Tracking einfach und lokal

Datenschutz Matomo Tracking

So langsam spricht es sich herum, dass Google Analytics nicht das einzige Web-Analyse-Tool ist. Eine beliebte Alternative: Matomo, bis 2018 bekannt als “Piwik”. Wettbewerb belebt das Geschäft, sagt man. Finden wir bei dmf auch. Und in diesem Fall bringt es für Shop-Betreiber:innen sogar handfeste Vorteile, ihre Website mit Hilfe von Matomo zu tracken.

Kontrolle behalten

Matomo ist eine auf PHP und MySQL basierende Webapplikation, die direkt auf dem Server installiert werden kann. Mittels eines JavaScript Tracking-Codes auf der eigenen Webseite wird der einzelne Seitenaufruf getrackt. Und darin liegt der enorme Vorteil des Tracking Tools: Shop-Betreiber:innen können Matomo selbst hosten. Damit behalten sie die vollständige Kontrolle über ihre Tracking-Daten. Ein klares Plus im Vergleich zu Google Analytics. Schließlich verarbeitet das Google Tracking Tool alle erhobenen Daten auch in den USA. Kritisch, da ein EuGH Urteil das informelle Datenschutzabkommen zwischen Europa und den USA, das sogenannte Privacy Shield für ungültig erklärt hat. 

Matomo sollte im lokalen Betrieb genutzt werden. Das bedeutet, dass die Installationsdateien von Matomo heruntergeladen und dann auf einem eigenen Server aufgespielt werden. Die Installation ist insbesondere für WordPress sehr einfach, weil dafür ein Plugin zur Verfügung steht. Diese Betriebsart wird auch als On-Premise bezeichnet und ist kostenfrei.

Personenbezogene Daten anonymisieren 

Dass sie Matomo nutzen, um die Shop-Besuche zu tracken, müssen Shop-Betreiber:innen in ihrer Datenschutzerklärung angeben. Und, klar, auch bei der Verwendung von Matomo sind die rechtlichen Anforderungen bei der Verarbeitung personenbezogener Daten zu beachten. 

Bei jedem Aufruf einer Webseite über einen Browser wird die IP-Adresse des Nutzers, also dessen Netzwerkadresse, an die aufgerufene Webseite übertragen. Weil IP-Adressen personenbezogene Daten sind, ist der Aufruf einer Webseite immer ein DSGVO-relevanter Vorgang. Aus Datenschutzgründen sollten bei der Anwendung des Tracking Tools die IP-Adressen daher nicht voll protokolliert werden. Matomo bietet dafür das Plugin „PrivacyManager“ an. Dieses wird bei der aktuellen Version bereits mitgeliefert und muss lediglich unter “Einstellungen” aktiviert werden. 

Die Anzahl der zu maskierenden Oktette ist in config/global.ini.php als ip_address_mask_length mit dem Default-Wert 1 festgelegt. Ändert man also nichts an der Einstellung, wird bei aktiviertem PrivacyManager-Plugin das letzte Oktett der IP-Adresse auf 0 gesetzt. Eine gespeicherte IP-Adresse sollte dann beispielsweise so aussehen: 128.91.97.0. Die Anzahl der zu maskierenden Oktette kann in config.ini.php flexibel konfiguriert werden. Zulässige Werte sind für IPv4-Adressen 1 bis 4. Die Einstellung erfolgt durch das Einfügen einer neuen Wertangabe. Um beispielsweise nicht nur ein Oktett, sondern zwei Oktette der IP-Adresse zu anonymisieren, muss die Datei config/config.ini.php wie folgt geändert werden:

ip_address_mask_length = 2

Eine Kürzung der IPv4-Netzwerkadresse um zwei Byte weist ein hohes Datenschutzniveau auf. Werden zwei oder mehr Bytes der IP-Adresse des Nutzers maskiert, dann wird die Geolokation recht ungenau. Dennoch sollte die Bestimmung des Standorts des Nutzers auch dann immer noch genau genug für die meisten Anwendungsfälle sein. Für viele Händler:innen ist es unerheblich, ob Besucher:innen in Hessen oder Nordrhein-Westfalen wohnen.

Tracking auch ohne Cookies möglich

Werden Cookies verwendet, ist auch bei der Anwendung von Matomo eine Zustimmung durch aktives Ankreuzen oder Anklicken erforderlich, es gilt auch hier das klassische Opt-in-Verfahren. Allerdings können Shop-Betreiber:innen Matomo auch ohne Cookies nutzen. Der Nachteil ist, dass wiederkehrende Besucher nicht zuverlässig als solche erkannt werden. Doppelzählungen sind im schlimmsten Fall die Folge. Diese Konsequenz ist für kleine und mittlere Unternehmen meist unerheblich.

Denn auch ohne Cookies lassen sich die wichtigsten Fragen beantworten:

  • wie viele Nutzer die Webseite an einem bestimmten Tag aufgerufen haben,
  • welche Seite (Unterseite) der Webseite wie oft aufgerufen wurde,
  • von welchen Endgeräten aus die Aufrufe erfolgten und
  • von wo ungefähr (geografische Lage) die Aufrufe erfolgten.

Alles, was darüber hinausgeht, braucht ein hohes Maß an Ressourcen zum Auswerten der Besucherströme. Vor allem bei kleineren und mittelgroßen Firmen sind diese oft nicht vorhanden, so dass die Erhebung weiterer Daten wenig Sinn macht.

Shop-Betreiber:innen können Matomo auch ohne Cookies nutzen.

Device Fingerprint

Gemäß EuGH gilt die Einwilligungspflicht, die wir oben für die Nutzung von Cookies beschrieben haben, jedoch nicht nur für Cookies, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen. Das könnte zur Hürde für das einwilligungsfreie Verwenden von Matomo werden. Denn der Dienst nutzt das sogenannte „Device Fingerprinting“, eine Technologie, die vom verwendeten Endgerät spezifische Informationen wie beispielsweise Gerätetyp, Geräteleistung oder Log-Ins. so auslesen und zusammenführen kann, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird. Dadurch ist das Gerät durch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen. So könnte allein deswegen von einer Einwilligungspflicht ausgegangen werden. Verschiedene Rechtsberatungen empfehlen daher, unabhängig von einer Cookie-Deaktivierung die Einholung einer ausdrücklichen Einwilligung des Seitenbesuchers.

Fazit

Der kostenlose Tracking Dienst Matomo besticht durch seine lokale Nutzung und hohe Datensicherheit. Auch ohne Cookies lassen sich die wichtigsten Tracking Punkte realisieren, so dass sich Besucher:innen ohne lästiges Cookie-Banner durch den Shop klicken können. Ein offenes Ende ist die Nutzung des Device Fingerprinting. Hier bleibt abzuwarten, wie sich die Rechtsprechung positioniert. Wir bleiben dran und halten Sie auf dem Laufenden.