Leserkommentare zum Artikel

Matomo mit/ohne Cookies nutzen: Handlungsanleitungen und Risikoanalyse

Beim Einsatz des Webanalysetools Matomo (ehemals Piwik) müssen einige Anforderungen gemäß der Datenschutz-Grundverordnung beachtet werden, um den Dienst rechtskonform zu verwenden. Wir klären in unserem Beitrag über die einzelnen Voraussetzungen auf und zeigen vor dem Hintergrund der vom EuGH aufgestellten Einwilligungspflicht für technisch nicht notwendige Cookies, welche Handlungsalternativen für die Einbindung von Matomo bestehen und welche Risiken zu beachten sind.

» Artikel lesen


Wie lange auf Antwort warten?

Beitrag von Stefan Lenzner
26.11.2019, 08:17 Uhr

Bekommt man hier auch Antwort auf die Fragen?

Intern gehostetes Matomo

Beitrag von Stefan Lenzner
25.11.2019, 09:52 Uhr

Laut Aussage von den Machern des Wordpress-Plugins WP DSGVO Tools muss man bei einem intern gehosteten Matomo keine Cookie-Einwilligung des Users einholen. Ist das richtig?

Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird.

Beitrag von Gabriele Sch.
05.11.2019, 08:47 Uhr

Guten Morgen,

ich nutze die neuste Matomo Ausgabe in der deutschen Fassung.. Unter Punkt 1 findet sich in Ihrer Anweisung: "Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird." Ich kann das leider nicht finden. Wo genau befindet sich diese Einstellung? Vielen Dank!

Browser Fingerprinting

Beitrag von IT-Recht Kanzlei
18.10.2019, 12:46 Uhr

Guten Tag, vielen Dank für Ihren Kommentar.

In der Tat liegt es nahe, das Browser-Fingerprintig, bei dem gewisse Informationen aus dem verwendeten Endgerät ausgelesen und zu einem eindeutigen Nutzerprofil zusammengefügt werden, generell als cookie-gleich und mithin einwilligungspflichtig behandelt werden (s. auch Wortlaut von Art. 5 Abs. 3 der RL 2002/58/EG).

Bei Matomo lässt sich für das Fingerprinting allerdings die erhobene IP-Adresse anonymisieren (Datenschutzeinstellungen --> “Also use anonymised IP when enriching visit: Yes). In diesem Fall können die Informationen nicht mehr vollständig ausgelesen werden, sodass nach unserer Ansicht eine Einwilligungspflicht entfällt und ein Opt-Out genügt.

Browser Fingerprinting

Beitrag von Peter
18.10.2019, 12:10 Uhr

Müsste "IP address and other footprints" die Matomo zur Ermittlung einer Session verwendet nicht als cookiegleich behandelt werden? Soweit ich den EuGH-Beschluss verstanden habe schließt es ja Browser Fingerprinting mit ein.

Opt-out iFrame mit Cookie :)

Beitrag von John
18.10.2019, 10:47 Uhr

Vielen Dank für den Beitrag. Insbesondere für privat betriebene Websites reicht die cookielose Einbindung in der Regel ja aus. Auf ein Problem bin ich jedoch bei der Umsetzung gestoßen: Die Einbindung des Opt-out-iFrames in der Datenschutzerklärung setzt ein Cookie. Ich vermute aber mal, dieses Cookie kann als funktional klassifiziert werden?

Einwilligungspflicht für Cookie-Einsatz durch Matomo

Beitrag von IT-Recht Kanzlei
14.10.2019, 10:05 Uhr

Sehr geehrte Damen und Herren,

vielen Dank für Ihre Kommentare. Kommt es beim Einsatz von Matomo zur Setzung von Cookies, genügt die vom Anbieter vorgehaltene Opt-Out-Lösung seit dem EuGH-Urteil vom 01.10.2019 ((Az. C-673/17) nicht mehr. Vielmehr ist nunmehr im Vorfeld der Cookie-Setzung die ausdrückliche Einwilligung in die Matomo-Cookies erforderlich.

Kann dies nicht sichergestellt werden, besteht die Möglichkeit, Cookies von Matomo beim Einsatz des Tools generell zu deaktivieren und so eine Einwilligungspflicht auszuhebeln.

Eine Anleitung hierzu finden Sie hier: https://matomo.org/faq/general/faq_157/

Matomo im privacy-mode und ohne cookies?

Beitrag von Thomas
10.10.2019, 09:55 Uhr

Könnt ihr bitte dazu die Konfiguration der Datenschutzerklärung anpassen oder muß das nicht?

1.10.2019: EuGH-Urteil zum Cookie-Einwilligungs-Banner

Beitrag von Susi
07.10.2019, 17:06 Uhr

Und wie stellt sich das Ganze jetzt dar nach dem aktuellen Urteil des EuGH? Muss man jetzt bei Einsatz von Matomo mit Opt-In arbeiten?

Sachlicher Anwendungsbereich DSGVO Art. 2 bei Hosting auf eigenem Server

Beitrag von Thomas
19.05.2019, 01:44 Uhr

Vorweg: großes Lob dafür, dass die Diskussion hier offen ist und für einen Artikel der sich mal mit der technischen Realität befasst (selbst bei wichtigen Urteilen ja nicht selbstverständlich leider)!

- FRAGE: Art. 2 DSGVO bestimmt ja "Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung PERSONENBEZOGENER Daten...". Anders gesagt: Wenn nicht "personenbezogen", kann man die DSGVO vollständig ignoieren, weil sie ja keine Anwendung findet, somit auch auf betreffende Erklärungen zum Datenschutz zu verzichten. - Nehmen wir also den Fall an,

dass Matomo auf einem eigenen bzw. Kunden-Server installiert wird und in der Konfiguration die IP-Adressen von vornherein bei der Erhebung gekürzt. - In den Cookies wiederum (soweit ich sehe) ist ein langer, damit eindeutiger Zuffalswert aus Zahlen/Buchstaben hinterlegt mit dem man auch den Rechner nicht und somit noch weniger eine Person identifizieren kann. Einzig natürlich lassen sich so feststellen: 1. ruft derselbe Rechner erneut auf (solange nicht neue Sitzung/Zählung) und 2. NUR DIESEM nicht zurückverfolgbaren CODE (und der aber ja ggf. ausreichend gekürzten IP) z.B. Betriebssystem und Monitorauflösung... zugeordnet. - M.E. könnte man - in diesem Fall also Selbst-Hosting + anonymisierte IP - auch mindestens mal in den Raum stellen ob die DSGV überhaupt Anwendung findet und man - in diesem Fall/bei solcher Installation - nicht sogar auf jeglichen Hinweis/DS-Erklärung sogar komplett verzichten kann? - Diese Frage und Ansatz "sachl. Geltungsbereich" fände ich mal sehr interessant beantwortet zu finden - während Ihr Artikel ja mal ganz hervorragend sich mit der kommerziellen Matomo-Variante diesbzgl. beschäftigt. (Nur nebenbei: der Provider, der in DS-Erklärungen ja kaum bis nie Erwähnung findet, hat sehr viel mehr Daten, mind. kurzzeitig auch die volle IP, weil ja sonst die Website nicht abrufbar wäre). Sicher also eine spannende Frage? Und vielen Dank, auch im namen der Mitlesenden!

Benutzung

Beitrag von Frederick
03.08.2018, 21:00 Uhr

Vielen Dank für den Artikel.

Könnte ich die Datenschutzerklärung benutzen?

Auftragsverarbeiter in Datenschutzklausel

Beitrag von Christian
22.06.2018, 13:23 Uhr

Muss denn in der Datenschutzklausel nirgends der Hoster angegeben werden, also wo Piwik gehostet wird, und dass man mit diesem einen Vertrag zur Auftragsverarbeitung geschlossen hat? Ich meine die personenbezogenen Daten werden ja schließlich bei diesem gespeichert / verarbeitet und dass gar nicht zu erwähnen, halte ich für gefährlich?!? Etwas anderes ist, wenn man den Server vllt komplett selber betreibt / zu Hause stehen hat und da niemand anderes drauf Zugriff hat.

Bei Google Analytics wird ja auch die Anschrift benannt und dass ein Vertrag zur Auftragsverarbeitung geschlossen wurde...

Jurastudent

Beitrag von Ränsch
20.06.2018, 17:51 Uhr

Dadurch, dass das Häckchen automatisch gesetzt wird, widerspricht dies doch dem privacy by default? 

Anmerkung zu IHRE DOMAIN

Beitrag von Herr Silberadler
23.05.2018, 18:06 Uhr

Damit es verständlicher ist: Es ist wohl nicht wichtig, ob man Matomo auf einem eigenen Server oder bei Matomo direkt nutzt. Mit "IHRE DOMAIN"ist die Serveradresse von Matomo gemeint. Dazu gibt es auch von Matomo eine Anleitung, erst da wurde es mir klar: Unter Einstellungen -> links Privatsphäre -> Users Opt-Out bekommt man den gleichen Codeschnipsel, den man einbauen kann.

Hoffe das hilft für die Verständlichkeit.

S.

iframe lasse ich auch wegen der DSGVO erst gar nicht zu

Beitrag von Rene
22.05.2018, 09:04 Uhr

Um meine Seite zugriffs-und rechtssicher zu halten, lasse ich technisch gesehen kein iframe zu. Daher die Frage, gibt es dazu eine Alternative dazu?

Matomo ohne Cookies

Beitrag von Marc
19.05.2018, 09:15 Uhr

Guten Tag, auch mich würde interessieren, was bei der Konfiguration von Matomo ohne Cookies zu beachten ist. Ziel ist für mich eine Web-Seite, welche ohne ein Cookie-Banner auskommt. Insbesondere stelle ich mir folgende Fragen: Ist die Datenschutzerklärung der IT-Recht-Kanzlei auch für die Konfiguration ohne Cookies geeignet? Kann ich meine Web-Seite dann ohne ein Cookie-Banner betreiben? Ist bei Aufruf der Seite eine gesonderte Einwilligung zum Tracking erforderlich, wenn Matomo auf dem eigenen Server betrieben wird? Mit freundlichen Grüßen, Marc

cookieless und selbstgehostet?

Beitrag von Wolfgang
08.05.2018, 14:47 Uhr

Wie sieht es aus wenn man ohne cookies tracked und matomo selber hostet? Die derzeitige Version der Datenschutzerklärung legt nahe, dass es sich hier um die Cloud-Version handelt. 

Fragender

Beitrag von Jens Horstmannshoff
03.05.2018, 10:55 Uhr

Hallo,

nach den aktuellen Interpretationen der DSK dürfen Tracking Cookies erst NACH der ausdrücklichen Zustimmung des Nutzers gesetzt werden:

http://www.online-marketing-recht.de/tracking-nur-noch-mit-einwilligung-was-ist-dran-am-beschluss-der-datenschutzkonferenz/

Wie ist ihre Meinung dazu? 

Man kann Matomo auch komplett ohne Cookies nur über Javascript code betreiben (allerdings etwas ungenauer). Wäre das sicherer?

Wie hoch ist die Abmahngefahr?

Eine Trackingcookieabfrage am Anfang würde Kunden nur abschrecken.

Danke und viele Grüße 

Jens Horstmannshoff 

statische Analyse

Beitrag von Michael Prior
29.04.2018, 17:19 Uhr

Bei der statischen Analyse der Logfiles von Matomo werden keine Cookies gesetzt sondern nur die ohnehin vorhandenen Serverlogs ausgewertet. Bei der Auswertung findet auch eine Anonymisierung der IP statt. In wiefern müsste mann da (über den Hinweis, dass Serverlogs für technische Abläufe 7 Tage gespeichert werden) noch Hinweisen ? Ein OptOut gibt es hier ja auch nicht (das Serverlog, unterscheidet ja nicht) ? Danke für den guten Artikel !

Matomo

Beitrag von Carsten Semmler
25.04.2018, 21:44 Uhr

Hallo Herr Müller, Matomo bietet einem Webseitenbenutzer die Möglichkeit, aktiv gegen die Datensammlung zu stimmen(Opt-out). Nach der DSGVO muss er aber entscheiden können, ob er für eine Datensammlung ist (Opt-in). Kann es sein, dass Matomo diese Funktion nicht bietet? Was gibt es hier für eine Lösung? Vielen Dank für eine kurze Rückmeldung. Mit freundlichen Grüßen Carsten Semmler

Korrektur

Beitrag von IT-Recht Kanzlei
22.04.2018, 07:37 Uhr

Vielen Dank für den Hinweis, wir haben den Fehler soeben korrigiert

Ein Wort fehlt

Beitrag von Stefan
20.04.2018, 20:51 Uhr

In der Datenschutzerklärung fehlt im letzten Satz ein "hat".

geht einfacher ;-)

Beitrag von Tim
05.04.2018, 20:06 Uhr

Punkt 1 geht auch um einiges einfacher, denn Matomo bringt dafür von Haus aus eine Oberfläche mit (Einstellungen -> Privatsphäre). Danach sollte man aber den Trackingcode neu in die Webseite einbauen. Ebenso ist es beim Erstellen des Trackingcodes möglich, alle Cookies zu deaktivieren, die kommende E-Privacy-Verordnung lässt grüßen!

Kommentar schreiben

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5