Viele Unternehmen nutzen das Webanalyse-Tool Matomo (ehemals Piwik) als Alternative oder Ergänzung zu Google Analytics. Die Open-Source-Anwendung ist im Netz frei verfügbar und zeichnet sich durch umfangreiche Funktionen aus. Außerdem genießt Piwik/Matomo den Ruf, bezüglich des Datenschutzes unbedenklicher zu sein. Und dennoch: Wenn Du Piwik/Matomo auf Deiner Website nutzt, musst Du ein paar Dinge beachten, um das Tool datenschutzkonform einzurichten. Damit respektierst Du nicht nur die Privatdaten Deiner Kunden, sondern vermeidest auch rechtliche Konsequenzen. Denn vor allem Mitbewerber sind es, die Verstöße gegen die Datenschutzbestimmungen zur Anzeige bringen. Mit diesen Tipps bist Du auf der sicheren Seite:
Wenn Du Google Analytics verwendest, werden die Daten Deiner Nutzer automatisch an Google weitergeleitet. Das ist bei der Nutzung von Piwik/Matomo nicht der Fall. Stattdessen werden die Nutzerdaten auf einem eigenen Server gespeichert. An Piwik/Matomo selbst werden die Daten nicht weitergereicht. Aus diesem Grund benötigst Du keinen Vertrag zur Auftragsdatenverarbeitung mit einem anderen Anbieter, den Du dann auch in der Datenschutzerklärung erwähnen müsstest. Kurzum: Die Daten Deiner Nutzer bleiben bei Dir.
Gleichwohl kann es auch bei der Nutzung von Piwik/Matomo geschehen, dass Du die Nutzerdaten – womöglich unwissentlich – an Dritte weitergibst. Zum Beispiel dann, wenn Du Deine Datenverarbeitung an externe Dienstleister auslagerst. In diesem Fall müsstest Du wiederum einen Vertrag zur Auftragsdatenverarbeitung abschließen und in Deiner Datenschutzerklärung auf die Weitergabe der Daten hinweisen.
Gemäß der Standardeinstellung sammelt Piwik/Matomo die IP-Adressen der Besucher in einer Datenbank. Damit können unter Umständen die Aktivitäten der Nutzer auch auf anderen Seiten über einen längeren Zeitraum nachverfolgt werden. Auf diesem Grund ist die Speicherung der IP-Adressen rechtlich nicht zulässig. Um Verstöße gegen den Datenschutz zu vermeiden, musst Du die IP-Adressen Deiner Nutzer anonymisieren. Damit können die Spuren, die Besucher Deiner Seite auch auf anderen Seiten hinterlassen, nicht mehr persönlich zugeordnet werden. Wähle dazu den Menüpunkt Administration → Einstellungen → Privatsphäre und aktiviere dort die Anonymisierung der IP-Adresse. Unter Umständen musst Du hierfür ein Plugin (PrivacyManager oder AnonymizeIP) installieren.
Wenn Du in der Vergangenheit IP-Adressen Deiner Nutzer rechtswidrig gespeichert hast, solltest Du diese umgehend löschen. Unter dem Menüpunkt Administration → Einstellungen hast Du dazu die Möglichkeit. Ohnehin empfiehlt es sich, die Log-Daten Deiner Besucher regelmäßig zu löschen – im Idealfall mindestens alle drei Monate. Keine Sorge: auch ohne diese Daten kannst Du weiterhin auf sämtliche Besucheranalysen zurückgreifen. Du gehst also datenschutzrechtlich auf Nummer sicher, ohne dass Deine Webanalyse davon beeinträchtigt wird.
Weise unbedingt in der Datenschutzerklärung auf die Verwendung von Piwik/Matomo hin. Auch wenn ein fehlender Hinweis den Besuchern nicht auffallen mag: besonders Mitbewerber überprüfen Deine Datenschutzerklärung gern auf fehlende Angaben. Wichtig ist zudem, dass die Datenschutzerklärung in Deiner Navigation leicht zu finden ist: verstecke sie nicht im Impressum oder mache sie dort zumindest durch eine Doppelbetitelung erkennbar („Impressum/Datenschutz“). Es ist aber sinnvoll, hier absolut auf Nummer sicher zu gehen und eine eigene Datenschutzerklärung in Deine Seite zu integrieren – vermutlich wirst Du das ohnehin längst getan haben. Deine Datenschutzerklärung sollte dabei einen Hinweis geben, wie die Nutzer der Nutzung Ihrer Daten widersprechen können (Verweise auf Opt-out-Möglichkeit und „Do not track“-Funktion, siehe Punkt 5 und 6).
Mit dem sogenannten Piwik/Matomo Opt-out iframe gibst Du den Besuchern Deiner Seite die Möglichkeit, der Nutzung ihrer Daten mit einem Klick zu widersprechen. Unter den Menüpunkten Administration → Privatsphäre findest Du in Piwik/Matomo einen Codeabschnitt. Bettest Du diesen in den Quelltext ein, wird der iframe Deinen Besuchern automatisch angezeigt. Diese bekommen dann den folgenden Text zu lesen und können mit der Wegnahme des Häkchens der Nutzung Ihrer Daten widersprechen:
You may choose not to have a unique web analytics cookie identification number assigned to your computer to avoid the aggregation and analysis of data collected on this website. To make that choice, please click below to receive an opt-out cookie.
o You are currently opted in. Click here to opt out.
(Quelle: https://matomo.org/faq/general/faq_20000/ )
Mit diesem Hinweis wirst Du der EU-Cookie-Richtlinie (Richtlinie 2009/136/EG) gerecht, die dem Schutz personenbezogener Daten dient. Allerdings wurde diese Richtlinie bislang nicht in deutsches Recht überführt, ist rechtlich also nicht bindend.
In Ihrem Browser können Nutzer einstellen, dass sie von Webanalyse-Tools nicht getrackt werden möchten. Der Browser gibt diese „Do Not Track“-Präferenz beim Besuch einer Seite dann an diese weiter. Auch wenn diese Einstellung rechtlich nicht bindend ist, respektiert Piwik/Matomo standardmäßig diese Benutzereinstellung. Unser Rat an Sie: Behalten Sie diese Einstellung unbedingt bei!
Bei Firefox finden Sie die „Do Not Track“-Funktion unter Menü → Einstellungen → Datenschutz & Sicherheit → Schutz vor Aktivitätenverfolgung. Dort können Sie wählen, dass Websites eine „Do Not Track“-Information gesendet wird, Sie also wünschen, dass von der Verfolgung Ihrer Aktivitäten abgesehen wird. Bei Google Chrome ist diese Funktion unter Menü → Einstellungen → Erweitert → Sicherheit und Datenschutz zu finden. Aktivieren Sie einfach den Regler „Mit Browserzugriffen eine ‚Do Not Track‘-Anforderung senden“.
Du siehst: Auch bei der Nutzung von Piwik/Matomo musst Du ein paar Dinge beachten, um datenschutzrechtlich auf der sicheren Seite zu sein. Dennoch stellt dieses Tool im Vergleich zu Google Analytics die in datenschutzrechtlicher Hinsicht weitaus sicherere Variante dar. Mit Piwik/Matomo werden alle Daten auf Deinem eigenen Server gehostet und in Deine eigene Datenbank überführt – nicht umsonst wirbt das Unternehmen mit „100% data ownership“ und „User privacy protection“. Diese Datensicherheit ist ein wichtiger Unique Selling Point von Piwik/Matomo und einer der wichtigsten Gründe, weshalb sich auch führende Unternehmen für die Nutzung dieses Tools entscheiden. Schon deshalb ist Piwik/Matomo bestrebt, seine Software laufend den Datenschutzbestimmungen der EU anzupassen.
Das bedeutet ganz konkret: Wenn Du Piwik/Matomo nutzt, werden keine Daten an Google oder ein anderes Unternehmen übermittelt. Somit gibst Du keine Informationen – auch nicht ungewollt oder unbemerkt – nach außen weiter, die dann für Werbemaßnahmen weiterverwertet werden können. Niemand hat die Möglichkeit, ein personalisiertes Nutzerprofil der Besucher Deiner Seite zu erstellen. Somit läufst Du hinsichtlich des Piwik/Matomo Datenschutzes keine Gefahr, eine Abmahnung zu erhalten – sofern Du unsere obigen Hinweise berücksichtigst.
Und ganz nebenbei kommst Du auch in den Genuss der vielen weiteren Vorteile von Piwik/Matomo. Im Gegensatz zu Google Analytics wird Piwik/Matomo nicht von AdBlockern beeinflusst. Wenn Du bedenkst, dass ca. 30 Prozent der deutschen Internetnutzer auf einen AdBlocker zurückgreifen, stellt dies einen entscheidenden Vorteil dar und bewahrt Deine Webanalyse vor unnötigen Verzerrungen. Auch ist die Datenmenge, die Piwik/Matomo in seine Analyse einbezieht, nicht limitiert – ein Vorzug, den gerade große Unternehmen mit vielen Seitenaufrufen zu schätzen wissen.
Umgekehrt gibt es mit der hohen Flexibilität und dem Anwendungsumfang auch gute Argumente, die für Google Analytics sprechen. Wenn jedoch der Schutz der Nutzerdaten Deine oberste Priorität darstellt, ist Piwik/Matomo das Webanalyse-Tool Deiner Wahl.