Besucherzähler Matomo datenschutzgerecht einbinden

Von | 14. Februar 2020
0 Kommentare
Statistiktools auf einem Tablet
Bild: PhotoMIX-Company / pixabay.de

Viele Selbständige können das Thema DSGVO vermutlich nicht mehr hören, trotzdem wird derzeit vermehrt gegen Tracking und Tracking-Cookies vonseiten der Datenschutzbehörden vorgegangen. Eine Quelle dieser Cookies können Analysetools sein, die man benötigt um zu sehen, wie viele Besucher die eigene Webseite hat.

In diesem Beitrag möchte ich zeigen, wie man das Besucheranalyse-Tool Matomo (ehemals Piwik) so datenschutzgerecht wie möglich einbindet. Mit einem gut konfigurierten Matomo umgeht man viele DSGVO-Probleme, die man mit dem Konkurrent Google Analytics hat.

Damit würde aus meiner technischen Sicht auch die explizite Einwilligung für Matomo (Opt-In) wegfallen. Juristisch gibt es verschiedene Meinungen.

Deshalb erfolgt die Umsetzung wie immer auf eigenes Risiko, das ist keine Rechtsberatung!

Was ist Matomo (ehem. Piwik)?

Matomo ist ein OpenSource Besucheranalyse-Tool. Das heißt damit kann man analysieren, wie viele Besucher man hat, woher diese kommen, was sie auf der Webseite gemacht haben, ob sie wiedergekommen sind und so weiter und so fort.

Der bekannteste Anbieter von Besucheranalyse-Tools kommt mit Google Analytics natürlich vom Online-Giganten. Mit dem Google-Tool hat man vor allem den großen Vorteil, dass man sich technisch um nichts kümmern muss, sondern einfach nur den Code in die Webseite einbaut.

Matomo hingegen muss man selber betreiben und es ist bei viel besuchten Webseiten relativ ressourcen-fressend.

Der Vorteil liegt aber auf der Hand, die Daten obliegen deiner Verantwortung und Google kann sie nicht mit ihren anderen gesammelten Informationen verknüpfen.

Da ich für meine Webseiten einen eigenen Server betreibe, kann ich leider keine direkte Hoster-Empfehlung geben, außer die, die ich schon für Blogger gegeben habe.

Da Matomo sehr datenbanklastig ist, ist vor allem ein Hoster mit SSD-Festplatte und ausreichend RAM-Speicher pro Kunde empfehlenswert. Gerne auch vorher eine Supportmail schreiben, ob sie mit Matomo Erfahrungen haben.

Grundlegende Datenschutzeinstellungen

Nachdem Matomo installiert ist, als Admin einloggen und über das Zahnrad in die Einstellungen gehen. Dort gibt es sogar einen Punkt Privatsphäre.

Daten anonymisieren

Im Punkt Daten anonymisieren ist es eigentlich recht selbsterklärend.

  • Haken setzen bei: “Anonymisiere die IP-Adresse von Besuchern”
  • Die IP-Adressen auf 2 bytes oder 3 bytes anonymisieren. Wenn dir egal ist, aus welchem Land deine Besucher stammen, dann lieber 3 bytes.
  • Ja zu “Benutze die IP-Adresse auch für die Aufbereitung der Besuche”
  • Bestellnummer anonymisieren

Ich würde auch “Benutzer ID mit Pseudonym austauschen” setzen, obwohl wir dazu eh später noch eine andere Einstellung machen müssen, damit die Benutzer ID sowieso nicht mehr eindeutig ist. Aber sollte es doch einmal zur DSGVO-Prüfung kommen, musst du es nicht lange erklären, warum der Haken nicht gesetzt ist.

Matomo empfohlene Datenschutzeinstellungen im Reiter "Daten anonymisieren"

Benutzer Opt-Out

Du musst deinen Besuchern die Möglichkeit geben, dass sie sich von deiner Besucherzählung ausschließen lassen können.

Den HTML-Code unter dem Menüpunkt “Benutzer Opt-Out” musst du an der entsprechenden Stelle deiner Datenschutzerklärung einfügen.

Die Do-not-Track Einstellung würde ich aktivieren, obwohl nach eigener Erfahrung gut 20 % der Besucher in der Statistik damit rausfallen. Hier fallen alle Besucher raus, die das in ihrem Browser eingestellt haben, dass sie nicht getracket werden möchten. Obwohl die Besucherzählung an sich kein Tracking darstellt. Aber naja, was sind schon Begrifflichkeiten?

Matomo datenschutzgerechte Do not Track Einstellungen

Tracking Code erstellen

Nun musst du für deine Seite einen Tracking Code erstellen. Unter dem Menüpunkt “Tracking Code” die jeweilige Webseite auswählen (Webseite vorher anlegen, wenn noch nicht geschehen) und “Tracking mit Javascript” auswählen.

Folgende Eigenschaften empfehle ich zum Anwählen:

  • Benutzer mit deaktiviertem JavaScript tracken

Erweitere Menüs ausklappen und:

  • Alle Tracking Cookies deaktivieren

Nun kommt ein Code heraus, der in etwa so aussieht:

Aus datenschutzrechtlicher Sicht noch nicht ganz perfekter Tracking-Code

Matomo empfiehlt zwar den Tracking-Code vor dem </head> einzubauen. Ich habe aber sehr gute Erfahrungen gemacht, den Code in den Footer einzupflegen.

Das ist soweit schon einmal ganz gut. Wenn du es so einbindest, setzt Matomo kein Tracking-Cookie und der gröbste DSGVO-Verstoß ist schon einmal behoben.

DSGVO Problem: Device Fingerprinting

Allerdings hat der Europäische Gerichtshof auch geurteilt, dass die Einwilligung nicht nur für Cookies gilt. Deshalb könnte auch sogenanntes Device Fingerprinting zum Datenschutzproblem werden. Durch gewisse Merkmale (Auflösung, Betriebssystem, Browser) kann Matomo auch ohne Tracking-Cookie nachvollziehen, ob du die jeweilige Webseite schon einmal besucht hast.

Deshalb rät die IT-Recht-Kanzlei auch, dass man unabhängig von einer Cookie-Deaktivierung trotzdem die ausdrückliche Einwilligung der Besucher benötigt, wenn man Matomo als Besucheranalyse-Tool verwendet.

Es gibt allerdings auch eine Einstellung in Matomo, die dieses Fingerprinting aus meiner Sicht quasi deaktiviert.

Es ist möglich, die Zeit einzustellen, wie lange Matomo schauen soll, ob der User schon einmal auf der Seite war. Wenn Matomo anhand der Fingerprint-Daten glaubt, dass der Besucher schon einmal auf der Seite war, weist er ihn der jeweiligen UserID zu.

Diese Zeit kann man heraufsetzen, wenn man ganz genaue Daten haben möchte (Einwilligung vonnöten), oder man stellt es auf eine Sekunde. Dann ist aus meiner Sicht nicht mehr ersichtlich, ob der Besucher neu oder wiedergekehrt ist.

Das macht die Qualität Daten natürlich relativ unattraktiv. Dann werden deine Impressionen quasi deine Besucher. Für eine Hausnummer, ob sich deine Seite zum Positiven oder Negativen entwickelt ist das trotzdem noch ein guter Anhaltspunkt.

Dafür ist laut Dokumentation die Variable window_look_back_for_visitor in der Konfig-Datei zuständig.

Nun könnte man argumentieren, dass technische Cookies erlaubt sind, und man die Funktion benötigt, um technisch sauber zu zählen. Damit man den Besucher allerdings technisch nicht wiedererkennen kann, trackt man ihn nur so lange, wie er auf der Seite ist. Da es diese Option leider nicht gibt, könnte man den Wert auf die ungefähre Aufenthaltszeit deiner Besucher deiner Seite stellen. Zum Beispiel drei Minuten, also 180 (die Variable ist in Sekunden angegeben).

Ich habe es eine Zeitlang mit fünf Minuten laufen gehabt und die Analysequalität war sehr gut. Du musst also abwägen, wie sehr du dich rechtlich aus dem Fenster lehnen möchtest. Wenn du auf Nummer sicher gehen willst, holst du dir sowieso die Einwilligung ab. Dann ist die Qualität der Daten aber auch bescheiden, weil fast keiner zustimmt.

Die Variable window_look_back_for_visitor stellst du folgendermaßen ein:

Gehe mit einem (Web-)FTP-Programm in dein Matomo-Verzeichnis. Im Unterordner config befindet sich eine Datei namens global.ini.php – Diese mit einem (Text)Editor öffnen.

Darin findet sich auch die window_look_back_for_visitor Variable. Nun stellst du den Wert ein. 0 bedeutet Standard, was 30 Minuten heißt. 1 wäre wie gesagt eine Sekunde. 180 drei Minuten usw.

window_look_back_for_visitor Variable

Und wenn du die Datei schon offen hast, kannst du gleich schauen, ob die Variable enable_fingerprinting_across_websites auch auf 0 gestellt ist. Das ist vor allem wichtig, wenn du mehrere Webseiten mit der gleichen Matomo-Installation betreibst. Damit die Webseiten nicht untereinander überprüfen, ob es der gleiche Besucher war.

Anschließend die Datei speichern / wieder auf den Webspace laden.

Also brauche ich dann keine Cookie-Warnung?

Das ist schwer zu beantworten. Für Matomo aus meiner Sicht wie gesagt jetzt nicht mehr. Ich gehe das Risiko aber auch ein, weil ich versichert bin, ich außer technische Cookies keine einsetze und ich es schwachsinnig finde, meine Besucher auf imaginäre Gefahren hinweisen zu müssen. Für richtige Tracking-Cookies wie die von Google halte ich die DSGVO und das Opt-In schon gerechtfertigt.

Trotzdem verstecken sich Tracking-Cookies und Fingerprints in vielen externen Codes. Weshalb du deine Webseite genau untersuchen solltest, ob dort Tracking eingesetzt wird. Wenn du zum Beispiel externe Werbung einbindest, Social-Media-Buttons mit dem Standardcode einbettest oder Iframes verwendest, ist die Gefahr auf jeden Fall groß, dass du eine Erlaubnis von deinen Besuchern einholen musst.

Robert von Plötzlich-Selbständig.de Schwarz/Weiß Bild

Ich freue mich von dir zu hören!

Du kommst bei deinem Projekt nicht weiter oder brauchst einen Boost? Dann lass dir von mir helfen zum Beispiel bei:

► Beratung für Selbständige, Gründer & Ideenschmiede
Egal, ob du erste Tipps brauchst. Einmal über deine Idee reden möchtest oder mit mir das Konzept für das nächste Facebook ausarbeiten willst.

► Entwicklung von Software, APPs & Webseiten
Beispielsweise: WordPress Shops & Plugins, (Gaming-)Apps, Datenbank-Applikationen oder andere smoothe Anwendungen!

Mehr Infos, Preise und Kontaktmöglichkeiten findest du hier!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Rahmen der Kommentarfunktion auf dieser Website werden neben Ihrem Kommentar auch Angaben zum Zeitpunkt der Erstellung des Kommentars und der von Ihnen gewählte Kommentatorenname gespeichert und auf der Website veröffentlicht. Ferner wird Ihre IP-Adresse mitprotokolliert und gespeichert. Diese Speicherung der IP-Adresse erfolgt aus Sicherheitsgründen und für den Fall, dass die betroffene Person durch einen abgegebenen Kommentar die Rechte Dritter verletzt oder rechtswidrige Inhalte postet.
Mehr Informationen zur Datenverarbeitung, der Rechtsgrundlage und Ihren Widerrufsrechten erhalten Sie in unserer Datenschutzerklärung