Matomo bietet in der Administration viele Einstellungsmöglichkeiten, die u.a. für den datenschutzkonformen Betrieb und die Performanz wichtig sind. Ich möchte allerdings hier auch gleich einflechten, dass ich kein Jurist bin und mir Wissen um Datenschutz und Webanalyse angelesen habe. Es geht hier auch nicht nur um den Datenschutz, sondern auch um andere Einstellungsmöglichkeiten im Matomo Backend sowie im Trackingcode.

IP-Anonymisierung

Im Unterschied zu Google Analytics bietet Matomo drei Stufen der Anonymisierung an, nach denen das letzte Tripel der IP-Adresse, die beiden letzten oder gar die drei letzten gelöscht werden. Unter Tracking Daten Matomo-IP-Anonymisierunganonymisieren finden sich die entsprechenden Einstellungen.

Hier wird die Löschung der letzten 6 Zahlen der IP Adresse empfohlen. Matomo und früher Piwik hat allerdings anhand der vollständigen IP Adresse, der Browsereinstellungen, Auflösung und der Betriebssystemkonfiguration einen so genannten Browserfingerprint erstellt. So sollten wiederkehrende Besucher erkannt werden, die ihr Visitorcookie gelöscht hatte. Mit der Einstellung, dass die anonymisiert IP-Adresse für die Aufbereitung der Besuche verwendet wird, wird der Browserfingerprint sozusagen weniger scharf.

 

Benutzer und direktes Widerspruchsrecht gegen das Tracking mit Matomo

Besucher müssen ein direktes Widerspruchsrecht ohne Umwege erhalten, um das Tracking zu unterbinden. Dabei wird ein Optout Cookie gesetzt, das das Tracken des Besuchs verhindet. Hier muss unter die Datenschutzerklärung, die auf die Verwendung von Matomo hinweist, ein iframe in den Quellcode integriert werden. Mittlerweile kann das Layout des eingefügten Scripts auch angepasst werden hinsichtlich der Schrift und Farbe.

Nutzer Optout Funktion Matomo

Um diese Option zu erhalten, muss unten auf der Seite zunächst die Donot-Track Funktion aktiviert werden.

Moderne Browser haben meist eine Do-not-track-Voreinstellung, die von Matomo respektiert wird.

Cookie Einstellungen 1: Cookies ablehnen in Matomo

Wenn Sie den Besuchern die Möglichkeit geben möchten, die Verwendung von Cookies zu untersagen, muss eine zusätzliche Funktion in den JavaScript-Code von Matomo integriert werden:

// Add this line before the trackPageView() call
_paq.push([‚disableCookies‘]);
_paq.push([‚trackPageView‘]);

Cookie Einstellungen 2: Cookie-Laufzeit verändern

In Deutschland schlägt der Datenschutz vor, die Laufzeit von Cookies, insbesondere des Vistorcookies zu ändern. Voreingestellt ist eine Laufzeit von 13 Monaten, in der Datenschutzempfehlung werden 7 Tage vorgeschlagen. Man muss sich allerdings darüber im Klaren sein, dass das den Anteil neuer Besucher deutlich erhöhen dürfte und den Anteil wiederkehrender Besucher entsprechend reduzieren.

setVisitorCookieTimeout( seconds ) – the default is 13 months
setReferralCookieTimeout( seconds ) – the default is 6 months
setSessionCookieTimeout( seconds ) – the default is 30 minutes

Proaktiv um Trackingerlaubnis bitten

Matomo sieht auch vor, den Besucher proaktiv um Erlaubnis für das Tracking zu bitten. In dem Falle werden folgende Code-Funktionen zusätzlich in den Tracking-Code integriert. Der erste Teil kommt dabei oben in den Codebereich. Der zweite Codeschnipsel sorgt dafür, dass die Erlaubnis gespeichert wird.

// require user consent before processing data
_paq.push([‚requireConsent‘]);
_paq.push([‘trackPageview‘]); […]
// user has given consent to process their data
_paq.push([’setConsentGiven‘]);

Eigene Besuche in Matomo Reports ausschließen

Wer nicht möchte, dass die eigenen Besuche auf der Website von Matomo erfasst werden, kann unter Persönlich>Einstellungen ganz unten per Klick ein Optout Cookie setzen. Bei Browserwechsel muss diese Prozedur wiederholt werden. Auch wenn die Cookies im Browser gelöscht werden. 

In Matomo Reports eigene Besuche ausschließen

Alte Besucher-Logs löschen

Die Datenbank von Matomo wächst gerade bei stärker besuchten Websites schnell. Besonderen Anteil daran haben die Besucher-Logs, die quasi ein Besucher Profil unter einer eindeutigen ClienID anlegen. Um die Datenbank kleiner zu halten, kann Matomo angewiesen werden, die alten Besucherlogs, die älter als XXX Tage sind, zu löschen. Das trägt auch zum Datenschutz bei. Wenn die Funktion mit Haken aktiviert ist, liegt der Löschungszeitraum vor dem letzten halben Jahr (180 Tage). Hierbei werden nur bestimmte Tabellen des Besucherlogs gelöscht, die Berichte bleiben erhalten.

Alte Besucherlogs aus Matomo Datenbank löschen

Berichte in Matomo archivieren

Unter System>Allgemeine Einstellungen steht als erster Punkt Berichte archivieren.

Alte Besucherlogs aus Matomo Datenbank löschen

Für Seiten mit wenig Traffic (100 p.d. z.B.) kann die Einstellung so bestehen bleiben. Bei stärker besuchten Seiten solllte der Zeitraum verlängert werden (3600), oder gar an einen Cronjob ausgelagert werden, der zu trafficarmen Zeiten (meist so zwischen 3-4 Uhr morgens) die Datenarcgiviert. Achtung: bei einer solchen verzögerten Archivierungseinstellung stehen Daten erst nach der Archivierung am Folgetag zur Verfügung z.B. in Segmenten.