Die zunehmende Bedeutung des Datenschutzes und strengere regulatorische Anforderungen, insbesondere in der Europäischen Union (EU), haben die Art und Weise, wie Web-Analyse-Tools eingesetzt werden, grundlegend verändert. Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie verlangen von Website-Betreibern, die ausdrückliche Zustimmung der Nutzer einzuholen, bevor Tracking-Technologien zum Einsatz kommen. Vor diesem Hintergrund hat sich Matomo als eine der führenden datenschutzfreundlichen Alternativen zu gängigen Diensten wie Google Analytics etabliert. Matomo wurde von Grund auf mit dem Ziel der Datenhoheit und des Schutzes der Privatsphäre konzipiert.
In der Administration findet sich unter „Privatsphäre“ => „Um Einverständniserklärung bitten“ ein Passus und weiterführende Links zum Thema Consent-Management. Matoo selbst bietet aber m.W. aktuell keine eigene Funktion für einen Zustimmungs-Banner für ein Consent-Management an.
Rechtliche Grundlagen und Matomo-Compliance
Verständnis der Datenschutzgesetze: DSGVO und ePrivacy-Richtlinie
Die Implementierung eines Zustimmungsmodus ist verbunden mit den geltenden Datenschutzgesetzen. Die DSGVO stellt einen verbindlichen Maßstab für den Schutz personenbezogener Daten dar. Nach der DSGVO muss eine Zustimmung zum Web-Tracking freiwillig, spezifisch, informiert, unmissverständlich und widerrufbar sein. Dies bedeutet, dass Nutzer eine echte Wahl haben müssen, vollständig darüber informiert werden, welche Daten zu welchem Zweck gesammelt werden, und eine klare, aktive Handlung (z.B. das Anklicken eines Buttons) vornehmen müssen, um ihre Zustimmung zu erteilen.
Die ePrivacy-Richtlinie, oft auch als „Cookie-Richtlinie“ bezeichnet, ergänzt die DSGVO. Sie gilt nicht nur für Cookies, sondern für jede Art von Speicherung oder Zugriff auf Informationen auf dem Endgerät eines Nutzers, selbst wenn keine personenbezogenen Daten betroffen sind. Dies ist ein entscheidender Punkt, da es bedeutet, dass in vielen europäischen Rechtsräumen auch „cookieless“ Tracking, das Daten wie Besucher-IDs oder Fingerprinting-Informationen sammelt, der Zustimmungspflicht unterliegen kann.
Matomo als datenschutzkonforme Lösung
Matomo wird häufig als bevorzugte Wahl für datenschutzbewusste Unternehmen und Organisationen angesehen, da es von Haus aus auf Wahrung der Privatsphäre ausgelegt ist. Der Dienst ermöglicht es Website-Betreibern, die volle Kontrolle über ihre Daten zu behalten. Dies gilt insbesondere für die Unternehmen, die Matomo auf eigenen Servern hosten. Behörden, wie die französische Datenschutzbehörde CNIL, haben Matomo als ein Tool anerkannt, das eine vollständige Einhaltung der Datenschutzbestimmungen gewährleisten kann.
Zur weiteren Gewährleistung der Privatsphäre bietet Matomo zahlreiche Konfigurationsmöglichkeiten. Dazu gehören die Anonymisierung von IP-Adressen (standardmäßig aktiviert), das Löschen alter Rohdaten und die Respektierung der DoNotTrack-Einstellung von Browsern.
Die beiden Zustimmungs-Modi bei Matomo
Matomo bietet zwei unterschiedliche Funktionen, die die Zustimmungsanforderung implementieren :
_paq.push([‚requireConsent‘]); und _paq.push([‚requireCookieConsent‘]);. Die Wahl zwischen diesen beiden Modi ist von entscheidender Bedeutung und hängt von den in der jeweiligen Jurisdiktion geltenden Datenschutzgesetzen ab.
Die requireConsent()-Methode ist der strengste Ansatz. Wenn diese Funktion ausgeführt wird, werden keine Tracking-Anfragen an Matomo gesendet und keine Cookies gesetzt.
Die requireCookieConsent()-Methode ist ein weniger restriktiver Modus. Bei Ausführung dieser Funktion werden weiterhin Tracking-Anfragen an Matomo gesendet, es werden jedoch keine Cookies gesetzt. Dies ermöglicht ein cookieless Tracking von Interaktionen wie Seitenaufrufen oder Ereignissen, ohne dass eine wiederkehrende Besuchererkennung über Sessions hinweg möglich ist.
Für eine maximale Rechtssicherheit, insbesondere im Kontext der DSGVO und der ePrivacy-Richtlinie, wird daher die Implementierung von requireConsent() empfohlen. Die folgende Tabelle bietet einen klaren Überblick über die Unterschiede zwischen diesen beiden Modi:
Matomo-Zustimmungs-Modi im Überblick
_paq.push([‚requireConsent‘]);
Keine Tracking-Anfragen, keine Cookies. Tracking ist vollständig deaktiviert.
Datenqualität niedriger, da keine Daten ohne Zustimmung gesammelt werden.
_paq.push([‚requireCookieConsent‘]);
Tracking-Anfragen werden gesendet, jedoch keine Cookies gesetzt. Cookieless Tracking bleibt aktiv.
Daten´qualität potenziell höher, da cookieless Daten gesammelt werden, aber Session- und Besucherdaten ungenauer sein können.
Voraussetzungen für die technische Implementierung
Das Matomo JavaScript API und die _paq Warteschlange
Der Matomo-Tracking-Code arbeitet asynchron. Dies bedeutet, dass die _paq-Array-Variable als eine Warteschlange für Befehle dient, die von der Matomo-JavaScript-Datei (matomo.js) verarbeitet werden, sobald diese vollständig geladen ist.
Das grundlegende Verständnis dieser Warteschlange ist für die Implementierung des Zustimmungsmodus essenziell. Die Zustimmungsbefehle wie requireConsent müssen in der Matomo-JavaScript-Datei platziert werden, bevor der trackPageView-Befehl ausgeführt wird. Dies stellt sicher, dass die Zustimmungsanforderung vor jedem potenziellen Tracking-Versuch evaluiert wird.
Die Rolle des Zustimmungsbanners (CMP)
Ein grundlegendes Missverständnis ist, dass Matomo ein eigenes Zustimmungs-Banner bereitstellt. Dies ist nicht der Fall. Die Matomo-Software ist lediglich für die datenschutzkonforme Analyse zuständig. Die Erfassung der Zustimmung selbst ist die Aufgabe eines separaten Systems, einer sogenannten Consent Management Platform (CMP).
Ich möchte an dieser Stelle betonen, dass der Text in keiner Weise als rechtssichere Grundlage für das Matomo Webtracking gelten kann, sondern meine Interpretation der Funktionen von Matomo im Zusammenhang mit Datenschutzvorschriften darstellt. Ich selbst bin auch immer noch der Meinung, dass die meisten Dimensionen und Metriken keine personenbezogenen Daten sind. Unternehmen sollten also stets einen versierten Datenschutzbeauftragten oder juristische Expertise hinzuziehen.