Datenschutzkonformer Einsatz von Piwik/Matomo
Über Matomo
- Matomo ist ein Webanalysetool, dessen Funktion Webtracking ist.
- Einfachere Nutzung nach DSGVO, da eine Weitergabe der Daten an Dritte wegfallen kann.
- Nur wenn die strikten Richtlinien der DSGVO und des BDSG eingehalten werden, darf man Tracking-Software nutzen.
Piwik – eine Google Analytics Alternative
Bei Matotmo handelt es sich um eine weiterverarbeitete Open-Source-Webanalytik-Plattform. Piwik/Matomo ist eine der Alternativen als Webseiten-Analysetool gegenüber Google Analytics und der Zweck dieser Tools ist es, Webseitennutzer-Bewegungen zu analysieren und nachzuvollziehen. Sinn dieser Daten-Analyse ist es, die Webseite zu optimieren. Es werden umfassende Statistiken zum User-Verkehr in Echtzeit angelegt, die dabei nicht nur ermitteln welche Webseiten die Nutzer besuchen, sondern auch welche Pfade sie nehmen, und von welchen Seiten sie kommen.
Es gibt einige Unterschiede zu Google Analytics, unter anderem, dass es sich bei Piwik/Matomo um eine Software auf Open-Source-Basis handelt, es kostenlos ist und auf eigenen Servern gehostet werden kann. Letzteres gibt Piwik/Matomo einen Vorteil aus Datenschutz-Sicht, und zwar kann bei Piwik/Matomo durch das hosten auf dem eigenen Server eine Übertragung der erhobenen Daten an Dritte unterbinden, was ja bei Google Analytics und der Übertragung an Google der Fall ist.
Dadurch muss schon einmal von Seiten des Datenschutzes ein Aspekt weniger betrachtet werden, was eine datenschutzkonforme Nutzung einfacher gestaltet. Ein weiterer Vorteil gegenüber Google Analytics ist, dass bei einer Nutzung von Google Analytics eine monatliche Beschränkung der Aktionen auf 10 Mio. beschränkt ist, man diese Beschränkung bei Matomo nicht hat. Zudem begrenzt Matomo die Anzahl der Webseiten pro Account nicht, d.h. es existieren keine Speicherlimits.
DSGVO und Tracking
Was muss für die datenschutzkonforme Nutzung von Matomo getan werden?
Datenschutzkonformität beim Einsatz von Analysetools ist sehr wichtig, da bei einem nicht datenschutzkonformen Einsatz schon abgemahnt wird. Hier nun einige Hinweise was Sie beim Einsatz von Piwik beachten sollten.
Fremd- oder Eigen-Server
Durch die Option, eigene Server zu nutzen, hat man die Gewissheit, dass niemand auf die Daten zugreifen kann außer dem Webseiten-Betreiber selbst. Das erleichtert eine datenschutzkonforme Nutzung des Tools, da kein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden muss. Natürlich kann Piwik auch auf anderen fremden Systemen installiert sein. In diesen Fällen muss man einen entsprechenden Vertrag zur Auftragsdatenverarbeitung mit dem Hoster nach BDSG §11 abschließen. Sind Sie sich diesbezüglich nicht sicher, kontaktieren Sie uns und wir überprüfen die Situation für Sie.
Widerruf
Für eine datenschutzkonforme Nutzung sollte man die erfassten Daten pseudonymisieren bzw. anonymisieren. Zudem ist es wichtig, dass man bei der Nutzung von Tracking-Software eine Opt-out-Lösung als Widerrufsmöglichkeit anbietet. Damit kann der Benutzer der Webseite das Tracking durch Piwik unterbinden. Das kann man durch eine Einbindung des passenden Codes in die Seite erreicht werden. Wird der Haken an dieser Stelle entsprechend entfernt, so ändert sich auch der angezeigte Text und es findet kein weiteres Tracking auf der Webseite statt.
IP-Adressen-Anoymisierung
Weiter ist wichtig, dass die IP-Adressen der User anonymisiert werden müssen, da es sich dabei, nach jetzigem Stand der Gesetze, um personenbezogene Daten handeln.
Datenschutzerklärung
Sie müssen zudem eine entsprechende Formulierung in ihre Datenschutzerklärung aufnehmen und User auf den Einsatz von Matomo hinweisen. Dazu gehört auch, dass angegeben wird, ob die Daten, durch eine Speicherung auf einem Fremd-Server, an Dritte weitergegeben werden. Ein Nichthinweis auf die Benutzung von Webanalysetools kann zu Abmahnungen führen.
Löschung alter Daten
Wichtig dabei ist, zu wissen, dass nachdem alle Anpassungen, die durchgeführt wurden, um das Tool datenschutzkonform zu gestalten, nur für neu erstellte Analyseprofile greifen. Profile, die zuvor erstellt wurden, gelten als nicht konform und sind laut Ansicht der Aufsichtsbehörden nicht rechtmäßig angelegt und verarbeitet worden und sind daher zu löschen.