Matomo er en gratis tilgængelig analyse-software for websteder. Med Matomo kan mange statistikker, som også Google Analytics tilbyder, oprettes. Med den rette konfiguration kan Matomo bruges uden samtykke og uden problemer med privatlivets fred.
Indledning
Matomo er en populær løsning til at kunne forstå brugerens adfærd på websteder. I modsætning til Google Analytics kan Matomo uden Datenschutzprobleme og uden samtykke drives.
Til trods med det kan med Matomo ofte tilstrækkelige statistiker over besøgende på websteder oprettes. Især kan med Matomo faststilles,
- Hvor mange brugere der har besøgt hjemmesiden på en bestemt dag
- Hvilken side (under-side) af hjemmesiden blev tilkaldt hvor ofte
- Fra hvilke enheder de opkald kom fra og
- Fra hvilken omgang (geografisk placering) opfordringerne udsendtes.
De fleste webstedsejere behøver ikke at vide mere end det her. Alt, hvad der går ud over dette, er sjældent til nytte, hvis der ikke er tilstrækkelige ressourcer og viden til at evaluere besøgstrenderne. Særligt hos mindre og mellemstore virksomheder er disse ressourcer dog netop ikke til rådighed.
Matomo er teknisk og juridisk meget bedre at styre end Google Analytics.
Min påstand efter at have undersøgt begge værktøjer.
Matomo har på grund af de juridiske spørgsmål vedrørende Google Analytics en betydeligt mindre indsats til at indrette, end det Google-tool. Fordi der ikke er et cookie-pop-up, som besøgende bliver irriteret af, kan man desuden antage en højere konverteringsrate eller en lavere forløbshigh. Dette øger således også omfanget af analyser-data, hvilket igen fører til mere robuste statistikker.
For at Matomo kan drives i overensstemmelse med GDPR og uden samtykke, skal der tages højde for nogle aspekter. Inden jeg går nærmere ind på konfigurationen af Matomo, skal eksempler på udviklinger vises, som Matomo understøtter.
Besøgstal med Matomo
Der skærmbillede viser de aktuelle besøgende på en hjemmeside og deres handlinge. En handling er f.eks. at kalde op en underseite. Derudover vises egenskaber til besøgende, f.eks. hvilken browser, hvilket operativsystem eller hvilken type skærm, som anvendes.
Den følgende skærmbillede viser en graf over de sidste besøg, som på grund af den rene testmodus er meget magert.
Fra alle besøg bliver aggregerede statistikker beregnet, såsom den gennemsnitlige opholdstid eller antallet af handlinger pr. besøg. En handling er f.eks. klik på en link.
Analysefunktionerne fra Matomo er tilstrækkelige for de fleste websteder.
Min påstand efter at have kendskab til Matomo og mange hjemmesider.
Vejen fra besøgende til hjemmesiden, på hjemmesiden og hvordan hjemmesiden forlades, bliver tydeligt fremstillet.
Overgångene viser, hvordan besøgende er kommet til hjemmesiden, hvilke sider de har ringet op og hvordan de igen har forladt hjemmesiden. Skærmbilledet ser også her meget mager ud, fordi testdataerne var minimal. Normalt ville der på den venstre og den højre side også være interne sider og en grafik.
Matomo-konfiguration
Konfigurationen af analysetoollet er takket være den grafiske web-oversigt meget enkelt. Nogle indstillinger skal tilpas, så man kan være dataskyddskonform. Det gør ikke noget at se på alle indstillinger. Dertil kræves kun få minutter tid.
Lokale Installation
Matomo skal bruges i lokal drift. Det betyder, at installationsfilerne fra Matomo hentes ned og derefter spilles på en egen server op. Installationen er især let for WordPress, da der til rådighed står et plugin til dette formål. Denne driftsform kaldes også On-Premise og er kostenfri.
Hvis man vil bruge Cloud-løsningen, skal man være opmærksom på flere ting. I særdeleshed skal en DPA (aftale om datatilsyn) indgås med Matomo-leverandøren. Cloud-løsningen koster lige nu 29 euro pr. måned. Det er bedre at investere i en enkelt lokal installation, der desuden er rettighedsmæssigt lettere at styre.
Omlægning af IP-adresser til anonyme
Pga. dataskyddet bør IP-adresser ikke fuldstændigt protokoleres, fordi de repræsenterer persondata. Gradvist pseudonymisering eller anonymisering er valgfri. En forkortning af IPv4 -netadresen om to byte viser et højt niveau for dataskydd.
Brug af anonymiserede IP-adresser også til at forberede besøgene anbefales (sæt indstillingen på „Yes“, i skærmbilledet ses modsat valg)!
Hvis to eller flere bytes af brugerens IP-adresse bliver maskeret, så bliver Geolokationen ret usærlig. Alligevel bør bestemmelsen af brugerens placering stadig være præcis nok til de fleste anvendelsesfald. For mange er det bare uvidensværdigt, om besøgende bor i Hessen eller Nordrhein-Westfalen.
Aktivering af valgmuligheden "Benutzer ID med Pseudonym udskifte" resulterer i, at interne identifikatorer for besøgende erstatteres ved en hash-værdi. Eftersom hash-værder kan være flertydige, øges dermed niveauet af privatlivssikkerhed. I sin kerne går det ud på, ved hjælp af yderligere protokoleringer at undgå personbevisbarhed ved hjælp af besøgende ID. Google Analytics mislykker her, fordi den Client Id som modstykke til Matomo Benutzer ID altid fuldstændigt protokolerer og dermed er mulig med personbevisbarhed.
Kiks-vinder forretning
Rechtligt set er det sikkest at bruge Matomo uden cookies. Den negative side er, at gentagne besøgende ikke kan identificeres med sikkerhed. Dobbeltregistreringer kan være den værste konsekvens. Ifølge min erfaring er denne følgevirkning irrelevant for de fleste små og mellemstore virksomheder. Efter alt kommer det til at svare på følgende spørgsmål:
- Hvor mange besøgende havde hjemmesiden?
- Hvilke bidrag er mest populære og hvilke har stadig potentiale?
- Hvad er trenden?
Præcis disse spørgsmål kan også med den nævnte uskarphed være tilstrækkeligt godt besvarede.
Kiks kan deaktiveres i administrationsområdet af Matomo.
E-Commerce Einstellung_ bruges til at følge varukurver eller produktvisninger og er i første omgang relevant for online-butikker. Følgelsen af søgeresultater retter interne søgeresultater på hjemmesiden, altså ikke globale søgemaskiner. Til sidst står andre midler til rådighed på niveauet af kendte søgemaskiner.
Sitzungs-Cookies
Følgende gældte indtil den 01.02.2021: Muligvis synes det værd at bruge Matomo med session-Cookies. Sådanne cookies eksisterer kun så længe, til en bruger igen lukker browseren. Ifølge § 15 Abs. 3 TMG kunne dette muligvis forstås som "behovsrige tilrettelægning af telemedier", hvilket ville være i modstrid med en samtykkekrav. Men der skulle så også være en fravalgmulighed tilbydes. Denne kunne teknisk set kun realiseres, hvis Matomo ikke blev lastet op.
Højesteret fastslog i Planet49-dommen dog, at bestemmelsen i Telemediengesetzen er i overensstemmelse med ePrivacy-Richtlinien. Dermed ville der være kræft til en samtykke for teknisk ikke nødvendige cookies.
Fra 01.12.2021 gælder TTDSG. Fra maj 2024 bliver TTDSG nu kaldt TDDG (andet end det er blevet ændret). Den relevante afsnit er § 25 TTDSG. Ifølge dette skal cookies til analyseformål ikke være uden tilladelse. Selv Art. 29 Datenschutzgruppe bemærkede dette i deres Opinion 04/2012 til ePrivacy-Richtlinien, som også trådte i kraft i Tyskland.
Jeg anbefaler derfor brugen af Matomo uden cookies. Datakvaliteten er god nok og mulige spørgsmålstegn er forsvundet.
Hvad er med enhedsfingeravtryk?
Fingerprinting betyder, at digitale Fingerabdrugt af brugerens enhed trækkes, så man kan genkende brugeren også uden cookies.
En fingerabdrug består af skærmbilledets opløsning, den indstillede sprog, det operativsystem, browseren og dens specifikke version samt nogle andre vigtige data. Disse data er ikke gemt på slutbrugerens enhed, men bliver i stedet opfundet ved at spørge efter attributter, der for det meste er forbundet med hardwaren. Skærmbilledets opløsning er dog gemt i en konfiguration, som ikke er tilgængelig for browseren. Browseren kan blot opspore denne oplysning ved at spørge efter de aktuelle omstændigheder og søger derfor ikke på persistent lagring. I et tidligere indlæg har jeg undersøgt hvilke oplysninger, som er gemt på slutbrugerens enhed.
Bestemte systemdata, fra hvilke en brugers digitale fingerabtryk følger, er ikke allerede lagret på brugerens enhed, men følger af den aktuelle systemkonfiguration.
Min konklusion vedrørende fingerabdrætsdata.
Hvordan bliver billedskærmsopløsningen bestemt?
I billedvinduet i Matomo bliver skærmenes opløsning gemt i parameteren res.
Med dette eksempel på skærmopløsning (bredde og højde i pixler samt farvefylde) skal det vist være, at disse fingerabdrugsoplysninger ikke allerede er gemt på brugerens enhed, sådan som nævnt i § 25 TTDSG eller Art. 5 Abs. 3 ePrivacy-Richtlinie.
Billedskærminformationerne kan på besøgt hjemmeside opdages direkte i browseren ved hjælp af JavaScript. Derfor findes der det screen-objekt (eller præcisere: window.screen). Det tilbyder alle nævnte billedskærmindeegenskaber via window-objektet. Spørgsmalet om billedskærmen selv foregår ved hjælp af systemnære funktioner på niveau af operativsystem. Operativsystemet spørger herom den aktuelle tilstand af aktiv monitor, hvor browseren vises (som det ser ud med flere skærme, har jeg ikke undersøgt, sandsynligvis er der primære skærm relevant). Monitoren modtager fra operativsystemet, når den startes op, en befolkning om at bruge en bestemt opløsning, som er fastlagt ved konfiguration eller systemstandard. Den faktisk afbildede opløsning kan også afvige fra det, der er fastlagt i operativsystemet, hvis f.eks. ønskede opløsning ikke understøttes af monitoren. I operativsystemet er således en ønsket opløsning konfigureret, mens monitoren viser den siden anslåede opløsning (eller næste bedste). Så vidt jeg ved, gemmer monitoren denne opløsning kun i flugtig hukommelse og ikke i fastlagt hukommelse.
Hvordan bliver IP-adressen bestemt?
Et eksempel skal illustrere, at bestemte data ikke efter nævnte lovgivning allerede på brugerens enhed er gemt, men snarere flygtige data, der yderligere udenfor brugerens enhed holdes eller dynamisk (f.eks. efter konfiguration) beregnes.
IP-adressen er netværksadresser. Hvert deltagende enhed i et netværk som internettet skal have en adresse, så andre kan nå den. En enhed får sin adresse fra en ansvarlig netværksserver tildelses. Adresserne kan via DHCP (Dynamic Host Configuration Protocol) gives dynamisk ud, modsat faste adresses, der altid har været.
Netværksadressen bliver tildeledt under kørselstiden. Den kan teoretisk ændre sig hverken tid, især hvis man er kunde hos en af de kendte telekommunikationsleverandører, der tilbyder billige adgangsformer. Adressen kan ikke påvirkes af browseren, men han kan kun opspore den adresse, som er tildelt enheden i øjeblikket. Det kan være tilfældet, at enheden gemmer en kopi af IP-adressen. Den faktiske IP-adresse følger dog ikke ud fra informationen, der eventuelt er gemt på enheden, men via leverandøren. Eventuel opbevaring på enheden skal forstås som en arbejdsbesparelse og til optimering af adgangen. Er der en Fritz!Box til stede, tager den sig af kommunikationen med leverandøren. Fritz!Box'et ligger udenfor enhederne, så vidt jeg ved og kan påstå det for min hardware. Dette er allerede selvforklarlig, da flere enheder kan dele en fælles netværksadgangspunkt som Fritz!Box'en.
Hvordan bliver skærmen bestemt?
Eksemplet viser, at oplysningerne om skærmen og indkøringerne ikke er gemt i enheden eller skal være det. Om en skærm er en Touch Screen, dvs. kan styres ved at trykke på den med fingre eller en særlig stift, følger ud af skærmmodellen. Den egenskab af skærmen kan tydeligt ikke fastsættes ved at ændre konfigurationen tilsvarende.
Charakteristiken af en computer-mus som indgangsudstyr følger med musens egne evner og ikke med en bestemt konfiguration. Det kan være tilfældigt, at hvis der er flere indstillingsmuligheder, så bliver en fastsat og administreres ved hjælp af opbevaring i enden af enheden. Denne administration tjener blot til bekvemmelighed. Brugeren skal blot få samme konfiguration, når computeren genstartes.
Oplysninger, der kun midlertidigt er lagret i slutbrugeren's enhed, regnes ikke som oplysninger, der allerede er lagret i slutbrugeren's enhed.
Min konklusion.
Det er også vigtigt at huske, at browseren ikke selv kan styre de nævnte data til skærm, mus eller IP-adresse. Det ser anderledes ud med cookies, der kun bliver håndteret af browseren og uden denne håndtering ville de ikke eksistere. Lagringen af cookies i sig selv er nødvendig, hvis man vil bruge dem. Lagringen af skærmens opløsning er dog ikke nødvendig og finder kun sted for at give brugeren komfort ved genstart af enheden. Der udgår også ikke nødvendigt en ønsket skærmopløsning til en faktisk opløsning. Browseren søger heller ikke efter en gemt konfiguration for at finde den aktuelle skærmopløsning (hvis JavaScript-logik det kræver), men spørger efter den aktuelle tilstand af skærmen.
Kiks er ikke-flygtige (faste) lagringssteder, imens fingerabtryk-data er flygtige data (vanedata).
Cookies sammenlignet med fingerabtryk-data.
Hvad sker der med installeret plugins?
Pga. en tip fra Markus Baersch har jeg undersøgt Matomos kildefiler i version 4.8.0. Der bliver de af browseren understøttede Mime-typer hentet. Dertil læses variablen navigator.mimeTypes , der returnerer en liste med Mime-typer. Over det attribut enabledPlugin kan så undersøges, om et Plugin for den pågældende Mime-type findes. Denne Plugin-forspørgsel er ikke samtykkefrit! Tjek venligst efter installation af Matomo, om tracking-kravet på din hjemmeside indeholder parametre som pdf, qt, realp, java eller gears.
Der Tracking Request kalder filen matomo.php op. Du kan finde denne request ved at trykke på tasten F12 i Firefox browser, så vælge derefter menuen "Netværksanalyse", så åbne siden og så søg efter Matomo-request.
Jeg betegner fingerabdragsdataene som vanedata. De er selvom flygtige, og kan potentielt ændre sig hverken tid, men gør det ikke normalt. Så de er selvom ikke teknologier og også ikke teknologier tilsvarende cookies, men egnet til at følge brugere efter. Det afgørende er behandlingstiden eller lagringstiden for fingerabdragsdataene.
Arbejdsgruppen Artikel 29 ser på den virtuelle fingerabdrug som adgang til enheden (Stilling 09/2014). Men jeg mener, at arbejdsgruppen, der er forgænger for Den Europæiske Datatilsynsautoritet og nævnt i Art. 9 4 DSGVO, ser på en omfattende fingerabdrug. Det inkluderer også installeret skrift, altså data, der ikke direkte kan hentes via udlesning af JavaScript-variabler. Desuden er det for arbejdsgruppen særligt kritisk at have eksplizit adgang til IP-adressen, som i den præsenterede variant ikke findes. Derudover er nogle data, der bruges (kan bruges) til en fingerabdrug, direkte tilgængelige uden at de skal udleses eksplizit. Dertil hører fx User Agent, som overføres uden Matomos inddragelse.
Således falder Device Fingerprinting ifølge min vurdering ikke under ePrivacy-Directive eller § 15 Abs. 3 TMG i en retssæksomhedskonform tolkning (se BGH-Urteil til Planet49) og også ikke under § 25 TTDSG (siden december 2021). Om Fingerprinting falder under § 15 Abs. 3 TMG i sin oprindelige form, afhænger det af arten og brugstidens længde af de Fingerprint-data.
Matomo kan bruges uden samtykke og uden mulighed for at modsige.
Efter at have undersøgt konfigurationsmulighederne i Matomo.
Matomo bruger en digital fingerabtryk, for at kunne genkende brugere også uden cookies. Min test viste, at en bruger, der blev anset som gentagen på grund af underdagsaktiviteter fredag, blev set som en ny bruger mandag. Det er godt fra et dataskyddsperspektiv, fordi en kort genkendelsesperiode kan vurderes til at være et berettiget interesse. I hvert fald ser jeg det så og antager her, at hverken samtykke eller modstand mulighed er blevet tilbudt. Dette gælder i den beskrevne situation med lokal brugeranalyse uden cookies.
Fingerprinting med Matomo kan således uden modstand muligvis anvendes i overensstemmelse med § 15 Abs. 3 TMG (i sin oprindelige betydning, ikke i den betydning der følger af BGH-Begrebet efter ePrivacy-Richtlinien). Den retlige grundlag herfor ville være – ved ikke eksplizit tilgang til enhedsenhed – det berettigede interesse efter Art. 6 stk. 1 f GDPR.
Den der søger sikkerhed, skal sørge for at Browser Feature Detection er deaktiveret. Dette kan gøres ved hjælp af en JavaScript-kommando. I Matomo-konfigurationen bør dette også kunne sættes direkte (uden programmering). Parameteren hedder på engelsk „Disable Browser Feature Detection“ og bør også være tilgængelig på dansk. Hvis konfigurationen er korrekt, kan det fastslås i browseren: Tryk F12 i Firefox-browseren for at åbne udviklerkonsole. Besøg en hjemmeside med integreret Matomo. I fanen „Netzwerkanalyse“ i udviklerkonsole søger du efter datatransfers, der er forbundet med Matomo. Til disse adresser prøver du at se de parametre, der overdrages. I parametrene bør ikke oplysninger om installerede browser-pluginer være til stede og heller ikke størrelsen på browser-fenestret (Bildskærmsopløsningen er nok i orden, se ovenover).
Slette gamle data
Historiske data skal ikke opbevares for længe. En tilsvarende indstilling til automatisk sletning af gamle bestandsdata tilbyder Matomo direkte.
Antallet af dage, efter hvilke data udløber, skal vælges sådan, at det er større end den maksimale rapportperiode. Hvis rapportdata anonymiseres, er en længere livstid også usvigelig.
Er findes gamle data fra tidligere sessioner, hvor Matomos indstillinger ikke har sikret anonymisering, kan disse senere anonymiseres.
Konklusion
Matomo er tilgængelig uden omkostninger og tilbyder mange analyseredskaber, der er tilstrækkelige for de fleste hjemmesider. En lokal installation er let mulig. Retlige betingelser som ved Google Analytics skal ikke overholdes. Et DPA (Auskunftspflicht- und Vertrauensschutzgesetz) er ikke nødvendigt ved lokal installation. I stedet skal der tages højde for den rigtige konfiguration, så man ikke har nogen problemer med privatlivets fred.
Matomo egner sig for nesten alle hjemmesider som Google Analytics erstatning. Det gælder især dem, der blot bruger Google Analytics, fordi alle det gør eller fordi en agentur har foreskrevet det.
Den, der vil bruge Google Analytics eller et andet tredje-partstool, skal have en præcis forståelse af de juridiske og tekniske sammenhæng. Det kan dog regelmæssigt tvivles på, hvilket fører til Datenschutzproblemer.
Også interessant
- Google Analytics behandler alle analyseresultater altid i USA
- Google Analytics som indgang for hacker
- Brug Google Analytics uden cookies (men alligevel med samtykke)
- Google Tag Manager: retlige vilkår
- Untagmanager som Tag Manager erstatning
- Juridiske betingelser for Googles tjenester
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
