Bei Matomo, ehemals Piwik, handelt es sich um ein als Open Source kostenlos zur Verfügung gestelltes Analyse-Tool, über das die Nutzerströme auf der Webseite analysiert werden können. Alternativ zur kostenlosen Variante kann es auch über den Anbieter gehostet werden. In diesem Fall ist die Konstellation zwischen Webseitenbetreiber*in und Matomo ähnlich wie beim Einsatz von Google Analytics oder ähnlichen Tools. Im nachfolgenden Artikel beziehen wir uns ausschließlich auf die selbstgehostete Variante von Matomo.

Matomo wird gerne als Alternative zu Google Analytics aufgrund der bereits mehrfach durch uns besprochenen Drittstaaten Problematik eingesetzt. Zwar bietet Matomo weniger Funktionalitäten als Google Analytics, diese reichen jedoch für die meisten Webseitenbetreiber*innen vollkommen aus. Matomo kann heruntergeladen und auf dem eigenen Webserver installiert und gehostet werden. Das Tool punktet im Vergleich zu Google Analytics insbesondere durch dessen Umgang mit dem Datenschutz. Die Webseitenbetreiber*innen behalten zu jeder Zeit die Hoheit über die gesammelten Daten und diese werden nicht an Dritte weitergegeben. Ob eine Einwilligung für den Einsatz von Matomo benötigt wird, hängt daher hauptsächlich von Voreinstellungen ab, welche eigenständig vorzunehmen sind. Wird Matomo entsprechend konfiguriert, kann es sogar ohne Einwilligung (aber natürlich mit entsprechender Information der Nutzer*innen) eingesetzt werden.

Wann wird eine Einwilligung benötigt?

Da das Surfverhalten von Nutzer*innen beobachtet wird, liegt eine Verarbeitung personenbezogener oder zumindest personenbeziehbarer Daten vor. Die Verarbeitung der Daten unterliegt also dem Regime der DSGVO. Da es sich bei Webseiten um Telemedien handelt, ist ebenfalls das TTDSG zu berücksichtigen, wobei die DSGVO vorrangig ist, sollte es zu Unklarheiten oder Widersprüchen kommen.

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich bei unserem Thema hauptsächlich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies oder die Standortermittlung.

Gemäß § 25 Abs. 1 TTDSG ist die Speicherung von Informationen in der Endeinrichtung der Endnutzer*innen oder der Zugriff auf Informationen, die bereits dort gespeichert sind, nur zulässig, wenn eine explizite Einwilligung zugrunde liegt. Bei den hier gemeinten Daten handelt es sich neben Cookies auch um alle anderen Technologien, die es ermöglichen, Daten zu speichern oder auszulesen.

Eine Einwilligung ist nur dann nicht erforderlich, „wenn der alleinige Zweck der Speicherung […] oder der alleinige Zweck des Zugriffs auf […] gespeicherte Informationen […] unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (§25 Abs. 2 TTDSG).

Die aufgeführte Ausnahme (§ 25 Abs. 2 beinhaltet zwei Ausnahmen; wir gehen aus Relevanzgründen für diesen Artikel jedoch nur auf die zweite ein) kann beispielsweise nur Anwendung finden, sofern es sich um eine Webseite handelt, die beispielsweise durch eine Anmeldung geschützt wird und bei der durch das Setzen von Cookies die Nutzer*innen-Sitzung verwaltet oder abgesichert wird. Ebenfalls könnten andere Sicherheitsfunktionalitäten den Einsatz von Cookies erfordern. Auch eine vom Nutzer gewählte Spracheinstellung könnte eine solche Erforderlichkeit begründen. Zwingende Voraussetzung wäre eine Einwilligung jedoch bei Cookies, die für die Wiedererkennung der Nutzer*innen im Rahmen des Tracking genutzt werden. Da bereits das Tracking aller Voraussicht nach nicht ausdrücklich von den Nutzer*innen gewünscht sein wird, lässt sich der Einsatz von Cookies in diesem Rahmen nicht begründen und erfordert daher eine Einwilligung.

Wird Matomo mit den Standardeinstellungen genutzt, werden Cookies zur Analyse des Nutzer*innenverhaltens auf dem Endgerät gesetzt. Soll Matomo ohne die vorherige Einholung einer Einwilligung genutzt werden, muss die Speicherung der Cookies durch entsprechende Konfiguration verhindert werden. Soll Matomo mit Speicherung von Cookies verwendet werden, so kann die notwendige Einwilligung durch Verwendung eines eingebundenen Consent Managers eingeholt werden. Im Rahme der Einholung der Einwilligung ist gleichzeitig vollumfänglich über die Datenverarbeitung zu informieren. Wir haben bereits über das Thema Consent Manager und die gesetzlichen Anforderungen hier berichtet und gehen in unserem parallel erschienenen Artikel noch einmal kritisch darauf ein.

Wichtig ist bei der gewählten Option, dass den Nutzer*innen die Informationen transparent zugänglich gemacht werden und die Einwilligung freiwillig und aktiv vor der Datenerhebung erfolgt. Erfolgt dies nicht, dürfen auch keine Daten der Nutzer*innen erhoben werden. Ebenso einfach wie die Einwilligung für Matomo eingeholt werden kann muss auch die Möglichkeit eines späteren Widerrufs bestehen.

Vermeidung einer Einwilligung

Matomo bietet Möglichkeiten des datenschutzfreundlichen Einsatzes, bei dem auf das Einholen einer Einwilligung verzichtet werden kann. Es besteht beispielsweise die Option, den Einsatz von Tracking-Cookies zu deaktivieren. Diese Funktion kann vom Administrator in den Einstellungen konfiguriert werden.  Alternativ kann die Speicherung von Cookies durch Matomo deaktiviert werden, indem der Java-Script-Code entsprechend modifiziert wird. Werden die Cookies generell deaktiviert, werden sogar die gegebenenfalls in der Vergangenheit von Matomo auf einem Rechner der Nutzer*innen bereits gesetzten Cookies beim nächsten Aufruf der Webseite automatisch gelöscht.

Bei dem Einsatz eines Tools wie Matomo erhalten die Webseitenbetreiber*innen Informationen wie viele Nutzer*innen die Webseite besucht haben, welche Beiträge am häufigsten geklickt werden oder an welcher Stelle besonders häufig abgebrochen wird. Für diese Art von Auswertungen reichen allerdings üblicherweise auch anonyme Auswertungen ohne Personenbezug.

Der Nachteil ist in diesem Fall, dass wiederkehrende Nutzer*innen nicht zuverlässig als solche erkannt werden. Doppelzählungen könnten die Folge sein, was für die meisten Webseitenbetreiber*innen allerdings unproblematisch sein sollte.

Nach aktueller Rechtsauffassung stellt die IP-Adresse ein personenbezogenes Datum dar und darf daher nur auf Basis einer gültigen Rechtsgrundlage verarbeitet werden. Da diese in vielen Fällen nicht vorhanden sein wird, ist die IP-Adresse in der Regel zu anonymisieren. Dies kann ebenfalls über die Einstellungen vorgenommen werden.

Nichts destotrotz müssen die Nutzer*innen weiterhin transparent und vollumfänglich über die Datenverarbeitung informiert werden, auch wenn keine explizite Einwilligung erforderlich ist. Dies kann wie üblich in den Datenschutzhinweisen der Webseite erfolgen. Solange keine Einwilligung benötigt wird, ist die Aufnahme in den Consentmanager erfreulicherweise nicht notwendig.

Kriterien für die Auswahl eines Analysedienstes aus Datenschutzsicht

Auch wenn wir uns bislang auf Matomo bezogen haben, gelten diese Anmerkungen natürlich unabhängig vom konkret eingesetzten Tool. Soll die Notwendigkeit der Einholung einer Einwilligung vermieden werden, ist bei der Auswahl eines Analysedienstes zu beachten, dass dieser die hierzu notwendigen Bedingungen erfüllt bzw. die notwendigen Konfigurationen vorgenommen werden können. Die Verarbeitung personenbezogener Daten muss (zumindest aktuell) ausschließlich in der EU / dem EWR stattfinden, sofern nicht gemäß den Artt. 44 ff DSGVO eine Übermittlung in das jeweilige Drittland zulässig ist. Darüber hinaus sind die folgenden Anforderungen zu erfüllen:

  • Es muss ein Vertrag zur Auftragsverarbeitung mit dem Dienstleister geschlossen werden, sofern nicht eigenständig gehostet wird;
  • beim Einsatz eines Dienstleisters, darf dieser die Daten nicht für eigene Zwecke weiterverarbeiten;
  • es dürfen keine Cookies oder ähnliche Methoden zur lokalen Speicherung von Daten auf den Geräten der Nutzer*innen eingesetzt werden;
  • Anonymisierung der IP-Adressen;
  • vollständige Information der Nutzer*innen über die Verarbeitung.

Die Auswahl des Tools an sich, sowie eines eventuell genutzten Dienstleisters ist demnach ebenso wichtig wie die richtige Konfiguration. Wir empfehlen Ihnen sehr genau hinzuschauen, ob alle Bedingungen erfüllt beziehungsweise durch Sie umgesetzt werden können.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.