Umgang mit Cookieless Tracking
Wie bereits erwähnt, ist das Cookieless Tracking, das bei der Verwendung von requireCookieConsent() standardmäßig aktiv ist, in manchen Rechtsräumen rechtlich nicht ausreichend. Um sicherzustellen, dass Matomo überhaupt keine Cookies setzt, gibt es zusätzlich die Funktion disableCookies().
Ein Beispiel für die Verwendung im Tracking-Code:
JavaScript
_paq.push([‚disableCookies‘]);
_paq.push([‚trackPageView‘]);
Die Kombination aus requireConsent und disableCookies stellt den strengstmöglichen Datenschutz-Ansatz dar.
Alternative: Die traditionelle Opt-Out-Form
Matomo bietet eine traditionelle Opt-Out-Form, die es Nutzern ermöglicht, sich aktiv vom Tracking abzumelden. Diese Opt-Out-Funktion unterscheidet sich grundlegend vom Zustimmungsmodus, da sie ein passives Vorgehen darstellt, bei dem das Tracking erst einmal aktiv ist und dann vom Nutzer unterbunden wird. Dagegen ist der Zustimmungsmodus ist ein aktiver, „gated“ Ansatz, bei dem das Tracking von Anfang an blockiert wird.
Zusätzliche Datenschutzmaßnahmen
Die Einrichtung des Zustimmungsmodus ist nur ein Teil einer ganzheitlichen Datenschutzstrategie. Experten empfehlen, im Matomo-Adminbereich weitere Einstellungen vorzunehmen, um die Compliance zu verbessern :
- IP-Anonymisierung
- Regelmäßiges Löschen alter Rohdaten
- Einhaltung der DoNotTrack-Einstellung
- Erstellung einer umfassenden Datenschutzerklärung
Nochmals die Funktionen im Überblick
| Funktion (API-Methode) | Zweck | Wann aufrufen | Zusammenhang |
|---|---|---|---|
_paq.push(['requireConsent']); | Verpflichtet Matomo dazu, keine Tracking-Anfragen zu senden, bis der Nutzer zugestimmt hat. | Am Anfang des Tracking-Codes auf jeder Seite. | Stoppt alle Tracking-Funktionen, bis setConsentGiven oder rememberConsentGiven aufgerufen wird. |
_paq.push(['requireCookieConsent']); | Verpflichtet Matomo dazu, keine Cookies zu setzen. Tracking-Anfragen werden aber weiterhin gesendet. | Am Anfang des Tracking-Codes auf jeder Seite. | Stoppt nur die Cookie-Funktionalität. Tracking-Anfragen werden weiterhin gesendet. |
_paq.push(['setConsentGiven']); | Markiert die Zustimmung des Nutzers für die aktuelle Sitzung. | Jedes Mal, wenn eine Seite geladen wird und die Zustimmung vorhanden ist (typisch für externe CMPs). | Diese Funktion muss auf jeder Seite erneut aufgerufen werden. |
_paq.push(['rememberConsentGiven', $hours]); | Markiert die Zustimmung und speichert sie in einem Matomo-Cookie. | Nur einmalig, wenn der Nutzer die Zustimmung erteilt. | Ersetzt setConsentGiven und speichert die Zustimmung für eine bestimmte Zeit. |
_paq.push(['forgetConsentGiven']); | Entfernt die Zustimmung des Nutzers und löscht das Matomo-Cookie. | Einmalig, wenn der Nutzer die Zustimmung widerruft. | Macht eine erneute Zustimmung erforderlich, um wieder getrackt zu werden. |
Zusammenfassung des Consent-Management-Prozesses
- Voraussetzung: Einfügen von _paq.push([‚requireConsent‘]); ganz oben im Matomo-Tracking-Code. Dies ist die sicherste Methode, um in strikt regulierten Jurisdiktionen wie der EU die Compliance zu gewährleisten.
- Zustimmung: Konfigurieren des Zustimmungs-Banners so, dass er im Falle der Zustimmung entweder _paq.push([‚rememberConsentGiven‘,…]); aufruft (wenn Matomo die Zustimmung verwalten soll) oder _paq.push([’setConsentGiven‘]); auf jeder Seite ausführt (wenn eine externe CMP verwendet wird).
- Ablehnung/Widerruf: Bei Ablehnung ist kein spezieller Code erforderlich, da das Fehlen des Zustimmungsaufrufs das Tracking automatisch verhindert. Bei Widerruf der Zustimmung verwenden Sie die Funktion _paq.push([‚forgetConsentGiven‘]);, um das Matomo-Cookie zu löschen und das Tracking dauerhaft zu beenden.
Dieser Ansatz stellt sicher, dass das Matomo-Tracking nur unter den vom Nutzer explizit akzeptierten Bedingungen stattfindet. Obwohl Matomo die notwendigen Funktionen bereitstellt, bleibt die Verantwortung für die Implementierung und die Einhaltung der Gesetze beim Website-Betreiber.
Ich möchte an dieser Stelle betonen, dass der Text in keiner Weise als rechtssichere Grundlage für das Matomo Webtracking gelten kann, sondern meine Interpretation der Funktionen von Matomo im Zusammenhang mit Datenschutzvorschriften darstellt. Ich selbst bin auch immer noch der Meinung, dass die meisten Dimensionen und Metriken keine personenbezogenen Daten sind. Unternehmen sollten also stets einen versierten Datenschutzbeauftragten oder juristische Expertise hinzuziehen.