Matomo DSGVO

Das Wichtigste auf einen Blick

1. Was ist Matomo?

Art. 15 der Datenschutz-Grundverordnung (DSVO) enthält das Recht jeder natürlichen Person, eine Auskunft darüber zu erhalten, welche personenbezogenen Daten über sie gespeichert wurden und werden. 

Die Vorschrift gewährt damit allen Berechtigten einen einklagbaren Auskunftsanspruch. Dieser stellt einen der Hauptansprüche der Betroffenen im Rahmen der DSGVO dar.  

2. Vergleich mit Google Analytics

Google Analytics ist mit 80% Marktanteil der unbestrittene Marktführer in Sachen Webanalyse, hat aber diverse Schwächen insbesondere unter rechtlichen Gesichtspunkten.

Hier ist Matomo mit seinen zwei Prozent Marktanteil ein ernstzunehmender Konkurrent, da das Programm im Gegensatz zu Google Analytics vollständig mit der DSGVO harmonisiert wurde.

Die Datenhoheit liegt aufgrund der Betriebsmöglichkeit von Matomo auf einem eigenen Server, ganz beim Seitenbetreiber, sodass dieser selbst für die Einhaltung der Regelungen der DSGVO verantwortlich ist.

3. Matomo und die DSGVO

Beim Einsatz von Matomo sind seit Inkrafttreten der Datenschutz-Grundverordnung besondere Voraussetzungen zu beachten um nicht gegen die getroffenen Regelungen zu verstoßen.

Bei Matomo liegt das Problem in Verbindung mit der DSGVO darin, dass die IP-Adresse nach aktueller Rechtsauffassung ein personenbezogenes Datum ist, also der Betroffene über die Verwendung informiert werden und dieser zustimmen muss. 

Der Matomo-Verwender hat die IP-Adresse deshalb nach der DSGVO zu anonymisieren. Die für diese und weitere die DSGVO Konformität von Matomo sicherstellenden Features sind direkt im Programm enthalten und müssen lediglich aktiviert werden, sodass ein DSGVO konformer Einsatz von Matomo bei der richtigen Handhabung jederzeit gewährleistet ist.

4. DSGVO konformes Anlegen von Analyseprofilen

Wegen des im vorangegangenen Abschnitt Erläuterten ist es für den DSGVO konformen Einsatz von Matomo essentiell wichtig die Anonymisierungsfunktion des Programms zu verwenden, damit nicht gegen die Verordnung verstoßen wird.

Wie auch bei der Erhebung sonstiger persönlicher Daten muss dem Betroffenen auch bei einer Erhebung mithilfe von Matomo die Möglichkeit des Widerspruchs der Datenverwendung ermöglicht werden. 

Möglich ist das durch die Einbindung eines Opt-out iFrames, in dem dem Betroffenen der Widerspruch zum Beispiel durch das Setzen eines Häkchens ermöglicht wird.

Wurden schon vor Inkrafttreten der DSGVO mit Matomo Analyseprofile bestimmter Nutzer angelegt, so verstoßen diese inzwischen gegen geltendes Recht und sind damit unrechtmäßig erstellt worde. 

Um einer Sanktion zu entgehen sind die gesammelten Daten zu löschen und entsprechend der Maßgaben der DSGVO erneut zu erheben.

5. Matomo mit Cookies 

Zur Erhebung der Nutzerdaten, sowie seines Nutzungsverhaltens bedient sich Matomo Cookies, die auf dem Endgerät des Nutzers gespeichert werden. Nach dem Grundsatzurteil des EuGH vom 01.10.2019 (C-673/17) ist für die Speicherung von Cookies auf dem Endgerät des Betroffenen zwingen dessen Einwilligung erforderlich.

Eine solche kann wie bereits oben beschrieben beispielsweise durch einen Opt-Out-IFrame oder durch ein Cookie-Banner eingeholt werden. Diese Erhebung der Daten per Cookie ist Gang und Gebe und die wohl häufigste Form der Datenanalyse, auch bei anderen Analysetools.

Auch, wenn die oft den Seitenbesucher störenden Cookiebanner nicht ästhetisch wirken, so empfiehlt sich doch ein Verzicht auf diesen Hinweis nicht; Nach Art. 83 Abs. 5 DSGVO kann ein Verstoß gegen die Vorschriften mit einem Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes belegt werden.

6. Device Fingerprinting mit Matomo

Alternativ gibt es auch die Möglichkeit Daten ohne den Einsatz von Cookies zu erheben. Das Erfordernis der Zustimmung zu der Datenerhebung entfällt dabei selbstverständlich nicht.

Auch bei der Deaktivierung von Cookies in Matomo verwendet das Tool allerdings das sogenannte Device Fingerprinting, bei dem Daten wie der Gerätetyp, die Geräteleistung und sogar das Betriebssystem des Betroffenen ermittelt und zu einem Analyseprofil zusammengestellt werden.

So kann das Nutzerverhalten trotz des Verzichts auf Cookies, für den Betroffenen oft nicht erkennbar, nachvollzogen werden. Zwar gilt die Rechtsprechung des EuGH bisher ausdrücklich nur für Cookies, aufgrund der Ähnlichkeit des Sachverhalts ist es allerdings nicht auszuschließen, dass die Rechtsprechung ebenfalls auf das Device Fingerprinting übertragen wird, sodass auch für dieses eine Einwilligung erforderlich ist.

Will man also auf Nummer sicher gehen und für den Fall der Erweiterung der Einwilligungserfordernis vorsorgen um nicht schon gesammelte Daten neu erheben zu müssen, so empfiehlt es sich auch jetzt schon die Einwilligung des Betroffenen über das Device Fingerprinting einzuholen.

7. Fazit

Die Nutzung von Matomo ist nach dem Inkrafttreten der Datenschutz-Grundverordnung nicht großartig verkompliziert worden, da das Programm für die DSGVO konforme Verwendung optimiert ist.

Der Verwender hat diese Konformität allerdings in Eigenregie sicherzustellen. 

Ein besonderes Augenmerk sollte dabei auf die Anonymisierung der gesammelten persönlichen Daten sowie (auch beim Verzicht auf Cookies) die Information des Betroffenen über die Speicherung seiner persönlichen Daten gelegt werden. Beachtet der Verwender diese essentiellen Punkte, so ist er bei der Verwendung von Matomo für die Websiteanalyse rechtlich auf der sicheren Seite.