Sie befinden sich hier:

Datenschutz-Einstellungen und Consent-Management mit Matomo

Inhaltsverzeichnis

Webanalyse ist heute für Webseitenbetreiber aller Art nicht mehr wegzudenken – für die Erfolgsmessung des Online-Marketing, der Anzahl von Webseiten-Besuchern und vor allem, was die Besucher an einer Internetseite mögen bzw. weniger interessant finden. Insbesondere für Betreiber von Onlineshops ist die Erfassung von wichtigen Leistungskennzahlen und ein detailliertes Webanalyse-Reporting unschätzbar wertvoll.

Kurz: Matomo (vormals Piwik), das Webanalyse-Tool der Wahl, unterstützt maßgeblich bei der Optimierung eines Internet-Auftritts und hilft dem Betreiber, das Erlebnis für seine Kunden und Besucher so intuitiv und frustfrei wie möglich zu gestalten.

Disclaimer: Dieser Artikel dient nicht der Rechtsberatung, sondern soll die verschiedenen Einstellungsmöglichkeiten von Matomo im Bezug auf den Datenschutz beleuchten. Um eine Webseite rechts- und datenschutzkonform zu betreiben, raten wir dazu, einen spezialisierten Anwalt / die Rechtsabteilung zur Prüfung eines Webauftritts zu konsultieren.

Datenschutz und Matomo Webanalyse - die Macht kommt nicht ohne Verantwortung

Die Erfassung der Daten eröffnet dem Webseiten-Betreiber also neue Möglichkeiten zum Kennenlernen seiner Zielgruppe, sowie deren Interaktionen und kann daraus datengetrieben seine Onlineaktivitäten (Marketingkampagnen, Webseiten- oder Shop-Layout, UX/UI, Inhalte) optimieren.

Allerdings muss die Erhebung / das Tracking der Besucher und Kunden aus guten Gründen unter Einhaltung des Datenschutzes erfolgen. Bei Nichteinhaltung drohen dem Seitenbetreiber Konsequenzen, wie z.B. ein Bußgeld, oder die Schädigung des öffentliches Ansehens sind die Folge.

Die Datenschutz-Grundverordnung, kurz DSGVO (engl. GDPR), regelt seit Mai 2018 die Grundsätze und Voraussetzungen für alle Vorgänge, die zur Erfassung, Verarbeitung und Speicherung von personenbezogenen Daten dienen.

Was ist rechtlich zulässige Datenerhebung?

Dieses Thema wird in aller Breite von rechtlich spezialisierten Plattformen behandelt, daher an dieser Stelle nur in aller Kürze.

Vor der ersten Erfassung von Daten, muss der Webseitenbesucher, z.B. über ein Consent-Manager, nach seiner Einwilligung zum Tracking befragt werden und über die Verwendung / Verarbeitung der Daten restlos aufgeklärt werden. Einen guten Vergleich von kommerziellen Consent-Manager-Lösungen hat der Händlerbund hier veröffentlicht.

Dem Nutzer muss die Möglichkeit eingeräumt werden, der Datenerfassung, selbst nach erfolgter Einwillgung, jederzeit zu widersprechen (OptOut). Außerdem muss der Betreiber sich einen Workflow bereitstellen, mit dem einem erfassten Besucher Auskunft über, Sperrung und Löschung der bereits gesammelten Daten ermöglicht wird. In regelmäßigen Abständen muss die Einwilligung zum Tracking erneut erfragt werden.

Wenn man die zahlreichen Anforderungen vermeiden möchte, müssen die gesammelten Daten vor der Verarbeitung und Speicherung anonymisiert werden. Dazu zählt zum Beispiel die Erfassung / Erstellung von

  • IP-Adressen
  • Bestellnummern
  • Email-Adressen
  • Benutzernamen / IDs
  • Cookies mit Bezug zum verwendeten Endgerät
  • Fingerprints
  • allen Daten, die einen Bezug zum erfassten Besucher (über das anonyme Profil hinaus) herstellen lassen

Konfigurationsoptionen zur Steuerung der Einwilligung (Consent)

Wenn man einen Consent-Manager einsetzen möchte, sind folgende Schritte durchzuführen. Diese Beschreibung gilt analog für den Einsatz des Matomo TagManagers. Ich empfehle die Verwendung des TagManagers, da die unten genannten Befehle dann über Einstellungen im UserInterfase getätigt werden können, was die Sache erheblich vereinfacht.

1. Schritt - Einwilligung zum Tracking voraussetzen

Mit dem Standard-Trackingcode

Die Einbindung dieser Codes muss vor dem Aufruf von „trackPageView“ erfolgen, damit das Tracking blockiert werden kann, insofern keine Einwilligung vorliegt.

				
					//Einwilligung zum Tracking voraussetzen
_paq.push(['requireConsent']);

//alternativ - nur Einwilligung zum Erstellen von Cookies voraussetzen
_paq.push(['requireCookieConsent']);
				
			

Mit dem TagManager

Diese Einstellung finden Sie im Bereich Matomo TagManager -> Variablen -> Matomo Konfiguration.

2. Schritt - Die Einwilligung einholen

Jetzt wird dem Besucher das Einwilligungfenster angezeigt. Hier kann er der Datenerfassung zustimmen, oder ablehnen. Im Falle einer Ablehnung muss nichts weiter veranlasst werden, da wir das Tracking im 1. Schritt bereits blockiert haben.

Wenn der Besucher der Datenerfassung zustimmt, gehen wir zum 3. Schritt über.

Wichtig: Der Mechanismus der Zustimmung funktioniert bei den Consent-Managern unterschiedlich. Manche erfordern die Einbindung von HTML-Attributen in den Quelltext, andere schreiben Informationen über Zustimmung und Ablehnung in den DataLayer oder den internen Browserspeicher. Bei Interesse werde ich einen eigenen Blogartikel über dieses Thema verfassen.

3. Schritt - Bei erfolgter Einwilligung: Tracking starten

Nach der Einwilligung des Besuchers wird nun die Freigabe zum Tracking erteilt. Dies funktioniert für den herkömmlichen Tracking-Code und für den TagManager auf die gleiche Art.

				
					//Einwilligung zum Tracking erteilen und für weitere Seitenansichten merken
_paq.push(['rememberConsentGiven']);

//alternativ - Einwilligung zum Erstellen von Cookies erteilen und merken
_paq.push(['rememberCookieConsentGiven']);
				
			

Zusatzinfo: Mit dem TagManager kann man die Tags und Impulse noch etwas feiner steuern. Wenn man alle auf der Webseite ausgespielten Codes über den TagManager steuert, kann man die Impulse an den Consent-Manager knüpfen und genau die freigegebenen Tags feuern, andere wiederum nicht.

4. Schritt (optional) - Besucher widerspricht der Datenerhebung nach erteilter Einwilligung

Sollte es sich jemand nach erteilter Einwilligung anders überlegen, muss man dies dem Tracker mitteilen. Dies funktioniert ebenfalls über einen einfachen JavaScript-Befehl.

				
					//Einwilligung zum Tracking widerrufen
_paq.push(['forgetConsentGiven']);

//Einwilligung nur zum Speichern von Cookies widerrufen
_paq.push(['forgetCookieConsentGiven']);
				
			

Datensparsamkeit und Datenminimierung - Regelmäßige Löschung von Altdaten

Mit der Zeit sammeln sich sehr viele Daten in einer Webanalyse-Software an. Dies gilt nicht nur für Matomo, sondern auch für Google Analytics, eTracker, Adobe Analytics, Webtrends und viele mehr. Daten auf unbestimmte Zeit vorzuhalten ist dabei nicht ratsam, denn die DSGVO schreibt in ihren „Grundsätze für die Verarbeitung personenbezogener Daten“ (Art.5 Abs.1 lit. c DSGVO) vor, dass diese dem „Zweck angemessen“ und unter Berücksichtigung des verfolgten Zweckes auf ein „notwendiges Maß“ beschränkt sein müssen.

Daraus leitet sich ab, dass man Daten nicht unbefristet und in jedem Detailgrad auf Dauer abspeichern darf. Auf der sicheren Seite ist man, wenn man Altdaten in festem Intervall löscht oder anonymisiert.

Löschen von Altdaten - Verarbeitete Berichte und Rohdaten

Die Funktionen für die Löschung von Altdaten gliedert sich in zwei verschiedene Einstellung.

  1. Löschung von alten Rohdaten – die Rohdaten sind die Datengrundlage für die verarbeiteten Archive. Wenn nur Letztere gelöscht werden, können diese jederzeit aus den Rohdaten rekonstruiert werden:

2. Löschung von verarbeiteten Archiven:

Anonymisierung von bereits gespeicherten / verarbeiteten Daten - Alternative zur Löschung

Altdaten, die mit personenbezogenen Daten gespeichert wurden, müssen nicht zuletzt aufgrund der Grundsätze zur Datenvermeidung und Datenminimierung irgendwann gelöscht werden. Allerdings bietet Matomo die Funktion, dass Altdaten, die ggf. einen Personenbezug haben (durch die Speicherung vollständiger IP-Adressen, Standortdaten oder zusätzlichen Attributen als Custom Dimension), nachträglich anonymisiert werden können.

Durch die nachträgliche Anonymisierung von Bestandsdaten, können diese weiterhin für statistische Zwecke verwendet werden. Wählen Sie in der Einstellung die Zeitspanne aus, in der Sie personenbezogene Daten aufgezeichnet haben. Im Anschluss werden diese dann anonymisiert und von ihrem personenbezug befreit:

IP-Adresse, Standortdaten und benutzerdefinierte Besucherattribute können hier nachträglich anonymisert / pseudonymisiert werden

Hinweis: Die Pseudonymisierung (z.B. der Benutzer-ID / User-ID) ist nicht gleichzusetzen mit der Anonymisierung. Ein Pseudonym, das auf Basis eines personenbezogenen Datums (z.B. E-Mail-Adresse, Name) erstellt wurde, könnte nach wie vor als personenbezogenes Datum angesehen werden, da ein(e) Profilbildung/Rückschluss auf die ursprünglichen Eingabedaten nicht ausgeschlossen werden kann.

Konfiguration zur Nutzerdaten-Anonymisierung

Um viele der oben angesprochenen Unwägbarkeiten direkt zu vermeiden, oder zumindest die Risiken und den Aufwand zu minimieren, welche mit dem Tracking personenbezogener Daten verbunden sind, kann man, wenn dies für die eigenen statistischen Zwecke ausreicht, auch schon zum Zeitpunkt des Trackings die Aufzeichnung/Verarbeitung/Speicherung von personenbezogenen Daten verhindern. Dies wird im Folgenden beschrieben.

IP-Adressen anonymisieren

Da ist sich die Rechtsprechung mittlerweile relativ einig: Die IP-Adresse eines Webseitenbesuchers gilt als personenbezogenes Datum. Daher sollte sie anonymisiert / gekürzt werden, um eine Rückauflösung / Wiedererkennung unmöglich zu machen. Empfohlen wird, zwei Oktette der Adresse zu löschen:

Zusätzlich sollte sichergestellt werden, dass auch die Einstellung „Benutze die anonymisierte IP-Adresse auch für die Aufbereitung der Besuche“ auf „Ja“ eingestellt ist. Dies stellt sicher, dass alle Plugins (z.B. die Geolokalisierung) ihre Verarbeitungsprozesse nur mit der anonymisierten IP-Adresse durchführen können:

Anonymisierung von Bestellnummer und externen Verweisen

Da Bestellnummern (Order-IDs) ebenfalls die Zuordnung / Profilbildung zwischen den gesammelten Webanalyse-Daten und z.B. den personenbezogenen Daten eines Shopsystems ermöglichen, muss man diese ebenfalls als personenbezogen betrachten. Diese sollte also auch anonymisiert werden:

Das Ausspielen von Cookies unterbinden

Zum vollständig anonymen Tracking von Nutzungsdaten, gehört auch die Deaktivierung der Speicherung von Tracking-Cookies. Cookies sind kleine „Datenpakete“, die eine Identifizierung des verwendeten Endgeräts ermöglichen. Da dies im weitesten Sinne ebenfalls als ein Personenbezug (oder zumindest Gerätebezug) ausgelegt werden kann, wird die Deaktivierung empfohlen. Dies wird gestützt durch ein Grundsatzurteil des EuGH vom 01.10.2019 (C-673/17) – kurz: Die Speicherung von Cookies ist ohne vorherige Einwilligung des Nutzers nicht zulässig.

Eine Grauzone ist das Fingerprinting (= die serverseitige Erkennung eines Endgeräts anhand einer Attributkomposition). Dieser ist nötig, um beim Cookielosen Tracking die Aktionen eines Besuchers einer Session zuzuordnen. Der Fingerprint ist auf die Besuchslaufzeit (30 Minuten in der Standardseinstellung) beschränkt und ändert sich, selbst für den gleichen Nutzer / Gerät, täglich.

Ähnlich ist die Sachlage mit den Verweisen, die Besucher auf eine Webseite geführt haben (Referrer). Auch diese Links können personenbezogene Daten enthalten oder Rückschlüsse auf individuelle Attribute zulassen. Daher wird auch hier die Anonymisierung bzw. Kürzung empfohlen:

Möglichkeit anbieten, dem Tracking zu widersprechen - OptOut

Alternativ zur Steuerung des OptIn / OptOut durch die „requireConsent“-Befehle (oben), gibt es noch die althergebrachte Methode: Über die Einbindung eines iFrames kann der Besucher ebenfalls dem Tracking widersprechen. Der iFrame kann einfach in der Datenschutzerklärung (DSE) bei der Nennung/Beschreibung von Matomo Webanalytics eingesetzt werden. Um den OptOut iFrame in der Webseite anzuzeigen, muss nur der Code (unten dargestellt) kopiert und auf der Zielseite eingefügt werden:

Matomo OptOut - den oben dargestellten Code einfach in die Webseite kopieren

Die Datenschutzerklärung

Ein zu detailliertes Eingehen auf das Thema Datenschutzerklärung würden den Rahmen des Artikels sprengen.

Wichtig ist, dass die Datenschutzerklärung aus einer anwaltlich geprüften Quelle stammt und korrekt in die Webseite integiert wird. Wir verwenden oft den Datenschutzgenerator von eRecht24.

Beratung zu Datenschutzeinstellungen und Best-Practices von Matomo

Sollten Sie Fragen zur Konfiguration, Verbindung mit Ihrem Consent-Manager oder zum TagManager haben, buchen Sie gern einen Beratungstermin bei mir oder sehen Sie sich unsere Leistungen rund um Matomo (Piwik) Webanalyse an.