Datenschutzerklärung für Matomo (ehemals Piwik)

(3 Bewertungen, 5.00 von 5)

Worum geht's?

Matomo ist ein Open-Source Webanalyse-Tool, mit dem Unternehmen das User-Verhalten auf ihrer Webseite untersuchen können. Dazu erstellt die Software detaillierte Statistiken, unter anderem zu benutzten Suchmaschinen, Suchbegriffen, Browsern und zur Nutzer-Herkunft. Matomo – ehemals Piwik – gilt als die datenschutzsensible Variante von Google Analytics. 

 

Für Matomo benötigen Sie einen Passus in Ihrer Datenschutzerklärung

Datenschutzerklärung kostenlos erstellen

 

Warum ist Matomo datenschutzrechtlich relevant?  

Matomo erhebt und speichert umfassende Daten zum Verhalten der Seitenbesucher. Dazu zählen unter anderem IP-Adressen – und damit personenbezogene Daten. Unternehmen müssen daher verschiedene Pflichten der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) beachten, um das Tool datenschutzkonform zu nutzen. 

So können Webseitenbetreiber Matomo datenschutzkonform nutzen 

Der deutsche Datenschutz schreibt diese Pflichten für die Verwendung von Matomo vor: 

Nutzer-Einwilligung einholen 

In den Standard-Einstellungen erheben Unternehmen mit Matomo Nutzerstatistiken, die als personenbezogene Daten gelten können. Für die Datenerhebung setzt Matomo einen Cookie in den Browser von Usern. Dafür benötigen Unternehmen ihre Einwilligung. Die Einwilligung muss informiert, freiwillig und aktiv von Usern erteilt werden. Um diese Voraussetzungen zu erfüllen, können Seitenbetreiber ein Cookie Consent Tool nutzen. Dies holt die Erlaubnis der Nutzer per Cookie Banner rechtskonform ein. 

Vertrag zur Auftragsdatenverarbeitung abschließen 

Seitenbetreiber erheben über Matomo personenbezogene Daten und geben diese an den Anbieter weiter. Dafür müssen sie gemäß Art 28 DSGVO einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit diesem schließen. Der Vertrag hält fest, wie Seitenbetreiber Userdaten an Matomo weitergeben und wie die Daten dort verarbeitet werden. Der Vertrag sollte klären, 

  • welche Userdaten Matomo speichert, 
  • wie lange Matomo die Nutzerdaten speichert, 
  • zu welchem Zweck Matomo die Daten verarbeitet und 
  • welche sonstigen Rechte und Pflichten beide Parteien haben. 

IP-Anonymisierung vornehmen 

Um keine vollständigen IP-Adressen zu erheben, sollten Unternehmen diese anonymisieren. Sie können den Grad der Anonymisierung bei Matomo frei wählen. Grundsätzlich weist eine Kürzung der IPv4-Netzwerkadresse um zwei oder mehr Bytes ein hohes Datenschutzniveau auf. Die Geolokation ist dann ungenau.  

Benutzer-ID mit Pseudonym austauschen 

Zudem sollten Seitenbetreiber die Option „Benutzer-ID mit Pseudonym austauschen“ aktivieren. Matomo ersetzt dann interne Identifikatoren für Besucher durch einen Hash-Wert. Hash-Werte können mehrdeutig sein. Auf diese Weise steigt das Datenschutzniveau.  

Alte Daten regelmäßig löschen  

Unternehmen sollten erhobene Daten in Matomo nicht zu lange aufbewahren. Denn: Erfüllen Daten keinen Zweck mehr, müssen sie diese löschen. Das gibt die DSGVO vor. Matomo verfügt über eine Einstellung, die alte Bestandsdaten automatisch löscht. Dabei sollten Seitenbetreiber die Anzahl der Tage, nach denen Daten verfallen, so wählen, dass diese größer ist als der maximal benötigte Berichtszeitraum. Anonymisieren Unternehmen die Berichtsdaten, können sie diese auch länger aufbewahren. Daten aus früheren Sitzungen, die nicht anonymisiert sind, können sie nachträglich anonymisieren. 

Datenschutzerklärung aktualisieren 

Seitenbetreiber müssen in ihrer Datenschutzerklärung darüber informieren, dass sie 

  • über Matomo (personenbezogene) Daten erheben, speichern und verarbeiten, 
  • diese Daten an Matomo weitergeben, 
  • dafür mit Matomo einen AV-Vertrag geschlossen haben und 
  • die IPs anonymisiert haben. 

Zudem sollten Seitenbetreiber Nutzer darauf hinweisen, dass sie der Datenerhebung jederzeit widersprechen können. 

Matomo lokal einbinden 

Das höchste Maß an Datenschutz erreichen Unternehmen, wenn sie Matomo selbst hosten und so lokal betreiben. Dabei installieren sie Matomo auf ihrem eigenen Server. Sie geben dann keine Daten an den Anbieter weiter. Und: Nutzen Unternehmen Matomo zusätzlich ohne Cookies, benötigen sie keine Einwilligung der Nutzer in die Datenerhebung. 

Rechtsprechung zu Matomo 

Für das Webanalyse-Tool Matomo ist diese Rechtsprechung relevant: 

Landgericht Frankfurt zur Widerspruchsmöglichkeit zur Datenerhebung 

Das Landgericht (LG) Frankfurt hat am 18.02.2014 entschieden, dass beim Einsatz von Piwik ein fehlender Hinweis zur Widerspruchsmöglichkeit zur Erhebung der Daten einen Wettbewerbsverstoß darstellt (Az. 3-10 O 86/12). Diese Entscheidung gilt damit auch für Matomo. Webseitenbetreiber sind verpflichtet, auf die Widerspruchsmöglichkeit hinzuweisen. 

Landgericht Hamburg zum Hinweis auf Google Analytics in Datenschutzerklärung  

Am 10.03.2016 kam das LG Hamburg zu dem Schluss: Seitenbetreiber müssen in ihrer Datenschutzerklärung ausführlich darüber informieren, dass und wie sie Google Analytics zur Datenerhebung nutzen (312 O 127/16). In einem Urteil vom 09.08.2016 bestätigte das Gericht dies (Az. 406 HKO 120/16).  Die Entscheidung lässt sich auch auf das Webanalyse-Tool Matomo übertragen. 

Europäischer Gerichtshof zur Verwendung von Cookies 

Setzen Seitenbetreiber bei Matomo Cookies ein, um User zu tracken, benötigen sie ihre Einwilligung dafür. Denn: Der Europäische Gerichtshof (EuGH) entschied am 01.10.2019: Seitenbetreiber benötigen für den Einsatz von Cookies grundsätzliche eine aktive Einwilligung der Nutzer. Das Kästchen für das Einverständnis darf dabei nicht vorankreuzt sein (Az. C-673/17). 

Bundesgerichtshof zur Verwendung von Cookies 

Der Bundesgerichtshof (BGH) kam zum gleichen Ergebnis wie der EuGH: So stellten die Richter in ihrem Urteil vom 28.05.2020 fest: Seitenbetreiber dürfen nur dann Tracking Cookies verwenden, wenn sie vorher die Erlaubnis der User eingeholt haben. Wie der EuGH verwies auch der BGH darauf, dass das Kästchen für das Einverständnis nicht vorangekreuzt sein darf I ZR 7/16). 

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Datenschutzerklärung für Microsoft Teams
Weiterlesen...
Datenschutzerklärung für Consent Tool Usercentrics
Weiterlesen...
Datenschutzerklärung für Vimeo
Weiterlesen...
Datenschutzerklärung für Microsoft Clarity
Weiterlesen...
Datenschutzerklärung für Mautic
Weiterlesen...
Datenschutzerklärung für Mastercard
Weiterlesen...
Datenschutzerklärung für Manychat
Weiterlesen...
Datenschutzerklärung für Bewerbungen
Weiterlesen...
Datenschutzerklärung für Tidio
Weiterlesen...
Datenschutzerklärung für Jotform 
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support