Kaum ein Unternehmen verzichtet heutzutage darauf, die Performance der eigenen Website über ein Analyse-Tool zu messen. Das Sammeln und Auswerten von Informationen über die Nutzung einer Website ermöglicht es, die Zielgruppe besser zu verstehen und die Website sowie das Online-Angebot optimal auf diese auszurichten.
Der Open-Source-basierte Dienst Matomo gilt dabei als datenschutzfreundliche Alternative zu dem verbreiteten Dienst Google Analytics. Doch auch für einen datenschutzkonformen Einsatz von Matomo müssen einige rechtliche Anforderungen – namentlich die EU-Datenschutz-Grundverordnung (DSGVO) und dasTelekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) – berücksichtigt werden. Welche das genau sind und wie sie sich umsetzen lassen, wird in diesem Beitrag näher beleuchtet.
Einwilligung ist Pflicht (und Ausnahmen bestätigen die Regel)
Das TDDDG verlangt für die Speicherung von Informationen auf dem Endgerät der Nutzer:innen oder das Auslesen bereits gespeicherter Informationen grundsätzlich eine vorherige Einwilligung. Dies ist zentral in § 25 TDDDG geregelt. Cookies sind hier das Paradebeispiel. Einwilligungsbedürftig sind aber grundsätzlich alle Technologien, die mit einem Zugriff auf das Endgerät verbunden sind. Ausnahmen von der Einwilligungspflicht gelten nur in bestimmten eng umgrenzten Fällen. Die Voraussetzungen für eine Ausnahme sind jedoch streng auszulegen und gelten in aller Regel nicht für klassische Website-Analyse-Dienste.
Ohne Einwilligung geht es wohl nicht
Matomo speichert zur Wiedererkennung von Website-Besuchenden entweder ein eindeutiges Merkmal in einem Cookie oder liefert ein Skript, das Informationen auf dem Endgerät der Besuchenden erhebt und an die Matomo-Instanz überträgt. Mit diesen Daten kann Matomo das Endgerät vorübergehend identifizieren und zuordnen. Die erhobenen Informationen erlauben eine Profilerstellung für das jeweilige Endgerät, um dessen Bewegungen auf der Website zu verfolgen. Werden für die Website-Analyse von Matomo Cookies eingesetzt, ist hierzu eine vorherige Einwilligung der Besuchenden, z. B. über ein Cookie-Banner, notwendig.
Alle aktuellen Entwicklungen zu Analyse-Tools wie Matomo haben Sie mit unserem Newsletter im Blick.
Ist die cookielose Matomo-Alternative die Lösung?
Matomo hat erkannt, dass der Einsatz eines Cookie-Banners für Unternehmen klare Nachteile hat. Denn viele Website-Besuchende geben trotz aller Bemühungen bei der Cookie-Banner-Gestaltung nicht ihr Opt-In für das Besucher-Tracking. Um dem zu begegnen, bietet Matomo seinen Dienst auch als cookielose Variante an, wobei es technisch verschiedene Optionen gibt.
Matomo mit JavaScript-Tracker
Eine cookielose Variante von Matomo ist config_id. Hierbei handelt es sich um einen zufällig generierten, temporären Hash, der auf einer begrenzten Anzahl von Besucherattributen basiert und alle 24 Stunden erneuert wird. Die Erstellung des config_id erfolgt zudem auf Basis der anonymisierten IP-Adresse. Die französische Datenschutzbehörde CNIL hält diese cookielose Variante unter bestimmten Bedingungen auch ohne Einwilligung für datenschutzkonform. Jedoch muss berücksichtigt werden, dass auch bei dieser minimal invasiven Methode technisch weiterhin notwendig bleibt, einen JavaScript Tracking Code in die Website zu integrieren. Bereits dieser Vorgang wird nach Ansicht der Bundesdatenschutzbeauftragten als ausreichend erachtet, um von einem Einwilligungserfordernis auszugehen. Denn durch das Einbinden eines Tracking-Skripts wird eine Information (nämlich das Skript) auf den verwendeten Endgeräten der Nutzer:innen gespeichert (im Browser-Cache) und über diese Browser-Informationen ein Nutzerprofil erstellt.
Um auf der sicheren Seite zu sein, sollte deshalb auch bei der cookielosen Variante mit der Nutzung von JavaScript eine vorherige Einwilligung der Website-Besuchenden eingeholt werden.
Der Log Analytics-Modus
Eine Möglichkeit, Matomo ohne Einwilligung zu nutzen, bietet der Log Analytics-Modus. Bei diesem Verfahren werden die Nutzungsdaten direkt aus den Server-Logs ausgewertet, sodass es nicht notwendig ist, einen JavaScript Tracking Code in die Website zu integrieren. Die Analyse durch Matomo erfolgt hier auf der Grundlage derjenigen Daten, die in den Zugriffsprotokolldateien (log files) des Webservers gespeichert sind. Solche Zugriffsprotokolldateien enthalten Informationen zu allen an den Server gerichteten Anfragen, was auch Informationen über die Aktivitäten auf der Website bzw. deren verwendete Endgeräte umfasst. Diese Informationen werden beim Aufruf der Website durch das verwendete Endgerät an den Webserver übermittelt. Ein Zugriff des Webservers auf den Gerätespeicher erfolgt hierbei aber nicht.
Da beim Log Analytics-Modus keine Cookies gesetzt und keine personenbezogenen Daten gespeichert werden, entfällt die Notwendigkeit einer Einwilligung. Nicht unerwähnt bleiben darf allerdings, dass bei dem Log Analytics-Modus keine spezifischen Identifikatoren erstellt werden. Es wird lediglich eine allgemeine Traffic-Analyse durchführt, die weniger tiefe Einblicke in das Verhalten einzelner Nutzer:innen bietet als die Cookie-Varianten von Matomo.
Sie brauchen rechtliche Unterstützung beim Einsatz von Matomo? Melden Sie sich gerne hier.
Und was ist mit der DSGVO?
Die Verwendung von Matomo erfordert in jedem Fall die Verarbeitung der IP-Adresse, und zwar auch bei der cookielosen Variante. Denn auch beim Log Analytics-Modus wird für einen kurzen Moment die IP-Adresse der Besuchenden erhoben. Erst anschließend wird die IP-Adresse anonymisiert. Folglich müssen die Anforderungen der DSGVO eingehalten werden.
Rechtsgrundlage
Je nach gewählter Matomo-Variante kommen verschiedene Rechtsgrundlagen in Betracht. Ist wegen des Gerätezugriffs eine Einwilligung notwendig, basiert auch die Verarbeitung der Daten der Website-Besuchenden auf einer Einwilligung und damit der Grundlage aus Art. 6 Abs. 1 Buchst. a DSGVO. Beim Log Analytics-Modus kann die Datenverarbeitung hingegen auf die Interessensabwägung aus Art. 6 Abs. 1 Buchst. f DSGVO gestützt werden. Denn es kommt lediglich zu einer Erhebung der verwendeten IP-Adresse, die direkt anonymisiert wird. Von dieser Datenverarbeitung werden die geschützten Interessen einer betroffenen Person nur in einem sehr geringen Maße beeinträchtigt, sodass das berechtigte Interesse des Unternehmens an der Website-Analyse überwiegt.
Datenminimierung
Matomo bietet über die Privacy Settings verschiedene Einstellungsmöglichkeiten, um die Verarbeitung personenbezogener Daten auf das erforderliche Maß zu beschränken (Grundsatz der Datenminimierung). In jedem Fall sollten Einstellungen gesetzt werden, welche die IP-Adressen der Website-Besuchenden automatisch anonymisieren. Die Funktion zur Erstellung von User IDs sollte nicht verwendet werden. Außerdem sollte geprüft werden, welche Funktionen im Einzelfall für das gewünschte Tracking erforderlich sind und die Erhebung nicht notwendiger Informationen deaktiviert werden (z.B. Deaktivierung der Erhebung von Ortsangaben).
Transparenz
Des Weiteren ist gemäß Art. 13 DSGVO die Bereitstellung von Datenschutzinformationen erforderlich. Die Informationen zur Datenverarbeitung im Zusammenhang mit Matomo können dabei in die Datenschutzerklärung der Website integriert werden.
On-Prem oder Cloud?
Matomo kann sowohl On-Premise als auch in der Cloud betrieben werden. Bei der On-Premise-Variante wird die gesamte Datenverarbeitung innerhalb der eigenen IT-Infrastruktur des Unternehmens durchgeführt, was Kontroll- und Sicherheitsvorteile bietet.
Beim Einsatz in der Cloud gelten besondere Anforderungen. Insbesondere muss mit dem Anbieter der Cloud ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO geschlossen werden. Zudem ist zu beachten, dass Matomo seinen Sitz in Neuseeland hat. Der Einsatz der Cloudvariante von Matomo stellt damit einen Drittlandtransfer dar, für den besondere Anforderungen gelten. Allerdings hat die EU-Kommission mit einem Angemessenheitsbeschluss festgestellt, dass in Neuseeland ein hinreichendes Datenschutzniveau gewährleistet ist. Ein Drittlandtransfer nach Neuseeland ist damit unproblematisch möglich.
Fazit
Matomo ist eine datenschutzfreundliche Alternative zu Google Analytics. Zwar kann Matomo auch in der cookielosen Variante mit vollem Funktionsumfang, genauso wie Google Analytics, nur mit einer vorherigen Einwilligung der Website-Besuchenden eingesetzt werden. Matomo stellt aber eine Reihe von Einstellungsmöglichkeiten bereit, um die Verarbeitung der Besucherdaten auf ein Mindestmaß zu begrenzen. Unternehmen, welche auf eine umfangreiche Analyse verzichten können und die Analyse ohne Einwilligung der Website-Besuchenden verwenden möchten, können auf den Log Analytics-Modus zurückgreifen.
Franziska Mauritz ist als Legal Consultant und Rechtsanwältin im Bereich Datenschutz, Wettbewerbsrecht und Datenrecht bei der Datenschutzkanzlei tätig.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.
Holen Sie die Datenschutzkanzlei an Bord
Rechtsberatung für Daten, Tech und Marketing
Externe Datenschutzbeauftragte für Ihr Unternehmen
Datenschutzkanzlei als Hinweisgeber-Meldestelle