Matomo fit für die DSGVO machen5 min Lesezeit

Matomo (früher Piwik) 1 ist eine Open-Source-Alternative zu Google Analytics. Die Software wird auf einem Server installiert und kann danach mehrere Websites beobachten.

Ich verwende Piwik für meine eigenen Websites und möchte hier erste Anpassungsmöglichkeiten vorstellen, um Piwik fit für die DSGVO zu machen.

Diese Empfehlungen sind Vorschläge und ersetzen keine Rechtsberatung. Auch Piwik selbst weist immer wieder auf externe Rechtsberatung hin.

Wie bereitet man Matomo auf die DSGVO vor?

Wenn das Sammeln von personenbezogenen Daten in der europaweit gültigen Datenschutzgrundverordnung (DSGVO) ein Problem darstellt, so geht Matomo einen einfachen Weg: Einfach keine personenbezogenen Daten sammeln. Wie also muss Matomo konfiguriert werden, damit auf dem Server keine personenbezogenen Daten verarbeitet werden?

  • IP-Adresse anonymisieren. > Einstellungen (Administration) > Privatsphäre (Quelle).

(Klicken Sie auf das Bild, um es zu vergrößern.)

  • Cookies deaktivieren. Ob Cookies DSGVO-konform sind oder nicht, ist im Moment noch strittig. Sollen Cookies deaktiviert werden, kann folgender Javascript-Code hinzugefügt werden (Quelle):

[...]
// Add this line before the trackPageView() call
_paq.push(['disableCookies']);
_paq.push(['trackPageView']);
[...] 

Werden Cookies deaktiviert, so werden manche Ergebnisse ungenauer: Matomo kann immer noch wiederkehrende Besucher erkennen („Fingerprint“), aber mit geringerer Zuverlässigkeit. Ebenso funktionieren E-Commerce-Tracking und andere Zahlen für wiederkehrende Besuche nicht wie zuvor. (Quelle)

  • URLs anonymisieren. Manche CMS verwenden URLs, die Rückschlüsse auf Personen zulassen. Je nach verwendetem System können hier unterschiedliche Maßnahmen getroffen werden. Die Parameter und auch Seitentitel können anonymisiert werden. Für das Tracking werden danach machen URLs zusammengefasst. (Quelle).
  • User-ID verschlüsseln. Um einen Besucher auf verschiedenen Geräten als denselben User zu identifizieren, wird eine sog. User-ID erstellt. Diese ID ist personenbezogen.
    • Um sie verwenden zu können, kann sie entweder mit einer kryptografischen Hashfunktion verschlüsselt werden.
    • Oder man anonymisiert die User-IDs. (Diese Funktion wird es ab Matomo 3.5.0 geben).
  • Online-Shop Bestellnummern verschlüsseln. Wie die User-ID können auch Bestellnummern vom Onlineshop verschlüsselt werden. Die Bestellnummern werden zur Identifikation gebraucht, sind aber mit den Shopdaten einzelnen Personen zuzuordnen.
  • Ortsfindung deaktivieren. Heute sind Ortungssysteme schon so gut, dass sie zu den personenbezogenen Daten zu rechnen sind, weil sie auf einen genauen Ort Rückschlüsse zulassen (wenngleich dieser Punkt auch nicht ganz unstrittig ist). Deshalb sollten IP-Adressen unbedingt nur anonymisiert verarbeitet werden (siehe oben). Diese Einstellung hat natürlich Auswirkung auf die korrekte Identifikation des Ursprungsorts, manchmal wird nicht einmal das Herkunftsland mehr korrekt angezeigt werden.

In der Premium-Version von Matomo sind auch noch Heatmaps und Session-Aufnahmen zu beachten.

Was soll in der Datenschutzerklärung in Bezug auf Matomo stehen?

Auf dem Matomo-Blog ist zu finden:

A basic rule of thumb is that if you are not processing personal data, then you do not need to show any privacy notice. But if you are doing so, such as processing full IP addresses, then a privacy notice is required at the time of the data collection. Please note that personal data may also be hidden, for example, in page titles or page URLs.

Das bedeutet:

  • Wer keine personenbezogenen Daten sammelt, braucht auch keinen Hinweis schalten.
  • Personenbezogene Daten stecken auch in IP-Adressen, URLs oder Seitentiteln.
  • Das Sammeln von Daten sowohl auf Basis ausdrücklicher Zustimmung als auch rechtmäßiger Verarbeitung verlangt nach einer Datenschutzerklärung.

In der Datenschutzerklärung bzw. dem Datenschutzhinweis (privacy notice) muss dann stehen:

  • die Gründe, warum die personenbezogenen Daten verarbeitet werden
  • die Dauer, für wie lange die Daten gespeichert werden
  • weitere Verarbeiter, mit denen die Daten geteilt werden

Dieser Hinweis kann in mehreren Formen passieren (Quelle) – zumeist sind diese zu kombinieren:

  1. der Layer-Ansatz – kurze Hinweise mit Schlüsselinformationen, die auf vertiefende Informationen verlinken
  2. Dashboards – Einstellungsseiten, die den User informieren, wie welche Daten gespeichert und verwendet werden
  3. Ad-hoc Hinweise – gebündelte Informationen, dort, wo neue Daten gesammelt werden (quasi digital „vor Ort“) und genau zum Zeitpunkt, wenn sie zum ersten Mal gesammelt werden
  4. Icons – Symbole, die eine bestimmte Datenspeicherung anzeigen
  5. Mobil- und Smartgeräte-Funktionen – Pop-ups, Gesten, Warnsignale

Hier weiterlesen.

  • privacy policy = Datenschutzrichtlinie
  • privacy notice = Datenschutzerklärung

Quellen:

Zum Weiterlesen:

„The UK’s independent authority set up to uphold information rights in the public interest, promoting openness by public bodies and data privacy for individuals.“

Gut erklärte Teilbereiche der DSGVO für Unternehmen.

  1. Ich finde die Umbenennung sehr schade, ich kann mich einfach nicht an den neuen, nicht so griffigen Namen gewöhnen. Es liest sich nichts zwischen den Zeilen heraus, aber ich habe trotzdem das Gefühl, dass die Umbenennung nicht freiwillig war.

2 thoughts on “Matomo fit für die DSGVO machen5 min Lesezeit

  1. Hallo Sabine,
    danke für die Anleitung. ich habe das umgesetzt, sehe aber, dass Matomo ein „Session-ID-Cookie“ setzt. Ist das ein anderes Cookie, also ein essentielles Cookie für das ich keine Einwilligung benötige?
    Danke für Tipps!
    Raphael

    1. Hallo Raphael,
      freut mich, wenn’s hilft!
      Ich kann jetzt nicht genau sagen, welches Cookie das ist, aber in manchen Fällen definiert das eine Cookie genau das Nicht-Tracken, etwa beim Opt-Out. Eventuell hilft dieser oder dieser Artikel von Matomo, beides zu den Cookies, etwa:

      When the opt-out feature is used, there is a cookie called MATOMO_SESSID being created, this cookie is only temporary (it is called a nonce and helps prevent CSRF security issues).

      —Sabine

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert