Matomo – Die DSGVO-konforme Alternative?

Allgemeines zu Matomo und zur DSGVO

Die Maßnahmen zum Datenschutz im Web werden von Urteil zu Urteil immer mehr verschärft. Dies sorgt klarerweise bei Betreibern von Websites und Online Marketern für Unmut, da viele User  Cookies oder Trackingmaßnahmen, so wird es berechtigterweise vermutet, nicht mehr oder nur sehr selten zustimmen werden. Und kann man etwas nicht messen, wird es schwierig Analysen und Optimierungen durchzuführen. Alternativen zum „klassischen“ Tracking sind im Online Marketing zur Zeit also sehr gefragt. So auch die ethische Trackingsoftware aus dem Hause Matomo (vorher Piwik), einer der Hauptkonkurrenten von Google Analytics. Die Frage ist jedoch, ob man als Betreiber einer Website oder eines Onlineshop, mit der Verwendung von Matomo, im Gegensatz zu Google Analytics, dennoch die aktive Zustimmung eines Nutzers benötigt. Würde also, wenn man Matomo anstelle von Google Analytics verwendet, das klassische Cookie-Banner obsolet werden?

Diese, und weitere Fragen, behandelt Rechtsanwalt Dr. Florian Linder aus der Kanzlei VBSN im folgenden Beitrag. Hierbei handelt es sich allerdings um eine etwas gekürzte Version. Falls Du noch mehr Informationen zu diesem Thema lesen willst, findest Du hier die ungekürzte Fassung.

Was ist Matomo?

Die Open-Source Software Matomo ist der größte Konkurrent zum Website-Analyse Tool Google Analytics (GA), welches zum US-amerikanischen Technologiekonzern Alphabet gehört. Beide Softwares dienen dem Erfassen von Aktivitäten auf Websites durch bspw. Besucher- oder Referenzanalysen und Statistiken von Websitebesuchen.

Im Vergleich zu GA wirbt Matomo nach eigenen Angaben auf ihrer Website damit, dass es für die Nutzung des Dienstes keiner „Tracking“-Zustimmung durch den Besucher der Website bedürfe. Weiters verbleiben die gesammelten Daten, im Unterschied zu GA, gänzlich beim Betreiber der Website und werden nicht weitergeben, wenn dieser das nicht möchte. Die Betreiber haben die Möglichkeit selbst festzulegen, in welchen geografischen Datenzentren die gesammelten Daten gespeichert werden sollen. Dies ist ein weiterer wichtiger Unterschied zu GA, welche in deren Benutzungsbestimmungen festlegen, dass die Daten im „Google Netzwerk“ gespeichert werden. Das bedeutet, dass die über GA gesammelten Daten auch in Ländern wie den USA gespeichert werden, in welchen Behörden selbst ohne richterlichen Beschluss auf Daten von ausländischen Nutzern zugreifen können.

Ist der User über die Verwendung von Matomo durch sog. Cookie Banner zu informieren?

Der Betreiber einer Internetseite („Diensteanbieter“) hat seine Nutzer über die Verwendung von Matomo als Analyse Tool zu informieren und deren Einwilligung einzuholen, wenn Daten der Besucher teilweise oder vollautomatisiert erfasst und in Form von Cookies auf den Endgeräten der User gespeichert werden sollen. Diese Information und Einwilligung erfolgt in der Praxis idR. über einen Cookie Banner. Dabei ist nach Ansicht des EuGH nicht zwischen personenbezogenen und nicht personenbezogenen Daten zu unterscheiden. Der Schutz der Privatsphäre ist durch das Abspeichern und Wiederaufrufen von Cookies jedenfalls betroffen, selbst wenn diese nicht-personenbezogene Daten speichern.

Einen Ausnahmefall, in dem keine Zustimmung durch den Nutzer eingeholt werden muss, sind Cookies technisch unbedingt erforderliche Cookies, um überhaupt die vom Nutzer gewünschten Dienste durchführen zu können (sog. einwilligungsfreie Cookies wie z.B. die Sprachauswahl auf internationalen Internetseiten).

Bei der Verwendung von Matomo durch einen Diensteanbieter ist daher zu fragen, ob bloß technisch unbedingt erforderliche („einwilligungsfreie“) Cookies oder auch darüber hinausgehende Cookies verwendet werden. Dies kann auch von den Einstellungen abhängen, die bei der Verwendung von Matomo gewählt werden können. Im zweiten Fall ist die aktive Zustimmung des Nutzers der Website einzuholen und es ist über die Cookies zu informieren. Dabei müssen auch Angaben zur Funktion, Funktionsdauer und dazu, ob Dritte Zugriff auf die Cookies erhalten können, gemacht werden.

Denkbar ist es, die verwendeten Cookies in Gruppen einzuteilen, welche dann mit einer kurzen Beschreibung und jeweils mit einer Einwilligung versehen sind.

Wird die aktive Zustimmung des Nutzers zum Sammeln der Daten benötigt oder reicht eine Opt-Out Funktion?

Bei dem Opt-Out Verfahren wird dem Benutzer einer Website ein bereits voreingestelltes Kästchen dargestellt und dieser muss, wenn er die Speicherung seiner Daten unterbinden möchte, das Kästchen abwählen. Dieser Möglichkeit hat der EuGH eine klare Absage erteilt. Dazu führt das Gericht aus, dass eine Zustimmung durch ein aktives Ankreuzen oder Anklicken erforderlich ist („opt-in“).

Muss Matomo in der Datenschutzerklärung der Website angeführt werden?

Bei der Verwendung von Matomo müssen die datenschutzrechtlichen Vorgaben der DSGVO beachtet werden. Die DSGVO ist bei der Verarbeitung von personenbezogenen Daten anwendbar. Darunter fallen etwa Namen, Standort oder auch (bloß) die IP-Adresse eines Nutzers, weil sie dessen Identifizierung ermöglicht („Identifizierbarkeit“).

Sofern Matomo personenbezogene Daten wie die IP-Adresse des Nutzers speichert und verarbeitet, ist die DSGVO anwendbar. Für die Verarbeitung dieser Daten ist die Zustimmung des Nutzers erforderlich, außer es liegt eine der ausdrücklichen Ausnahmen der DSGVO vor, etwa wenn die Datenverarbeitung zur Erfüllung des Vertrags mit dem Nutzer erforderlich ist. Dies wird bei Matomo aber eher nicht der Fall sein.

Es ist daher auch nach der DSGVO die (aktiv zu erteilende) Zustimmung des Nutzers zur Speicherung und Verarbeitung seiner personenbezogenen Daten erforderlich. Dies kann praktisch so gelöst werden, dass die Zustimmung zur Setzung von Cookies im Rahmen eines Cookie-Banners mit der Zustimmungserklärung nach der DSGVO verbunden wird.

Darüber hinaus trifft den Verantwortlichen die Pflicht der betroffenen Person in einer transparenten Weise die in Art 13 f DSGVO genannten Informationen zu erteilen, wenn Daten durch den Websitebesuch verarbeitet werden sollen.

Vor dem Hintergrund des weiten Verständnisses von personenbezogenen Daten nach der DSGVO ist es empfehlenswert, bei der Verwendung von Matomo als Analyse Tool auf dessen Einsatz in der Datenschutzerklärung hinzuweisen, wenn personenbezogene Daten wie die IP-Adresse der Nutzer von Matomo verarbeitet und gespeichert werden.

Beispiele von Websites, welche Matomo verwenden und in ihrer Datenschutzerklärung anführen:

• Oxfam Deutschland: https://www.oxfam.de/datenschutz [Stand 27. 7. 2020]
• Bundeswettbewerbsbehörde: https://www.bwb.gv.at/datenschutzerklaerung/ [Stand 27. 7. 2020]

Bis auf welches Byte muss die IP anonymisiert werden (1, 2, 3)?

Werden personenbezogene Daten wie die IP-Adresse anonymisiert, so findet die DSGVO grundsätzlich keine Anwendung. Als anonym gelten Daten dann, wenn die Identifizierung einer betroffenen Person aufgrund des Entfernens des Personenbezuges nicht mehr möglich ist. Als weiters wichtiges Merkmal gilt, dass die Handlung der Anonymisierung unumkehrbar ist, da es sich sonst allenfalls um eine Pseudonymisierung handeln kann. Daten gelten dann nicht mehr als anonym, wenn es zumindest einem Dritten möglich ist, eine Person in einer Liste direkt anhand einer Eigenschaft identifizieren zu können. Mit Bezug auf IP-Adressen empfiehlt Matomo eine Anonymisierung von 2 oder 3 Bytes. Aufgrund der strengen Anforderungen des DSGVO ist im Zweifel eine Anonymisierung von 3 Bytes zu empfehlen.

Fazit

Auch bei der Verwendung von Matomo sind die rechtlichen Anforderungen bei der Setzung von Cookies und der Verarbeitung personenbezogener Daten grundsätzlich zu beachten. Allerdings kann bei der Verwendung von Matomo eine Reihe von Vorkehrungen (bspw. Anonymisierung sämtlicher personenbezogener Daten, Erfassung der Daten ausschließlich zu Messung der Performance der eigenen Website und Deaktivieren von Cookies) von Seiten des Betreibers einer Website getroffen werden. Es bedarf dabei stets einer Beurteilung im Einzelfall, welche Einstellungen getroffen werden müssen, um ggf. Zustimmungs- und Informationspflichten nicht nachkommen zu müssen.

Falls Du zu diesem Thema noch detaillierter nachlesen willst, findest Du unten den Link zur ungekürzten Fassung.