Wie konfiguriere ich Matomo, vormals Piwik, datenschutzkonform?
Warning
Diese Anleitung ist veraltet und berücksichtigt noch nicht das BGH-Urteil zu Planet49. Dieses dürfte neben der unten beschriebenen Konfiguration von Matomo auch einen sog. Consent- oder Cookie-Banner erforderlich machen.
Matomo erlaubt jedoch darüberhinaus auch ein einwilligungsfreies Tracking mit Logdatei-Analyse.
Matomo lässt sich über die Weboberfläche in wenigen Schritten datenschutzkonform konfigurieren. Häufig werden die Hinweise und Empfehlungen zur Analyse von Internet-Angeboten mit „Piwik“ (PDF, 303 KB) des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein dabei zu Rate gezogen. Die Empfehlungen sind jedoch etwas in die Jahre gekommen und nicht mehr ganz aktuell. So wurde beispielsweise die DoNotTrack-Funktion erstmals 2011 von einem Browser unterstützt. Auch finden sich in dem Dokument des Landeszentrums noch keine Hinweise auf die Konfiguration gemäß der EU-Cookie-Richtlinie. Daher haben wir für Sie hier eine aktuelle Anleitung zusammengestellt:
Automatische Anonymisierung der Besucher-IP
Standardmäßig speichert Matomo die IP-Adresse des Besuchers in der Datenbank. Wenn ein Benutzer eine statische IP-Adresse hat, bedeutet dies, dass sein Browserverlauf auf der Website und anderen Websites innerhalb des gleichen Matomo-Servers über mehrere Tage zurückverfolgt werden könnte.
Um sicherzustellen, dass die Besucher-IP und damit persönlich identifizierbare Informationen nicht gespeichert werden, müssen Sie die IP anonymisieren. Gehen Sie dazu auf Administration > Privatsphäre. Um eine ausreichende Anonymisierung der IP zu erreichen, sollten mindestens zwei Bytes aus der IP-Adresse maskiert werden.
Löschen alter Besucher-Logs
Matomo kann so konfiguriert werden, dass automatisch ältere Log-Dateien aus der Datenbank gelöscht werden. Aus Datenschutzgründen wird dringend empfohlen, die detaillierten Matomo-Log-Dateien nur für 3–6 Monate vorzuhalten und anschließend zu löschen.
Das Löschen der älteren Log-Dateien hat auch den Vorteil, dass der erforderliche Speicherplatz für die Datenbank geringer wird und die Performance der Datenbankabfragen steigt.
Die Besucheranalyse selbst wird durch das Löschen nicht beeinträchtigt. Auch nachdem Sie die älteren Matomo-Log-Dateien gelöscht haben, können Sie noch auf alle früheren Berichte in Matomo zugreifen.
Implementieren des Web Analytics Opt-Out Feature mit einem iFrame
Ihr solltet an einer geeigneten Stelle eurer Website, zum Beispiel auf der Seite mit den Datenschutzrichtlinien eine Opt-out-Möglichkeit für die Besucher*innen eurer Site hinzufügen. Dies erfolgt durch einen speziellen Link in einem iFrame. Wenn eine Besucher*in den Opt-out-Link im iFrame anklickt, wird das matomo_ignore-Cookie gesetzt, das eine Analyse durch Matomo verhindert.
Ihr findet den Code für den iFrame in Administration > Privatsphäre. Kopiert den Code einfach an eine geeignete Stelle im HTML-Code eurer Website.
Respektieren der DoNotTrack-Präferenz
Moderne Browser besitzen eine universelle DoNotTrack-Funktion, mit der die Besucher*innen eurer Website signalisieren können, dass sie nicht analysiert werden wollen. Matomo respektiert standardmäßig diese Benutzervorgabe und zeichnet keine Aktivitäten auf, wenn die Besucher*innen eurer Website die «DoNotTrack»-Funktion im Webbrowser aktiviert hat. Weitere Informationen zu dieser Funktion erhaltet ihr auf der Website donottrack.us.
Weitere Datenschutzeinstellungen
In der Matomo Administration kann die Echtzeit-Funktionen abgeschalten werden, indem ihr das Live-Plugin in Administration > Plugins deaktiviert.
Wenn ihr mehrere Websites mit dem gleichen Matomo-Server analysiert, ist im Javascript-Code immer dieselbe Matomo-Server-URL enthalten. Um zu verhindern, dass andere herausfinden können, welche Websites durch eure Matomo-Instanz analysiert wird, könnt ihr die Matomo-Server-URL im JavaScript ausblenden. Weitere Informationen hierzu erhaltet ihr in Matomo Tracker Proxy.
Note
Wenn ihr diese Technik einsetzt, funktioniert ignore cookie wie in How do I exclude / ignore my traffic from Matomo? beschrieben nicht mehr.
In einigen Ländern ist es gesetzlich vorgeschrieben, dass ihr den Besucher+innen eurer Website die Möglichkeit geben müsst, die Verwendung von Cookies zu untersagen. Innerhalb der EU regelt dies die EU-Cookie-Richtline. Damit alle Matomo-Cookies deaktiviert werden können, fügt die folgende JavaScript-Funktion in den Piwik-Code ein:
… // Add this line before the trackPageView() call _paq.push(['disableCookies']); _paq.push(['trackPageView']); …