Bei Matomo Analytics handelt es sich um ein Programm, welches das Nutzerverhalten auf Webseiten analysiert.
Da hierbei personenbezogene Daten verarbeitet und übermittelt werden, sind die Vorschriften der DS-GVO zu beachten.
Das Wichtigste auf einen Blick
- Wurden bei Matomo vor Inkrafttreten der DS-GVO Analyseprofile angelegt, so sind diese zu löschen
- Der Verzicht von Cookies führt nicht zum Wegfall der Einwilligungsbedürftigkeit der Verwendung von Matomo
- Betroffene sind zu informieren und IP-Adressen zu anonymisieren
- Die DS-GVO-Konformität ist regelmäßig vom Verantwortlichen zu überprüfen
1. Wofür wird Matomo verwendet?
Matomo wird verwendet, um das Verhalten von Nutzern auf Webseiten zu analysieren. Dies geschieht in der Regel in Form von Cookies.
Die Analyseergebnisse werden auf dem eigenen Server gehostet, wodurch keine dateneinsehenden Drittanbieter zwischengeschaltet sind.
2. Vergleich zu Google Analytics
Google Analytics ist ebenfalls ein Programm zur Analyse von Nutzerverhalten.
Obwohl dieses Programm 80% des Marktanteils innehat, bestehen gerade im Bereich des Datenschutzes erhebliche Mängel und Schwächen. Dadurch ist der Marktführer in den letzten Jahren in die Kritik geraten.
Matomo hält zwar nur zwei Prozent des Marktanteils, wird sich aber voraussichtlich zum ernstzunehmenden Konkurrenten entwickeln. Dies ist auf die vollständige Überarbeitung des Programms und auf die Umsetzung der Vorschriften der DS-GVO zurückzuführen.
Im Vergleich zu Google Analytics ist die Nutzung von Matomo daher aus datenschutzrechtlicher Sicht die bessere und sichere Variante.
3. Matomo und die Vorschriften der DS-GVO
Seit dem Inkrafttreten der DS-GVO im Mai 2018 sind im Umgang mit personenbezogenen Daten besondere Regelungen zu beachten. Diese gelten auch bei der Nutzung vom Matomo.
Bei der Verwendung von Matomo werden unter anderem IP-Adressen gespeichert. Hierbei handelt es sich nach aktueller Rechtsauffassung um die Speicherung personenbezogener Daten. Es gelten daher die Vorschriften der DS-GVO.
Hiernach muss der Verwender die IP-Adresse unter anderem anonymisieren. Diese und weitere Funktionen, die zu einer DS-GVO-konformen Nutzung der Daten beitragen, sind bei Matomo automatisch enthalten und müssen nur aktiviert werden.
4. Das Anlegen von Analyseprofilen
Analyseprofile müssen DS-GVO-konform angelegt werden.
Wie bereits erwähnt, ist hierfür vor allem die Nutzung der Anonymisierungsfunktion erforderlich.
Darüber hinaus muss für den Betroffenen die Möglichkeit bestehen, Widerspruch gegen die Nutzung seiner Daten einzulegen.
Beispielsweise kann das in Form eines Opt-out-Verfahrens vorgenommen werden, bei dem der Betroffene der Datenverwendung widersprechen kann, indem er ein Häkchen setzt.
Zu beachten ist außerdem, dass nur die Nutzerprofile, die nach der Einführung der DS-GVO angelegt worden sind, den Vorschriften der DS-GVO gerecht werden können.
Zuvor eröffnete Profile verstoßen gegen geltendes Recht, wodurch Geldbußen drohen.
In diesen Fällen sind die erhobenen Daten zu löschen und neu zu erheben. Außerdem sollte das Nutzerkonto neu angelegt werden.
5. Die Nutzung von Cookies mit Matomo
Um Nutzerdaten zu erheben, benötigt Matomo Cookies, die auf dem Endgerät des Nutzers gespeichert werden. Diese Vorgehensweise ist mittlerweile üblich.
Das Grundsatzurteil des EuGHs vom 01.10.2019 (C-673/17) schreibt eine Einwilligung des Betroffenen in diese Art der Speicherung zwingend vor.
Wie bereits erwähnt, kann eine solche Einwilligung durch das Opt-Out-Verfahren oder mit Hilfe von Cookie-Banner eingeholt werden.
Ein Verstoß gegen diese Vorgaben kann schwerwiegend sein: Nach Art. 83 Abs. 5 DS-GVO drohen Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes.
6. Device Fingerprinting mit Matomo
Daten können nicht nur mit dem Einsatz von Cookies erhoben werden.
Wird die Verwendung in Matomo deaktiviert, verwendet das Programm trotzdem „Device Fingerprinting“. Hiermit können unter anderem der Gerätetyp, die Leistung und das Betriebssystem des Betroffenen ermittelt und auf dieser Basis ein Nutzerprofil erstellt werden.
Die bereits aufgeführte Rechtsprechung des EuGHs gilt zwar ausdrücklich für die Nutzung von Cookies, jedoch kann erwartet werden, dass das Urteil aufgrund des ähnlichen Sachverhaltes auch auf die Verwendung von Device Fingerprinting ausgeweitet wird.
Um bereits gespeicherte Daten nicht erneut erheben zu müssen, empfiehlt es sich daher, auch für Device Fingerprinting eine Einwilligungserklärung einzuholen.
7. Fazit
Das Programm Matomo wurde zur Einführung der DS-GVO umfassend an diese angepasst.
Aus diesem Grund ist die Nutzung und die DS-GVO-konforme Verwendung nicht erschwert, sondern vereinfacht worden.
Wichtig ist allerdings, dass der Verwender trotzdem selbst dafür verantwortlich ist, dass diese Konformität dauerhaft besteht. Er hat die Vorgänge also regelmäßig zu überwachen und zu kontrollieren.
Besondere Aufmerksamkeit ist dabei auf die Anonymisierung der gesammelten persönlichen Daten sowie auf die Information der Betroffenen zu legen.
Werden diese Punkte beachtet, so ist die Verwendung von Matomo grundsätzlich in datenschutzrechtlicher Hinsicht unbedenklich möglich.
