von RA Jan Lennart Müller und RA Phil Salewski

Matomo mit/ohne Cookies nutzen: Handlungsanleitungen und Risikoanalyse

Beim Einsatz des Webanalysetools Matomo (ehemals Piwik) müssen einige Anforderungen gemäß der Datenschutz-Grundverordnung beachtet werden, um den Dienst rechtskonform zu verwenden. Wir klären in unserem Beitrag über die einzelnen Voraussetzungen auf und zeigen vor dem Hintergrund der vom EuGH aufgestellten Einwilligungspflicht für technisch nicht notwendige Cookies, welche Handlungsalternativen für die Einbindung von Matomo bestehen und welche Risiken zu beachten sind.

1.) Anonymisierung der IP-Adresse des Seitennutzers durch „PrivacyManager“-Plugin

Der Webanalysedienst Matomo erhebt und speichert die IP-Adresse Ihres Seitenbenutzers. Nach derzeitiger Rechtsauffassung stellt die der IP-Adresse ein personenbezogenes Datum dar. Sie sollten daher die IP-Adresse anonymisieren.

Matomo bietet in diesem Zusammenhang das Plugin „PrivacyManager“ an. Dieses wird bei der aktuellen Matomo- Version bereits mitgeliefert und muss lediglich vom „Super User“ aktiviert werden. Dies geschieht durch Aufruf des Menüpunkts „ Einstellungen > Privatsphäre > Daten anonymisieren" sogar in grafischer Form.

Die Anzahl der zu maskierenden Oktette ist in config/global.ini.php als ip_address_mask_length mit dem Default-Wert 1 festgelegt. Ändert man also nichts an der Einstellung, wird bei aktiviertem PrivacyManager-Plugin das letzte Oktett der IP-Adresse auf 0 gesetzt.

Eine gespeicherte IP-Adresse sollte dann beispielsweise so aussehen: 128.91.97.0.
Die Anzahl der zu maskierenden Oktette kann in config.ini.php konfiguriert werden. Zulässige Werte sind für IPv4-Adressen 1 bis 4.

Die Einstellung erfolgt durch das Einfügen einer neuen Wertangabe unter [Tracker]. Um beispielsweise nicht nur ein Oktett, sondern zwei Oktette der IP-Adresse zu anonymisieren, muss die Datei config/config.ini.php wie folgt geändert werden:

ip_address_mask_length = 2

Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird.

2.) Wirksame Cookie-Einwilligung und Widerrufsmöglichkeit

Matomo setzt in der Standard-Variante diverse Tracking-Cookies auf dem Endgerät des Nutzers, welche die Analyse des Nutzerverhaltens unterstützen.

Aufgrund eines Grundsatzurteils des EuGH vom 01.10.2019 (C-673/17) ist für den Einsatz derartiger Cookies aber zwingend die vorherige ausdrückliche Einwilligung des Nutzers (etwa über ein hinreichendes Cookie-Banner oder ein konformes Cookie-Consent-Tool) einzuholen. Cookies von Matomo dürfen daher nur gesetzt werden, wenn der Nutzer zuvor wirksam in deren Verwendung eingewilligt hat. Ein Einsatz von Matomo auf Cookie-Basis vor oder unabhängig von der Nutzereinwilligung ist unzulässig. Insbesondere ein reines Opt-Out genügt nicht mehr.

Ist eine konforme Cookie-Einwilligung vorgeschaltet worden, muss der Nutzer zusätzlich die Möglichkeit haben, diese jederzeit mit Wirkung für die Zukunft zu widerrufen.

Dies kann über das eingesetzte Consent-Tool selbst erfolgen.

Alternativ lässt sich ein Widerruf bei bei Matomo durch Verwendung eines sog. Opt-Out-IFrames umsetzen, welcher es dem Seitenbesucher ermöglicht, dass durch Setzen eines Häkchens der Erstellung und Speicherung eines anonymisierten Nutzerprofils widersprochen bzw. widerrufen wird, indem ein Opt-Out-Cookie auf dem Computerrechner des Seitenbesuchers abgelegt wird.

Der HTML-Code für den Opt-Out-IFrame lautet wie folgt (*ACHTUNG* bitte ersetzen Sie den Teil „IHRE-DOMAIN“ durch Ihre Internetadresse):

<iframe frameborder="no" width="500px" height="250px" src="https://www.IHRE-DOMAIN.de/index.php?module=CoreAdminHome&action=optOut&language=de"></iframe>

Dieser Opt-Out-IFrame sollte direkt unterhalb der Datenschutzklausel eingebunden werden. Der Opt-Out-IFrame unterhalb der Matomo-Klausel sollte in der Datenschutzerklärung wie folgt aussehen:

Matomo

3.) Nutzung von Matomo ohne Cookies: Handlungsanleitung und Risikoanalyse

Für Matomo lässt sich der Einsatz von Tracking-Cookies generell deaktivieren.

Nachfolgend wird aufgezeigt, wie dies technisch umzusetzen ist und welche rechtlichen Risiken (auch) bei Deaktivierung von Cookies für Matomo bestehen.

a.) Handlungsanleitung

Eine Webanalyse von Matomo lässt sich auch durchgeführen, ohne dass von der Anwendung Cookies gesetzt werden.

Um ein Cookie-Tracking für Matomo abzustellen, ist in den erweiterten Einstellungen die Option „Alle Tracking Cookies deaktivieren“ auszuwählen.

Alternativ kann zum Deaktivieren der Cookies für Matomo auch der Java-Script-Code modifiziert werden. Eine Anleitung dazu ist hier zu finden.

Wird das Cookie-Tracking auf Matomo generell deaktiviert, werden verbleibende Matomo-Cookies beim nächsten Aufruf der Website automatisch gelöscht.

Die Möglichkeit, das cookie-lose Tracking von Matomo zu deaktivieren, muss allerdings auch hier fortbestehen, da Nutzer das Recht haben müssen, solchen Datenverarbeitungen jederzeit zu widersprechen.

Insofern ist auch beim Einsatz von Matomo ohne Cookies ein Opt-Out-IFrame gemäß Ziffer 2. in der Datenschutzklausel zu erzeugen

b) Voraussichtliche Einwilligungspflicht durch Einsatz von "Device Fingerprinting"

Nach Ansicht des Europäischen Gerichtshofs dürfen Cookies, die für den Betrieb einer Webseite nicht technisch notwendig sind, nur dann gesetzt werden, wenn der jeweilige Nutzer in deren Verwendung zuvor wirksam und informiert eingewilligt hat.

Daraus ließe sich schlussfolgern, dass die Cookie-Einwilligungspflicht entfällt, wenn das Setzen von Cookies für Matomo grundsätzlich deaktiviert wird.

Tatsächlich kann mangels Cookie-Einsatzes zwar eine Einwilligungspflicht nicht mehr an das Setzen technisch nicht notwendiger Cookies geknüpft werden.

Allerdings hat der EuGH in seiner Entscheidung vor allem Artikel 5 Abs. 3 der EU-Richtlinie 2002/58/EG in Bezug genommen, der in seiner durch die EU-Richtlinie 2009/136/EG geänderten Fassung wie folgt lautet:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Nach der Vorschrift gilt die Einwilligungspflicht also nicht nur für Cookies, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.

Für Matomo wird dies insofern relevant, als dass der Dienst auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ ein bestimmtes Nutzerverhalten nachvollziehen kann.

Unter Device Fingerprinting werden (vom Nutzer meist nicht zu erkennende) Technologien verstanden, die vom verwendeten Endgerät spezifische Informationen (etwa den Gerätetyp, die Geräteleistung, das Betriebssystem, Log-Ins etc.) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.

Auch beim Device Fingerprinting wird im Sinne von Art. 5 Abs. 3 der Richtlinie 2002/58/EG aber so auf Informationen vom Endgerät zugegriffen, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden könnte.

Freilich ist die Entscheidung des EuGH nur spezifisch zu Cookies ergangen. Es ist aber nicht unwahrscheinlich, dass die für Cookies bestätigte Einwilligungspflicht auch für das von Matomo stets betriebene Device Fingerprinting Geltung beansprucht.

Zwar ist dahingehende Rechtsprechung bislang nicht bekannt. Das Abstellen von Cookies kann aber das derzeit bestehende Risiko nicht abbedingen, dass bereits aufgrund des Device Fingerprinting bei Matomo eine eigenständige Nutzereinwilligung vor dem jeweiligen Einsatz des Dienstes erforderlich wäre.

Die IT-Recht Kanzlei rät daher unabhängig von einer Cookie-Deaktivierung zur Einholung einer ausdrücklichen Einwilligung des Seitenbesuchers im Rahmen der Nutzung von Matomo!

c.) Zwischenfazit

Mittels einer generellen Deaktivierung der Cookie-Setzung lässt sich über Matomo ein bestimmtes Nutzerverhalten auch ohne den Einsatz von Cookies nachvollziehen.

Allerdings ist zu beachten, dass damit eine Einwilligungspflichtigkeit des Dienstes voraussichtlich nicht entfällt.

So setzt Matomo weiterhin sogenanntes „Device Fingerprinting“ ein, welches als cookie-ähnliche Technolie eigenständig Geräteinformationen auslesen kann und damit für sich gesehen einwilligungspflichtig sein könnte.

Selbst beim Abstellen von Cookies für Matomo besteht daher ein nicht zu missachtendes Risiko, wenn der Einsatz des Dienstes nicht von einer ausdrücklichen Nutzereinwilligung abhängig gemacht wird.

4.) Löschung von Altdaten (bestehende Analyseprofile)

Es ist zu beachten, dass die Anpassungen nur neue Analyseprofile erfassen. Zuvor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Hinweis:
Die Einfügung des Opt-Out-IFrames (siehe oben unter Ziffer 2.) muss von Ihnen mittels HTML-Code gesondert auf Ihrer Internetseite erfolgen!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© PhotoSG - Fotolia.com
Autor:
Jan Lennart Müller
Rechtsanwalt
Unter Mitwirkung von:
Phil Salewski
Rechtsanwalt

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de