Matomo mit/ohne Cookies nutzen: Handlungsanleitungen und Risikoanalyse

Beim Einsatz des Webanalysetools Matomo (ehemals Piwik) müssen einige Anforderungen gemäß der Datenschutz-Grundverordnung beachtet werden, um den Dienst rechtskonform zu verwenden. Wir klären in unserem Beitrag über die einzelnen Voraussetzungen auf und zeigen vor dem Hintergrund der vom EuGH aufgestellten Einwilligungspflicht für technisch nicht notwendige Cookies, welche Handlungsalternativen für die Einbindung von Matomo bestehen und welche Risiken zu beachten sind.

1.) Anonymisierung der IP-Adresse des Seitennutzers durch „PrivacyManager“-Plugin

Der Webanalysedienst Matomo erhebt und speichert die IP-Adresse Ihres Seitenbenutzers. Nach derzeitiger Rechtsauffassung stellt die der IP-Adresse ein personenbezogenes Datum dar. Sie sollten daher die IP-Adresse anonymisieren.

Matomo bietet in diesem Zusammenhang das Plugin „PrivacyManager“ an. Dieses wird bei der aktuellen Matomo- Version bereits mitgeliefert und muss lediglich vom „Super User“ aktiviert werden. Dies geschieht durch Aufruf des Menüpunkts „ Einstellungen > Privatsphäre > Daten anonymisieren" sogar in grafischer Form.

Die Anzahl der zu maskierenden Oktette ist in config/global.ini.php als ip_address_mask_length mit dem Default-Wert 1 festgelegt. Ändert man also nichts an der Einstellung, wird bei aktiviertem PrivacyManager-Plugin das letzte Oktett der IP-Adresse auf 0 gesetzt.

Eine gespeicherte IP-Adresse sollte dann beispielsweise so aussehen: 128.91.97.0.
Die Anzahl der zu maskierenden Oktette kann in config.ini.php konfiguriert werden. Zulässige Werte sind für IPv4-Adressen 1 bis 4.

Die Einstellung erfolgt durch das Einfügen einer neuen Wertangabe unter [Tracker]. Um beispielsweise nicht nur ein Oktett, sondern zwei Oktette der IP-Adresse zu anonymisieren, muss die Datei config/config.ini.php wie folgt geändert werden:

ip_address_mask_length = 2

Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird.

2.) Wirksame Cookie-Einwilligung und Widerrufsmöglichkeit

Matomo setzt in der Standard-Variante diverse Tracking-Cookies auf dem Endgerät des Nutzers, welche die Analyse des Nutzerverhaltens unterstützen.

Aufgrund eines Grundsatzurteils des EuGH vom 01.10.2019 (C-673/17) ist für den Einsatz derartiger Cookies aber zwingend die vorherige ausdrückliche Einwilligung des Nutzers (etwa über ein hinreichendes Cookie-Banner oder ein konformes Cookie-Consent-Tool) einzuholen. Cookies von Matomo dürfen daher nur gesetzt werden, wenn der Nutzer zuvor wirksam in deren Verwendung eingewilligt hat. Ein Einsatz von Matomo auf Cookie-Basis vor oder unabhängig von der Nutzereinwilligung ist unzulässig. Insbesondere ein reines Opt-Out genügt nicht mehr.

Ist eine konforme Cookie-Einwilligung vorgeschaltet worden, muss der Nutzer zusätzlich die Möglichkeit haben, diese jederzeit mit Wirkung für die Zukunft zu widerrufen.

Dies kann über das eingesetzte Consent-Tool selbst erfolgen.

Alternativ lässt sich ein Widerruf bei bei Matomo durch Verwendung eines sog. Opt-Out-IFrames umsetzen, welcher es dem Seitenbesucher ermöglicht, dass durch Setzen eines Häkchens der Erstellung und Speicherung eines anonymisierten Nutzerprofils widersprochen bzw. widerrufen wird, indem ein Opt-Out-Cookie auf dem Computerrechner des Seitenbesuchers abgelegt wird.

Der HTML-Code für den Opt-Out-IFrame lautet wie folgt (*ACHTUNG* bitte ersetzen Sie den Teil „IHRE-DOMAIN“ durch Ihre Internetadresse):

<iframe frameborder="no" width="500px" height="250px" src="https://www.IHRE-DOMAIN.de/index.php?module=CoreAdminHome&action=optOut&language=de"></iframe>

Dieser Opt-Out-IFrame sollte direkt unterhalb der Datenschutzklausel eingebunden werden. Der Opt-Out-IFrame unterhalb der Matomo-Klausel sollte in der Datenschutzerklärung wie folgt aussehen:

3.) Nutzung von Matomo ohne Cookies: Handlungsanleitung und Risikoanalyse

Für Matomo lässt sich der Einsatz von Tracking-Cookies generell deaktivieren.

Nachfolgend wird aufgezeigt, wie dies technisch umzusetzen ist und welche rechtlichen Risiken (auch) bei Deaktivierung von Cookies für Matomo bestehen.

a.) Handlungsanleitung

Eine Webanalyse von Matomo lässt sich auch durchführen, ohne dass von der Anwendung Cookies gesetzt werden.

Um ein Cookie-Tracking für Matomo abzustellen, ist in den erweiterten Einstellungen die Option „Alle Tracking Cookies deaktivieren“ auszuwählen.

Alternativ kann zum Deaktivieren der Cookies für Matomo auch der Java-Script-Code modifiziert werden. Eine Anleitung dazu ist hier zu finden.

Wird das Cookie-Tracking auf Matomo generell deaktiviert, werden verbleibende Matomo-Cookies beim nächsten Aufruf der Website automatisch gelöscht.

Die Möglichkeit, das cookie-lose Tracking von Matomo zu deaktivieren, muss allerdings auch hier fortbestehen, da Nutzer das Recht haben müssen, solchen Datenverarbeitungen jederzeit zu widersprechen.

Insofern ist auch beim Einsatz von Matomo ohne Cookies ein Opt-Out-IFrame gemäß Ziffer 2. in der Datenschutzklausel zu erzeugen

b) Voraussichtliche keine Einwilligungspflicht bei Verwendung von Matomo ohne Cookies

Anstelle eines digitalen Fingerabdrucks (Device Fingerprinting) verwendet Matomo im Falle der Deaktivierung von Cookies eine datenschutzfreundlichere Maßnahme zum Schutz von Seitenbesuchern: Die config_id wird von Matomo verwendet, um verschiedene Aktionen in einem kurzen Zeitfenster von bis zu 24 Stunden zu "Besuchen" zusammenzufassen.

Die config_id des Besuchers ist ein zufällig gesetzter, zeitlich begrenzter Hash einer begrenzten Menge von Einstellungen und Attributen des Besuchers. Die config_id oder der config-Hash ist eine Zeichenkette, die für einen Besucher auf der Grundlage seines Betriebssystems, seines Browsers, seiner Browser-Plugins, seiner IP-Adresse und seiner Browsersprache berechnet wird.

Im Gegensatz zu anderen Anbietern von Analyssoftware, die Device Fingerprinting verwenden, erstellt Matomo bei der Nutzung ohne Cookies keinen solchen Fingerprint, und die config_id ist nur für weniger als 24 Stunden und nur für eine bestimmte Website-Domain gültig:

• die config_id ist nach Auskunft von Matomo nur für maximal 24 Stunden gültig und wird dann rotiert, was bedeutet, dass derselbe Besucher jeden Tag eine andere config_id erhält.
• die config_id ändert sich zufällig und wird alle 24 Stunden anonymisiert. Der zufällig erzeugte Seed wird jeden Tag verworfen und kann nicht wiederhergestellt werden.
• die Website-ID wird verwendet, um die config_id zu verarbeiten, was bedeutet, dass ein bestimmter Benutzer/Besucher auf Ihrer Matomo (Piwik)-Instanz immer eine andere config_id hat, wenn er Ihre verschiedenen Websites und Domains besucht.
• die IP-Adresse, die zur Erstellung der config_id verwendet wird, ist die anonymisierte IP-Adresse, wenn Sie die IP-Anonymisierung aktiviert haben, was die Standard-Datenschutzeinstellung in Matomo ist (wenn Sie "Auch anonymisierte IP beim Anreichern von Besuchen verwenden: Nein", wird die vollständige IP-Adresse für die Hash-Berechnung verwendet).

Um Matomo ohne Einwilligung verwenden zu können, sollten Nutzer von Matomo noch die weitergehenden Voraussetzungen erfüllen:

• Cookies deaktivieren
• IP-Adresse anonymisieren
• Referrer anonymisieren
• Personenbezogene Daten aus URLs und Seitentiteln ausschließen
• Personenbezogene Daten aus benutzerdefinierten Variablen, Dimensionen und Ereignissen ausschließen
• Maskieren Sie persönliche Daten in Heatmaps und Bildschirmaufzeichnungen
• Bestell-IDs für den elektronischen Handel ausschließen
• Aktivieren Sie keine Benutzer-ID-Funktionen
• Verwenden Sie die gesammelten Daten nur für die Analyse
• Verfolgen Sie Nutzer nur auf einer einzigen Website/Anwendung

Weiterführende Information zur Umsetzung der vorstehenden Punkte finden Sie auf der Seite von Matomo.

Wichtig - Sie müssen eine Widerspruchsmöglichkeit schaffen! Wenn Sie die Analysemöglichkeit von Matomo ohne Cookies rechtskonform einbinden möchten, müssen Sie dem Seitenbesucher noch eine Möglichkeit zum Widerspruch ermöglichen. In diesem Fall raten wir dazu, eine eigene Unterseite zu erstellen und auf dieser Unterseite die von Matomo vorgeschlagene Opt-Out-Lösung zu implementieren.

Wenn Sie die vorgenannten Punkte erfüllen, können Sie Matomo ohne Cookies auf Basis Ihres berechtigten Interesses an der statistischen Analyse des Nutzerverhaltens zu Optimierungs- und Marketingzwecken nutzen.

c.) Zwischenfazit

Mittels einer generellen Deaktivierung der Cookie-Setzung lässt sich über Matomo ein bestimmtes Nutzerverhalten auch ohne den Einsatz von Cookies nachvollziehen.

Sofern die weiteren Vorgaben zur datenschutzfreundlichen Nutzung von Matomo ohne Cookies einhalten, müssen Sie keine Einwilligung des Seitenbesuchers einholen.

4.) Löschung von Altdaten (bestehende Analyseprofile)

Es ist zu beachten, dass die Anpassungen nur neue Analyseprofile erfassen. Zuvor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Hinweis:
Die Einfügung des Opt-Out-IFrames (siehe oben unter Ziffer 2.) muss von Ihnen mittels HTML-Code gesondert auf Ihrer Internetseite erfolgen!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.