Matomo (früher Piwik) ist eine leistungsstarke und datenschutzfreundliche Alternative zu Google Analytics. Es ist Open-Source, kann daher auf dem eigenen Server gehostet werden und ist deutlich besser mit dem europäischen Datenschutzrecht kompatibel als das gängige Tool des Marktführers.

Um Matomo datenschutzkonform einzusetzen sind jedoch 5 Vorkehrungen zu treffen:

1. IP-Anonymisierung einschalten

Da IP-Adressen zu den personenbezogenen Daten gezählt werden, ist es notwendig, diese zu anonymisieren. Dies kann einfach in den Administrations-Einstellungen unter Privatsphäre > Daten anonymisieren eingestellt werden.
Es sollten mindestens zwei Bytes anonymisiert werden

Wichtig ist, dass mindestens zwei Bytes anonymisiert werden, ein Byte ist nicht ausreichend. Zu beachten ist außerdem, dass die Anonymisierung einen Nachteil mit sich bringt: Der Herkunftsort der Seitenbesucher werden nicht mehr ganz so akkurat angezeigt.

2. Do-not-Track aktivieren


Webseitenbesucher können in Ihrem Browser einstellen, ob Sie Webseiten dazu auffordern sollen, das Tracking zu unterlassen. Diese sog. Do-not-Track Einstellung sollte unbedingt beherzigt werden. In Matomo kann dies unter Privatsphäre > Benutzer-Opt-Out eingestellt werden:
Die Do-not-Track Unterstützung sollte unbedingt aktiviert werden

3. Datenschutzerklärung anpassen


Dass Sie Statistiken über die Seitenbesuche anfertigen, ist zwingend in der Datenschutzerklärung anzugeben. Folgenden Textbaustein können Sie dazu kostenlos nutzen:

Die Reichweite unserer Webseite messen wir mit Matomo, einem Open-Source-Tool, das wir auf unserem eigenen Server betreiben. 

Dabei wird ggf. ein Cookie auf dem Endgerät des Nutzers gesetzt, über das die Aktivitäten nachverfolgt und beispielsweise wiederkehrende Besuche erkannt werden können. Die IP-Adresse des Nutzers wird automatisch gekürzt, damit ist ein Rückschluss auf einzelne Personen nicht mehr möglich. Ausgewertet werden unter anderem der ungefähre geografische Standort, Endgerät, Bildschirmauflösung, Browser sowie besuchte Seiten einschließlich der Verweildauer. 

Soweit wir eine Einwilligung des Nutzers einholen, erfolgt die Verarbeitung von Daten auf der Rechtsgrundlage des Art. 6 Abs. 1 UAbs. 1 Buchst. a) DSGVO. Im Übrigen beruht sie auf Art. 6 Abs. 1 UAbs. 1 Buchst. f) DSGVO. Unser berechtigtes Interesse besteht in der Optimierung unserer Webseite, der Verbesserung unserer Angebote und dem Online-Marketing. 

4. Widerspruchsmöglichkeit bereitstellen


In der Datenschutzerklärung sollte außerdem ein sog. Opt-Out-Frame eingebunden werden. Dies ermöglicht dem Besucher per Klick die Möglichkeit, sich der Besucherzählung zu entziehen.
Der HTML-Code ist in Ihrer Datenschutzerklärung einzufügen

Das Opt-Out-Frame können Sie sich in den Einstellungen unter Privatsphäre > Benutzer-Opt-Out erstellen. Dieses müssen Sie im Anschluss in der Datenschutzerklärung einbinden.

5. Löschen alter Daten


Zu guter Letzt sollten Sie überprüfen, ob die Daten in turnusmäßigen Abständen durch Matomo gelöscht werden. Dies ist laut Datenschutzbehörden notwendig. Dies können Sie unter Privatsphäre > Daten anonymisieren > Lösche regelmäßig alte Daten aus der Datenbank gemacht werden. Dort sollten Sie einen Wert von 180 Tagen eintragen, um auf der sicheren Seite zu sein.
Ein Wert von 180 Tagen halten Datenschutzbehörden für ausreichend

Wichtiger Hinweis: Momentan streiten sich Juristen darüber, ob das Erstellen von Webseitenstatistiken überhaupt ohne Einwilligung des Nutzers zulässig ist. Aus diesem Grund raten wir dazu, den Besucher über ein Cookie-Consent-Tool um Einwilligung zu bitten. Erst nach Erteilung dieser Einwilligung darf dann ein Cookie auf dem Endgerät des Benutzers gesetzt werden. Weitere Informationen dazu finden Sie in den Einstellungen unter Privatsphäre > Um Erlaubnis bitten.