Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Matomo für Besucher-Statistiken auf Webseiten datenschutzkonform und ohne Einwilligung nutzen

18

Matomo ist eine kostenfrei verfügbare Analyse-Software für Webseiten. Mit Matomo können viele Statistiken, die auch Google Analytics bietet, erstellt werden. Mit der richtigen Konfiguration kann Matomo ohne Einwilligung und ohne Probleme mit dem Datenschutz genutzt werden.

Einleitung

Matomo ist eine beliebte Lösung, um das Verhalten von Nutzern auf Webseiten nachvollziehen zu können. Im Gegensatz zu Google Analytics kann Matomo ohne Datenschutzprobleme und ohne Einwilligung betrieben werden.

Dennoch können mit Matomo oft mehr als ausreichende Statistiken über das Verhalten von Webseitenbesuchern erstellt werden. Insbesondere kann mit Matomo festgestellt werden,

  • wie viele Nutzer die Webseite an einem bestimmten Tag aufgerufen haben,
  • welche Seite (Unterseite) der Webseite wie oft aufgerufen wurde,
  • von welchen Endgeräten aus die Aufrufe erfolgten und
  • von wo ungefähr (geografische Lage) die Aufrufe erfolgten.

Mehr müssen die meisten Betreiber von Webseiten nicht wissen. Alles, was darüber hinausgeht, nützt meist nur, wenn ausreichende Ressourcen und Kenntnisse zum Auswerten der Besucherströme vorhanden sind. Vor allem bei kleineren und mittelgroßen Firmen sind diese Ressourcen aber gerade nicht vorhanden.

Matomo ist technisch und rechtlich wesentlich besser beherrschbar als Google Analytics.

Meine Behauptung nach Untersuchung beider Tools.

Matomo hat wegen der rechtlichen Fragen von Google Analytics einen deutlich geringeren Einrichtungsaufwand als das Google-Tool. Weil kein Cookie-Popup den Besucher nervt, kann zudem von einer höheren Konvertierungsrate bzw. geringeren Absprungrate ausgegangen werden. Dies erhöht somit auch den Umfang der Analyse-Daten, was wiederum zu belastbareren Statistiken führt.

Damit Matomo DSGVO-konform und ohne Einwilligung betrieben werden kann, sind ein paar Aspekte zu berücksichtigen. Bevor ich näher auf die Konfiguration von Matomo eingehe, sollen Beispiele für Auswertungen gezeigt werden, die Matomo unterstützt.

Besucherstatistiken mit Matomo

Aktuelle Besucher auf einer Webseite (Echtzeit-Auswertung).

Der Screenshot zeigt die aktuell auf einer Webseite vorhandenen Besucher und deren Aktionen. Eine Aktion ist etwa der Aufruf einer Unterseite. Weiterhin werden Charakteristiken zu den Besuchern angezeigt, etwa der verwendete Browser, das Betriebssystem oder die Art des Bildschirms.

Der folgende Screenshot zeigt einen Graphen der letzten Besuche, der wegen der reinen Testschaltung sehr mager ausfällt.

Statistik zur´Übersicht der Besucher (nach kurzem Test von Matomo).

Aus allen Besuchen werden aggregierte Statistiken errechnet wie beispielsweise die durchschnittliche Aufenthaltsdauer oder die Anzahl der Aktionen pro Besuch. Eine Aktion ist etwa der Klick auf einen Link.

Die Analysefunktionen von Matomo reichen für die meisten Webseiten aus.

Meine Behauptung nach Kenntnis von Matomo und vielen Webseiten.

Der Weg von Besuchern zur Webseite, auf der Webseite und wie die Webseite verlassen wurde, wird anschaulich dargestellt.

Einsprung- und Absprungpunkte von Besuchern.

Die Übergänge zeigen, wie Besucher auf die Webseite gekommen sind, welche Seiten sie dort aufgerufen haben und wie sie die Webseite wieder verlassen haben. Der Screenshot sieht auch hier recht mager aus, weil die Testdaten minimal waren. Normalerweise würden auf der linken und der rechten Seite auch interne Seiten stehen und einen Graphen aufspannen.

Konfiguration von Matomo

Die Konfiguration des Analyse-Tools ist dank der grafischen Web-Oberfläche einfach möglich. Einige Einstellungen sollten angepasst werden, um möglichst datenschutzkonform zu sein. Es schadet nicht, sich alle Einstellungen einmal anzusehen. Dafür sind nur wenige Minuten Zeit erforderlich.

Lokale Installation

Matomo sollte im lokalen Betrieb genutzt werden. Das bedeutet, dass die Installationsdateien von Matomo heruntergeladen und dann auf einem eigenen Server aufgespielt werden. Die Installation ist insbesondere für WordPress sehr einfach, weil dafür ein Plugin zur Verfügung steht. Diese Betriebsart wird auch als On-Premise bezeichnet und ist kostenfrei.

Wer die Cloud Lösung nutzen möchte, muss weitere Dinge beachten. Insbesondere ist ein AVV mit dem Anbieter von Matomo zu schließen. Die Cloud Lösung kostet aktuell 29 Euro pro Monat. Das Geld ist besser in eine einmalige lokale Installation investiert, die zudem rechtlich leichter beherrschbar ist.

Anonymisierung von IP-Adressen

Aus Datenschutzgründen sollten IP-Adressen nicht voll protokolliert werden, weil sie personenbezogene Daten darstellen. Der Grad der Pseudonymisierung oder Anonymisierung ist flexibel wählbar. Eine Kürzung der IPv4-Netzwerkadresse um zwei Byte weist ein hohes Datenschutzniveau auf.

Anonymisierung von IP-Adressen für die Datenerfassung mit Matomo.

Werden zwei oder mehr Bytes der IP-Adresse des Nutzers maskiert, dann wird die Geolokation recht ungenau. Dennoch sollte die Bestimmung des Standorts des Nutzers auch dann immer noch genau genug für die meisten Anwendungsfälle sein. Für viele ist es einfach unerheblich, ob der Besucher in Hessen oder Nordrhein-Westfalen wohnt.

Die Aktivierung der Option „Benutzer ID mit Pseudonym austauschen“ bewirkt, dass interne Identifikatoren für Besucher durch einen Hash-Wert ersetzt werden. Weil Hash-Werte mehrdeutig sein können, erhöht sich dadurch das Datenschutz-Niveau. Im Kern geht es darum, durch zusätzliche Protokollierungen einen Personenbeziehbarkeit mithilfe der Besucher ID zu vermeiden. Google Analytics versagt hier, weil die Client Id als Pendant zur Matomo Benutzer ID immer vollwertig protokolliert wird und eine Personenbeziehbarkeit somit möglich ist.

Rechtlich am sichersten ist die Nutzung von Matomo ohne Cookies. Der Nachteil ist, dass wiederkehrende Besucher nicht zuverlässig als solche erkannt werden. Doppelzählungen sind im schlimmsten Fall die Folge. Diese Konsequenz ist meiner Erfahrung nach für die meisten KMU irrelevant. Schließlich geht es vor allem um Antworten auf folgende Fragen:

  1. Wie viele Besucher hatte die Webseite?
  2. Welche Beiträge sind am beliebtesten und welche haben noch Potential?
  3. Wie ist der Trend?

Genau diese Fragen können auch mit der genannten Unschärfe ausreichend gut beantwortet werden.

Cookies können im Admin-Bereich von Matomo ausgeschaltet werden.

Cookies für Matomo ausschalten (Bild zeigt WordPress-Plugin).

Die E-Commerce Einstellung dient zum Verfolgen von Warenkörben oder Produktansichten und ist in erster Linie für Online-Shops relevant. Die Verfolgung der Suche targetiert interne Suchen auf der Webseite, also nicht globale Suchmaschinen. Für letzteres stehen andere Mittel auf Ebene der bekannten Suchmaschinen zur Verfügung.

Sitzungs-Cookies

Folgendes galt bis vor dem 01.2.2021: Möglicherweise vertretbar erscheint die Nutzung von Matomo mit Sitzungs-Cookies. Solche Cookies existieren nur so lange, bis ein Nutzer den Browser wieder schließt. Laut § 15 Abs. 3 TMG könnte dies möglicherweise als „bedarfsgerechten Gestaltung der Telemedien“ verstanden werden, was gegen eine Einwilligung sprechen würde. Allerdings müsste dann eine Abwahlmöglichkeit bereitgestellt werden. Diese ließe sich technisch für die meisten nur dadurch realisieren, dass Matomo dann gar nicht mehr geladen wird.

Der BGH stellte im Planet49-Urteil allerdings fest, dass die Vorschrift im Telemediengesetz konform zur ePrivacy-Richtlinie auszulegen ist. Somit würde für technisch nicht notwendige Cookies eine Einwilligung erforderlich sein.

Seit dem 01.12.2021 gilt das TTDSG. Der relevante Abschnitt ist der § 25 TTDSG. Demnach sind Cookies zu Analysezwecken nicht einwilligungsfrei. Auch die Art. 29 Datenschutzgruppe merkte dies in Ihrer Opinion 04/2012 zur ePrivacy-Richtlinie, die über das TTDSG in Deutschland Einzug erhielt, explizit an.

Ich empfehle demnach die Nutzung von Matomo ohne Cookies. Die Datenqualität ist gut genug und mögliche Fragezeichen sind verschwunden.

Was ist mit Device Fingerprinting?

Fingerprinting bedeutet, dass der digitale Fingerabdruck des Geräts des Nutzers gezogen wird, um den Nutzer auch ohne Cookies wiedererkennen zu können.

Ein Fingerabdruck besteht aus der Bildschirmauflösung, der eingestellten Sprache, dem Betriebssystem, dem Browser und dessen spezifischer Version sowie einigen weiteren Eckdaten. Diese Daten sind nach aktuellem Stand nicht im Endgerät des Nutzers gespeichert, sondern werden über die Abfrage von Attributen ermittelt, die meist mit der Hardware verknüpft sind. Die Bildschirmauflösung allerdings ist in einer Konfiguration gespeichert, die wiederum nicht für den Browser zugänglich ist. Der Browser kann diese Angabe nur durch die Abfrage der aktuell vorliegenden Gegebenheiten ermitteln und greift somit nicht auf persistente Speicher zu. In einem früheren Beitrag habe ich untersucht, welche Informationen im Endgerät eines Nutzers gespeichert sind.

Bestimmte Systemdaten, aus denen sich der digitale Fingerabdruck eines Nutzers ergibt, sind nicht bereits im Endgerät des Nutzers gespeichert, sondern ergeben sich aus der aktuellen Systemkonfiguration.

Meine Feststellung zu Fingerprint-Daten.

Wie wird die Bildschirmauflösung bestimmt?

In Matomo wird die Bildschirmauflösung im Parameter res gespeichert.

Am Beispiel dieser Bildschirmauflösung (Breite und Höhe in Pixeln sowie Farbtiefe) soll demonstriert werden, dass diese Fingerabdrucksinformationen nicht bereits im Endgerät des Nutzers gespeichert sind, derart, wie in § 25 TTDSG oder Art. 5 Abs. 3 ePrivacy-Richtlinie gemeint.

Die Bildschirminformationen können auf der besuchten Webseite über JavaScript direkt im Browser ermittelt werden. Hierzu gibt es das screen-Objekt (oder genauer: window.screen). Es stellt alle genannten Bildschirmattribute über das window-Objekt zur Verfügung. Die Abfrage des Bildschirms selbst erfolgt über systemnahe Funktionen auf Ebene des Betriebssystems. Das Betriebssystem fragt dazu den aktuellen Zustand des aktiven Monitors ab, in dem der Browser dargestellt wird (wie es bei Multi-Displays aussieht, habe ich nicht ergründet, wahrscheinlich ist dort der primäre Monitor relevant). Der Monitor erhält vom Betriebssystem, wenn es gestartet wird, den Befehl, eine bestimmte Auflösung zu nutzen, die durch Konfiguration einmal festgelegt wurde oder dem Systemstandard entspricht. Die vom Monitor tatsächlich dargestellte Auflösung kann auch von dem abweichen, was im Betriebssystem festgelegt ist, wenn etwa die Wunschauflösung vom Monitor nicht unterstützt wird. Im Betriebssystem ist also eine Wunschauflösung konfiguriert, um im Monitor wird die seit dem Anschalten befohlene Auflösung (oder die nächstbeste) dargestellt. Soweit ich weiß, speichert der Monitor diese Auflösung nur im flüchtigen Speicher, nicht aber in einem Festspeicher.

Wie wird die IP-Adresse bestimmt?

Ein weiteres Beispiel soll illustrieren, dass bestimmte Daten nicht gemäß der genannten Rechtsvorschriften bereits im Endgerät des Nutzers gespeichert sind, sondern vielmehr flüchtige Daten darstellen, die zusätzlich außerhalb der Endeinrichtung des Nutzers gehalten oder dynamisch (etwa je nach Konfiguration) ermittelt werden.

Die IP-Adresse ist eine Netzwerkadresse. Jeder Teilnehmer an einem Netzwerk wie dem Internet benötigt eine Adresse, um für andere erreichbar zu sein. Ein Endgerät erhält seine Adresse von einem zuständigen Netzwerk-Server zugeteilt. Über DHCP (Dynamic Host Configuration Protocol) können Adressen dynamisch vergeben werden, im Gegensatz zu statischen Adressen, die fortwährend Bestand haben.

Die Netzwerkadresse wird zur Laufzeit vergeben. Sie kann sich theoretisch jederzeit ändern, insbesondere, wenn man Kunde bei einem der bekannteren Telekomunikations-Provider ist, die günstige Zugänge anbieten. Die Adresse ist nicht vom Browser beeinflussbar, er kann nur die aktuell dem Endgerät zugeteilte Adresse ermitteln. Es kann sein, dass im Endgerät eine Kopie der IP-Adresse abgespeichert wird. Die tatsächliche IP-Adresse ergibt sich aber nicht aus der im Endgerät eventuell zusätzlich gespeicherten Information, sondern über den Provider. Die eventuelle Speicherung im Endgerät ist nur als Arbeitserleichterung bzw. zur Optimierung der Zugriffe zu verstehen. Ist eine Fritz!Box vorhanden, kümmert sie sich um die Kommunikation mit dem Provider. Die Fritz!Box steht, soweit ich weiß und für meine Hardware behaupten kann, außerhalb meiner Endgeräte. Dies ist alleine schon daher plausibel, weil mehrere Endgeräte gemeinsam einen Netzwerkzugangspunkt wie die Fritz!Box nutzen können.

Wie wird die Art des Bildschirms bestimmt?

Dieses Beispiel demonstriert, dass die Angaben zum Bildschirm und zu Eingabegeräten nicht im Endgerät abgespeichert sind bzw. dort nicht abgespeichert sein müssen. Ob ein Bildschirm ein Touch Screen ist, also durch Antippen mit den Fingern oder einem speziellen Stift bedient werden kann, ergibt sich aus dem Bildschirmmodell. Diese Eigenschaft des Bildschirms kann offensichtlich nicht dadurch festgelegt werden, dass eine Konfiguration entsprechend verändert wird.

Auch die Charakteristiken einer Computer-Maus als Eingabegerät ergeben sich aus den Fähigkeiten der Maus selbst und nicht aus einer bestimmten Konfiguration. Es kann höchstens sein, dass bei mehreren Einstellmöglichkeiten eine festgelegt und durch Abspeicherung im Endgerät verwaltet wird. Diese Verwaltung dient dann aber nur dem Komfort. Der Anwender soll eben die gleiche Konfiguration erhalten, wenn der Rechner neu gestartet wird.

Informationen, die nur behelfsweise im Endgerät des Nutzers gespeichert werden, gelten nicht als Informationen, die bereits im Endgerät des Nutzers gespeichert sind.

Meine Schlussfolgerung.

Wichtig ist auch, dass der Browser die genannten Daten zu Bildschirm, Maus oder IP-Adresse nicht selbst verwalten kann. Anders sieht es bei Cookies aus, die alleinig vom Browser verwaltet werden und die ohne diese Verwaltung gar nicht existierten. Die Speicherung von Cookies an sich ist notwendig, wenn die Cookies genutzt werden sollen. Die Speicherung der Bildschirmauflösung hingegen ist nicht notwendig und findet ggf. nur statt, um dem Anwender einen Komfort beim Neustart des Endgeräts zu ermöglichen. Zudem ergibt sich aus einer gespeicherten Wunschbildschirmauflösung nicht zwingend die tatsächliche Auflösung. Der Browser greift auch nicht auf eine gespeicherte Konfiguration zu, um die aktuelle Bildschirmauflösung zu ermitteln (sofern eine JavaScript-Logik dies anfordert), sondern fragt nach dem aktuellen Zustand des Bildschirms.

Cookies sind nichtflüchtige (feste) Speicher, wohingegen Fingerprint-Daten flüchtige Daten (Gewohnheitsdaten) sind.

Vergleich von Cookies mit Fingerprint-Daten.

Was ist mit installierten Plugins?

Aufgrund eines Hinweises von Markus Baersch habe ich die Matomo-Quelldateien von Version 4.8.0 untersucht. Dort werden die vom Browser unterstützten Mime-Typen abgefragt. Dazu wird die Variable navigator.mimeTypes gelesen, die eine Liste mit Mime-Typen zurückliefert. Über das Attribut enabledPlugin kann dann geprüft werden, ob ein Plugin für den Mime-Typen vorhanden ist. Diese Plugin-Abfrage ist nicht einwilligungsfrei! Bitte prüfen Sie nach Installation von Matomo, ob der Tracking Request auf Ihrer Webseite solche Parameter wie pdf, qt, realp, java oder gears enthält.

Tracking-Request von Matomo, bei dem installierte Plugins mitgeschickt werden (Ursprungsbild von Markus Baersch, verfremdet von mir).

Der Tracking Request ruft die Datei matomo.php auf. Sie können diesen Request findet, indem Sie Taste F12 im Firefox Browser drücken, dann den Karteireiter Netzwerkanalyse wählen, dann die Webseite aufrufen und dann nach dem Matomo-Request suchen.

Ich bezeichne die Fingerprint-Daten als Gewohnheitsdaten. Sie sind zwar flüchtig, können sich potentiell also jederzeit ändern, tun dies aber für gewöhnlich nicht. Somit sind sie zwar keine Technologien und auch keine den Cookies vergleichbare Technologien, dafür aber geeignet, um Nutzer nachzuverfolgen. Entscheidend ist die Verarbeitungsdauer bzw. Speicherdauer der Fingerprint-Daten.

Die Artikel29 Arbeitsgruppe sieht den virtuellen Fingerabdruck als Zugriff auf das Endgerät an (Stellungnahme 09/2014). Allerdings meine ich, dass die Arbeitsgruppe, die Vorgängerin des Europäischen Datenschutzausschusses und in Art. 94 DSGVO erwähnt ist, eher einen umfangreichen Fingerabdruck meint. Zu diesem gehören auch installierte Schriften, also Daten, die nicht direkt über das Auslesen von JavaScript-Variablen erlangt werden können. Zudem ist für die Artikel 29 Gruppe insbesondere der explizite Zugriff auf die IP-Adresse kritisch, der bei Matomo in der vorgestellten Variante nicht existiert. Darüber hinaus sind einige Daten, die für einen Fingerabdruck genutzt werden (können), direkt vorliegend, ohne dass sie explizit abgerufen werden müssen. Dazu gehört etwa der User Agent, der ohne Zutun von Matomo übertragen wird.

Somit fällt das Device Fingerprinting meiner Einschätzung nach nicht unter die ePrivacy-Richtlinie bzw. § 15 Abs. 3 TMG in richtlinienkonformer Auslegung (vgl. BGH-Urteil zu Planet49) und auch nicht unter § 25 TTDSG (ab Dezember 2021). Ob Fingerprinting unter § 15 Abs. 3 TMG in seiner ursprünglichen Form fällt, hängt von der Art und Nutzungsdauer der Fingerprint-Daten ab.

Matomo ist ohne Einwilligung und ohne Widerspruchsmöglichkeit nutzbar.

Mein Fazit nach Untersuchung der Konfigurationsmöglichkeiten von Matomo.

Matomo verwendet einen digitalen Fingerabdruck, um Nutzer auch ohne Cookies erkennen zu können. Mein Test zeigte, dass ein Nutzer, der am Freitag aufgrund untertägiger Aktionen als wiederkehrend erkannt wurde, am Montag als neuer Nutzer gewertet wurde. Das ist datenschutzrechtlich gut, denn eine nur kurze Wiedererkennungszeitspanne kann als berechtigtes Interesse gewertet werden. Jedenfalls sehe ich das so und vermute hier, dass weder eine Einwilligung noch eine Widerspruchsmöglichkeit angeboten werden muss. Dies gilt in dem beschriebenen Fall der lokalen Nutzeranalyse ohne Cookies.

Das Fingerprinting mit Matomo kann also m. E. ohne Widerspruchsmöglichkeit gemäß § 15 Abs. 3 TMG (in seiner ursprünglichen Bedeutung, nicht in seiner BGH-Bedeutung konform zur ePrivacy-Richtlinie) verwendet werden. Die Rechtsgrundlage hierfür wäre dann das berechtigte Interesse gemäß Art. 6 Abs. 1 f DSGVO.

Löschen alter Daten

Zur Sicherheit sollten historische Daten nicht zu lange aufbewahrt werden. Eine entsprechende Einstellung zum automatischen Löschen alter Bestandsdaten bietet Matomo direkt an.

Löschen von Bestandsdaten nach Ablauf eines Verfallsdatums.

Die Anzahl der Tage, nach denen Daten verfallen, sollte so gewählt sein, dass diese größer ist als der maximal benötigte Berichtszeitraum. Wenn die Berichtsdaten anonymisiert sind, ist auch eine längere Lebensdauer unproblematisch.

Existieren Altdaten aus früheren Sitzungen, in denen die Matomo-Einstellungen nicht für eine Anonymisierung gesorgt haben, können diese nachträglich anonymisiert werden.

Nachträgliche Anonymisierung vorhandener Analyse-Daten mit Matomo.

Fazit

Matomo ist kostenfrei erhältlich und bietet zahlreiche Analysefunktionen, die für die meisten Webseiten ausreichend sind. Eine lokale Installation ist leicht möglich. Rechtliche Bedingungen wie bei Google Analytics müssen nicht beachtet werden. Ein AVV ist bei lokaler Installation unnötig. Vielmehr muss auf die richtige Konfiguration geachtet werden, um Datenschutzprobleme gar nicht erst entstehen zu lassen.

Matomo eignet sich für fast alle Webseiten als Google Analytics Ersatz. Dies gilt vor allem für diejenigen, die Google Analytics einfach nur deswegen nutzen, weil alle es nutzen oder weil eine Agentur dies vorgegeben hat.

Wer Google Analytics oder ein anderes Drittanbieter-Tool nutzen will, sollte die rechtlichen und technischen Zusammenhänge genau verstehen. Das darf allerdings regelmäßig bezweifelt werden, wodurch Datenschutzprobleme vorprogrammiert sind.

Auch interessant

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Linus-Maximilian

    Guten Abend, schöner Beitrag erstmal.
    Aber ich hätte mal zur Auslegung
    “Somit fällt das Device Fingerprinting nicht unter die ePrivacy-Richtlinie bzw. § 15 Abs. 3 TMG in richtlinienkonformer Auslegung (vgl. BGH-Urteil zu Planet49) und auch nicht unter § 25 TTDSG (ab Dezember 2021).“ eine Frage. Wir kommen Sie zum Schluss das hier keine Einwilligung erforderlich ist?

    Ein Fingerprint ruft ganz klar Informationen von meinem Endgerät (Browser) ab. Das TTDSG spricht genau davon und ist Technikneutral. Hier ist nicht die Sprache von Cookies. Und die Ausnahmen in §25 Absatz 2 dürften hier auch nIcht greifen.

    Und dann zu
    “Das Fingerprinting mit Matomo kann also m. E. ohne Widerspruchsmöglichkeit gemäß § 15 Abs. 3 TMG (in seiner ursprünglichen Bedeutung, nicht in seiner BGH-Bedeutung konform zur ePrivacy-Richtlinie) verwendet werden.“
    Nehmen wir an Sie nutzen eine andere Rechtsgrundlage als die Einwilligung, was ist dann diese? Und warum entfällt dann die Widerspruchsoption?

    Besten Dank für die Ausführungen.

    • Dr. DSGVO

      Vielen Dank für Ihre Rückmeldung und Ihre konstruktiven Anmerkungen!

      Das TTDSG tritt erst ab Dezember 2021 in Kraft. In Art. 5 Abs. 3 der ePrivacy-Richtlinie, gemäß derer der § 15 Abs. 3 TMG auszulegen ist (BGH-Urteil Planet49), ist vom Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, die Rede. Auch im TTDSG ist dies so ausgedrückt.

      Bei diesen Informationen handelt es sich um Cookies und ähnliche Technologien, etwa die IDFA und AAID von Apple und Google.

      Beispielsweise die IP-Adresse oder auch die aktuelle Bildschirmauflösung sind nicht derart im Endgerät gespeichert. Selbst wenn, müsste der Browser dann auf diesen Speicher Zugriff haben, was nicht der Fall ist. Vielmehr wird ein flüchtiger Zustand abgefragt.

      Zu Ihrer letzten Frage: Hier sehe ich das berechtigte Interesse als gegeben an, natürlich nur, wenn sehr datenschutzfreundliche Einstellungen verwendet werden (siehe Beitrag).
      Die nur sehr kurzfristige Erkennung eines Nutzers als Nutzer 4711 ist m.E. keine Nutzerprofilbildung, denn hierzu gehört m.E. eine Nachverfolgung des Nutzers über eine Sitzung hinaus (ggf. sogar über mehr als x Tage hinweg, hierzu gibt es unterschiedliche Meinungen).

      Gerne können wir uns hierzu auch weiter austauschen, auch telefonisch.

      Update: Aufgrund der Frage zum Fingerprinting habe ich den Beitrag direkt nach Veröffentlichung erheblich um Informationen hierzu angereichert.

      • David

        Bei der Frage, ob Device Fingerprinting unter § 25 TTDSG bzw. Art. 5 Abs. 3 ePrivacy-Richtlinie fällt, dürfte entscheidend sein, ob “Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind” eine eigenständige Fallgruppe ist oder eine Untergruppe zur Variante “Speicherung von Informationen in der Endeinrichtung”.

        Liest man Erwägungsgrund 25 zur ePrivacy-Richtlinie klingt “der Nutzer muss wissen, dass bestimmte Informationen auf dem von ihm benutzten Endgerät platziert werden” danach, als würde die Norm nur Identifier betreffen, die zuvor von außen gesetzt worden sind.

        Device Fingerprinting greift nur auf Daten bzw. technische Gegebenheiten zu, die bereits auf dem Gerät vorhanden waren. Für das Fingerprinting wird kein Identifier von außen auf dem Gerät gesetzt. Daher dürfte Fingerprinting nicht unter § 25 TTDSG fallen.

        • Dr. DSGVO

          Vielen Dank für Ihren Hinweis und die Referenz auf Erwägungsgrund 25.
          Das erscheint mir als eine weitere gute Begründung, dass Fingerprint-Daten wie die Bildschirmauflösung keine Cookie-ähnlichen Technologien darstellen.

          Ich möchte aber betonen, dass es bei Cookies u.ä. nicht um Identifier (landläufig wohl verstanden als “personenbeziehbare Daten”) geht, wie sowohl der Text der ePrivacy-RL sagt als auch der EuGH klargestellt hatte.

  2. Linus-Maximilian

    Vielen Dank für Ihre Antwort und Einschätzung. Das ist eine mutige Auffassung, den in der Oreintierungshilfe für Anbieter von Telemedien der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder findet sich folgendes:

    “Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z.B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder div. Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.

    Auch die Aufsichtsbehörden hat danach noch einmal Technikunabhängig argumentiert:
    https://datenschutz-hamburg.de/pressemitteilungen/2019/10/2019-10-01-planet49

    Und auch die E-Privacy Richtline spricht zwar von Cookies, sagt aber “z. B. Cookies.

    Ich glaube auch das es nicht nur um Informationen geht, die ich vorher abgelegt habe, sonder auch um alle Informationen die ich vom Gerät abrufen will.

    • Dr. DSGVO

      Hallo Linus-Maximilian,

      herzlichen Dank für Ihre ausführliche, engagierte Rückmeldung!

      Es geht bei der ePrivacy-Richtlinie bzw. deren Anwendung über das TMG bzw. beim neuen TTDSG um Informationen, die im Endgerät des Nutzers gespeichert sind und auf die zugegriffen wird.
      In einem Kommentar weiter oben wurde der Erwägungsgrund 25 erwähnt, der dies untermauert.

      Es geht letztendlich um den Schutz der Endeinrichtung, um den Privatsphäreschutz. Informationen, die nicht in der Endeinrichtung gespeichert waren, können diesem Schutz m.E. nicht unterliegen.

      Der Kommentar des HmbBfDI zu Planet49 spricht von Tracking. Ich denke aber, dass ein lokales, zeitlich auf eine Sitzung begrenztes Betrachten von Nutzern kein Tracking in diesem Sinne ist, sondern ein statistisches (idealerweise anonymisiertes) Auszählen. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 f DSGVO, das berechtigte Interesse.

      Die DSK kennt oft die technischen Gegebenheiten nicht, etwa zu Google Analytics. Da argumentiert die DSK mit einer Meinung, obwohl ich seit längerem hierzu harte Fakten kenne, die diese Meinung ersetzen (und den Tenor bestätigen). Die DSK hatte ich hierüber sogar informiert, aber keine Rückmeldung erhalten.

  3. Michael Neuhauser

    Lieber Herr Meffert,

    da wir vor kurzem selbst eine einfache und datenschutzkonforme Alternative zu Google Analytics entwickelt haben (Fair Analytics), standen wir vor derselben Fragestellung.

    Dazu haben wir ein Rechtsgutachten in Auftrag gegeben. Die Anwälte kamen zu folgendem Ergebnis:

    Obwohl bei uns alle Nutzerdaten vollständig und unwiderruflich anonymisiert werden und wir keine Cookies verwenden, muss der Nutzer dem Einsatz von Fair Analytics zustimmen.

    Grund sei § 25 TTDSG. Die unser Tool (und auch Matomo) auf Daten im Endgerät des Nutzers zugreift, sei dies zustimmungspflichtig. Auch setzt das Gutachten (sowie Literatur und Aufsichtsbehörden) Fingerprinting mit Cookies gleich. Womit wiederum Art. 5 Abs. 3 der ePrivacy-Richtlinie zum Tragen komme. Das Gutachten erstreckt sich über 11 Seiten, insofern kann ich hier nicht alles aufführen. Jedoch werden die oben im Beitrag genannten Überlegungen berücksichtigt.

    Ich denke, das ist eine wichtige Information, auch für alle Leser des Beitrags.

    Viele Grüße
    Michael Neuhauser

    • Dr. DSGVO

      Lieber Herr Neuhauser,

      wie bereits per E-Mail abgestimmt und nach Ansicht des mir gegebenen Teils Ihres Rechtsgutachtens bleibe ich bei meiner Einschätzung, aus folgenden Gründen.
      Das angeführte Papier der Artikel 29 Gruppe (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp224_de.pdf) geht wohl von einem erweiterten Fingerprinting aus, also dem zusätzlichen Ermitteln von installierten Schriften etc. (siehe S. 5).
      Außerdem sieht die Art.29 Gruppe insb. das Mitführen der IP-Adresse als kritisch (S. 6).

      Wenn Sie
      a) die IP-Adresse nicht mitführen oder nur gekürzt, UND
      b) eine Sitzung nur sehr kurz halten (etwa 24 Stunden), also einen individuellen Nutzer nur derart lange identifizieren können UND
      c) nur Daten nutzen, die mit simplen JavaScript-Variablen zugänglich sind (wie Farbtiefe oder Bildschirmgröße, NICHT aber die installierten Schriften, OAuth-Token o.ä.) UND
      d) keine technisch nicht notwendigen Cookies nutzen UND
      e) dies alles nur tun, um Besucher zu zählen, ggf. etwas weitergehend, aber nicht so, dass dies mit dem Nachverfolgen von Nutzern gleichzusetzen wäre,

      dann halte ich meine Aussage, dass keine Einwilligung erforderlich ist, für vertretbar.

      Zudem sind einige Daten, den Sie für den Fingerabdruck nutzen (können), direkt vorliegend, ohne dass sie explizit abgerufen werden müssen. Dazu gehört etwa der User Agent, der ohne Ihr Zutun übertragen wird. Alleine daran sieht man schon, dass derartige Informationen nicht im Endgerät gespeichert sind.

      Browser-Fingerprinting ist zudem kein Tracking, sondern kann für das Tracking womöglich genutzt werden, aber auch nur, wenn genügend Informationen im Fingerabdruck gesammelt werden. Tracking geht über eine Sitzung hinaus, sage ich. Der Begriff ist unbestimmt, wird aber oft mit “Nachverfolgung von Nutzern” gleichgesetzt. Das Nachverfolgen ist aber m. E. nur gegeben, wenn Nutzer über eine Sitzung hinaus oder über mehrere Webseiten hinweg identifiziert werden.

  4. Harald

    Danke für den ausführlichen Artikel! Ich habe auch die Kommentare gelesen. Ich betreibe eine Website, auf der ich einen kostenpflichtigen Service anbiete (Arbeitgeberservice für Pflegehaushalte). Ich habe nun die Möglichkeit, dass ein themenaffiner Kooperationspartner auf meine Seite verlinkt. Für daraus entstehende Kunden zahle ich ein Provision. Ein klassisches Affiliate-Programm also. Und sowas funktioniert eben nur, wenn nachträglich festgestellt werden kann, welcher Kunde über den Kooperationspartner gekommen ist.

    Mein dafür vorgesehenes Trackingsystem bestehend aus Google Analytics i. V. m. dem Google Tag Manager, erfordert nun in jedem Fall ein Einverständnis, so viel habe ich gelernt. Das bedeutet letztlich, dass ein Teil der vermittelten Kunden nicht reportet werden kann, nämlich die Cookie-Ablehner. So eine Ungenauigkeit ist aber im Geschäftsleben nicht tragbar.

    Ich bin Betriebswirt mit juristischen und IT-Kenntnissen, aber natürlich kein Rechts- oder IT-Experte. Wenn ich Sie richtig verstanden habe, ist das Ihrer Meinung nach mit Matomo, wenn die richtigen Einstellungen vorgenommen werden auf der Basis des Fingerprinting-Prinzips möglich. Bei Affiliate-Programmen üblich ist übrigens ein Zeitraum von 30 Tagen für die Wiedererkennung. Ich überlege jetzt, komplett von Google auf Matomo umzustellen, ggf. später auch den Untagmanager einzusetzen. Dieser Aufwand macht aber nur Sinn, wenn ein Affiliateprogramm-Reporting sauber und datenschutzkonform möglich ist. Ist es das? Danke im Voraus für Ihr Feedback!

    Harald

    • Dr. DSGVO

      Google Analytics macht hier auch nichts anderes, als den Referrer (Linkquelle) zu prüfen. Das können Sie auch selber machen.

      Die Feststellung, ob Ihre Seite über einen Partner aufgerufen wurde, kann etwa wie folgt stattfinden:
      * URL-Parameter, ggf. zeitabhängig kodiert, um nicht gefälscht werden zu können (das mit der Kodierung wäre aber schon mehr als Google Analytics leistet). Ggf. Speicherung von Verkehrsdaten nur für den Zweck der Betrugserkennung, aber nur für einen kurzen Zeitraum (max. wenige Tage, würde ich sagen)
      * Ggf. Rückfrage bei Aufruf Ihrer Seite über den Partner-Link an den Partner über eine eigene (einfache) API. Wäre aber auch viel mehr als GA macht
      * Verwenden eines technisch hoffentlich notwendigen Cookies (als letztes Mittel, wenn es nicht anders geht). Wird m.E. nicht benötigt.

  5. Alex

    Guten Tag,

    schöner und ausführlicher Beitrag, vielen Dank.

    Ich habe eine Frage, wie definiert sich denn im Detail eigentlich eine lokale installation?
    Muss die Matomo-Installation dann physisch auf dem selben Server/Webspace liegen und im besten Fall per Subdomain erreichbar sein?

    Als kleine Agentur betreue ich verschiedene Websiten. Muss dann für jede Website eine separate Installation von Matomo vorgenommen werden, da die Webseiten an verschiedenen Orten / bei verschiedenen Anbietern gehostet werden?
    Wie wäre dies im Detail mit verschedenen “Webhostingpaketen” beim selben Anbieter?
    Kann man dazu eine allgemeine Aussage treffen?

    Mein Wunsch wäre es natürlich sämtliche Kundewebsiten in einer Installation (die auf meine eigenen Server liegt) zu überblicken….

    Vielen Dank vorab.
    Mfg Alex Pütz

    • Dr. DSGVO

      Lokale Installation bedeutet, dass Matomo auf Ihrem eigenen Server läuft. Üblicherweise ist das der Server, auf dem die Webseite liegt.

      Mit einem WordPress-Plugin kann Matomo einfach installiert werden. Vermutlich gibt es das Plugin auch für andere CMS wie Typo3, Magento oder Drupal.

      Zur Multi Site Auswertug mit Matomo: Matomo bietet das an sich an. Wie meine Recherche ergab. Wie das im Detail abläuft, könnten Sie ja mal untersuchen und in einem Gastartikel beschreiben.

      • Alex

        Darauf zielte meine Frage ab…
        Nun habe ich beispielsweise beim Hostinganbieter Hetzner verschiedene Webhosting-Pakete für verschiedene Kunden gebucht. Muss nun auf jedem einzelnen Webspace eine separate Matomo Installation für die jeweilige Website vorgenommen werden?

        In diesem Fall wäre das also rein physisch vermutlich nicht genau der selbe Server, auf dem auch die Website läge.

        Anders sieht es vermutlich aus, wenn man einen ganzen Managed Server bei einem entsprechenden Anbieter bucht. Dann sollte ja eine einzelne Matomo installation ausreichen.

        Ich bin unschlüssig, wie ich die Fragestellung genauer formulieren kann.
        Über eine Rückmeldung würde ich mich freuen.

        • Dr. DSGVO

          Wenn es Ihre (selber betriebenen oder gemieteten) Server sind, ist die Sache unproblematisch. Natürlich nur, wenn der Hoster am besten aus Deutschland oder Europa kommt und ein gültiger AVV vorliegt. Das ist bei Hetzner wohl der Fall, nehme ich an.

          Ja, auf jeder Webseite muss natürlich Matomo installiert werden. Anders kann es technisch gar nicht funktionieren. Ob das Matomo Script dann auf Ihrem Server A oder Ihrem Server B liegt, ist oft egal (insbesondere dann, wenn der Betreiber der Server und der Hoster der Server identisch sind und die Server ein vergleichbares Sicherheitsniveau haben).

  6. Peter K.

    Vielen Dank Herr Dr. Meffert!

    Es ist ein Artikel auf einem auch juristisch und sprachlich hohen Niveau.
    Bei einer Risikoanalyse aus Datenschutzsicht sollten wir manchmal einfach die “Kirche im Dorf lassen”.

    Beste Grüße
    Dr. iur. Peter K. (voller Name von der Redaktion verfremdet, bis der Kommentargeber sein OK für die Veröffentlichung seines Namens gegeben hat).
    Rechtsanwalt und DSB

  7. Björn W.

    Hallo,
    vielen Dank für den informativen Beitrag!
    Eine kurze Frage: Wenn wir Matomo ohne Cookies nutzen, müssen wir Matomo dann überhaupt in der DSE erwähnen?
    Beste Grüße

    • Dr. DSGVO

      Wenn Matomo einwilligungsfrei ist (ohne Cookies, ohne weitere Endgerätzugriffe etc.), dann sollte der Hinweis dennoch erfolgen, um das berechtigte Interesse zu rechtfertigen und um Rückfragen zu vermeiden.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Tag Manager: rechtliche Bedingungen für den Betrieb auf Webseiten