Matomo/Piwik Pro rechtskonform einbinden: Einsatz ohne Einwilligung in der DSGVO?

Matomo (früher bekannt als Piwik) ist eine Open-Source-Webanalyseplattform, die als datenschutzfreundliche Alternative zu anderen Analysetools wie Google Analytics gilt. Allerdings müssen Betreiber von Websites auch bei Matomo sicherstellen, dass sie die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten. und mit legal web privacy cloud Matomo/Piwik Pro rechtskonform einbinden.
Ein zentraler Punkt dabei ist, wann Matomo als „technisch notwendig“ eingestuft werden kann und somit ohne Einwilligung der Nutzer betrieben werden darf. Dabei spielt es keine Rolle, ob es sich um Matomo On-Premise, Matomo Cloud oder Piwik PRO handelt.

Technisch notwendige Datenverarbeitung

Gemäß der DSGVO ist eine Datenverarbeitung ohne Einwilligung zulässig, wenn sie:

• auf einer gesetzlichen Grundlage beruht, oder
• zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO), oder
• zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist, sofern keine überwiegenden Interessen der betroffenen Person entgegenstehen (Art. 6 Abs. 1 lit. f DSGVO).

Webanalyse kann in einigen Fällen als berechtigtes Interesse angesehen werden, insbesondere wenn sie zur Optimierung der Website dient. Um jedoch den technischen Notwendigkeitsstatus zu erreichen und auf Einwilligungen verzichten zu können, müssen spezifische Voraussetzungen erfüllt sein:

Parameter für eine datenschutzkonforme technische Notwendigkeit

1. Cookies deaktivieren Der Einsatz von Cookies erfordert in den meisten Fällen eine Einwilligung, da Cookies personenbezogene Daten erfassen können, z. B. durch das Setzen von eindeutigen IDs. Daher ist der Befehl:
   window._paq.push(['disableCookies']);
   entscheidend. Dieser deaktiviert das Setzen von Cookies in Matomo und Piwik PRO und sorgt dafür, dass keine Informationen im Browser des Nutzers gespeichert werden.
2. Anonymisierung der Nutzer
   • Bei Piwik PRO: Die Nutzer können direkt über den folgenden Befehl anonymisiert werden:
     window._paq.push(['setUserIsAnonymous', 1]);
     Dadurch werden alle personenbezogenen Merkmale entfernt, z. B. die IP-Adresse, wodurch keine direkte oder indirekte Identifikation der Nutzer möglich ist.
   • Bei Matomo: Die Anonymisierung muss über die Datenschutzeinstellungen im Matomo-Backend vorgenommen werden. Eine detaillierte Anleitung dazu findet sich hier: Konfigurieren der Datenschutzeinstellungen in Matomo.

Nutzung mit Einwilligung

Falls eine vollständige Webanalyse gewünscht wird, die personenbezogene Daten umfasst, z. B. durch Cookies oder das Erstellen von Nutzerprofilen, ist eine ausdrückliche Einwilligung der Nutzer erforderlich. Dabei kommen folgende Befehle zum Einsatz:

• Cookies aktivieren
  window._paq.push(['enableCookies']);
  Dieser Befehl erlaubt es Matomo und Piwik PRO, Cookies zu setzen, z. B. um wiederkehrende Besucher zu identifizieren.
• Deanonymisierung der Nutzer
  • Bei Piwik PRO:
    window._paq.push(['deanonymizeUser']);
    Mit diesem Befehl werden personenbezogene Daten wie die IP-Adresse oder andere Identifikatoren genutzt.
  • Bei Matomo: Eine Deanonymisierung der Nutzer kann nur über die Konfiguration im Backend vorgenommen werden. Hinweise dazu bietet ebenfalls die verlinkte Anleitung: Konfigurieren der Datenschutzeinstellungen in Matomo.

Ohne ausdrückliche Zustimmung der Nutzer verstoßen diese Einstellungen gegen die DSGVO, da personenbezogene Daten nur mit Einwilligung verarbeitet werden dürfen (Art. 6 Abs. 1 lit. a DSGVO).

Warum Betreiber bewusst entscheiden müssen

Website-Betreiber müssen sich der Tragweite ihrer Entscheidung bewusst sein, ob Matomo/Piwik Pro mit oder ohne Einwilligung betrieben wird. Eine fehlerhafte Konfiguration kann:

1. Rechtliche Konsequenzen nach sich ziehen, einschließlich Bußgelder und Abmahnungen.
2. Vertrauen der Nutzer beeinträchtigen, wenn der Eindruck entsteht, dass Datenschutz nicht ernst genommen wird.
3. Technische Auswirkungen auf die Funktionsweise der Website haben, z. B. durch eingeschränkte Analysefähigkeit.

Ein datenschutzkonformer Einsatz von Matomo ohne Einwilligung erfordert daher:

• Die Deaktivierung von Cookies.
• Eine vollständige Anonymisierung der Nutzer.
• Transparente Information der Nutzer über die Datenverarbeitung im Rahmen einer Datenschutzrichtlinie.

Betreiber sollten zudem dokumentieren, auf welcher Rechtsgrundlage sie die Analyse durchführen und welche Einstellungen implementiert wurden. Dies stellt sicher, dass sie im Falle einer Prüfung nachweisen können, dass die DSGVO eingehalten wurde.

Mit legal web privacy cloud Matomo/Piwik Pro rechtskonform einbinden

Bei legal web cloud muss lediglich die korrekte Art der Integration bei der Vorauswahl der Dienste gewählt werden.

Möchte man ein „erweitertes Tracking“, so muss immer die Integration mit Einwilligung gewählt werden.

Dadurch wird :

• Matomo / Piwik Pro im Cookie Popup anzeigt
• erst nach Einwilligung des Besuchers geladen
• der korrekte Text inklusive der Rchtsgrundlagen in der Datenschutzerklärung erwähnt

Kann ich zuerst die anonymisierte Variante von Piwik Pro laden und nach Einwilligung in die andere Variante wechseln?

Fügen Sie beide Varianten als Integrationen hinzu.

Im Code Feld laden sie die nicht-einwilligungspflichtige Integration so wie Sie diese auch ohne Sonderfall laden würden. Kopieren Sie das komplette Snippet in das Code Feld. Achten Sie darauf, das sie auch folgende Befehle setzen:
window._paq.push([‚disableCookies‘]);
window._paq.push([’setUserIsAnonymous‘, 1]);

Bei der Einwilligungspflichtigen Integration kopieren Sie nur die 2 Befehle in das Code Feld, die die Anonymisierung aufheben:
window._paq.push([‚enableCookies‘]);
window._paq.push([‚deanonymizeUser‘]);

Dadurch erreichen sie ein vorerst anonymes Tracking, das via Einwilligung des Users zu einem erweiterten Tracking konvertiert wird und Features wie das Erstellen eines Benutzerprofils aktiviert wird.