Matomo datenschutzkonform einsetzen
Beim Einsatz des Webanalysetools Matomo (ehemals Piwik), müssen einige Anforderungen gemäß der neuen DSGVO (Datenschutz-Grundverordnung seit 25.Mai 2018) beachtet werden, um Matomo rechtskonform nutzen zu können. In unserem Magazin-Beitrag klären wir über die einzelnen Voraussetzungen auf.
Matomo erhebt und speichert standardgemäß die IP-Adresse Ihrer Seitenbenutzer*innen. Nach derzeitiger Rechtsauffassung stellt die IP-Adresse aber ein personenbezogenes Datum dar. Daher ist die Anonymisierung der IP-Adresse laut DSGVO verpflichtend.
Matomo bietet die IP-Anonymisierung von Haus aus an. Unter Einstellungen -> Privatsphäre -> Daten anonymisieren ist es möglich die Tracking Daten zu anonymisieren. Hierbei ist es möglich, die IP-Adressen der Besucher*innen zu maskieren. Durch das Maskieren werden Byte-Ketten genullt. Aus 192.168.100.321 wird 192.168.100.xxx (1 Byte maskiert). Werden 2 Bytes maskiert (wie es Matomo empfiehlt) wird aus der gleichen IP-Adresse 192.168.xxx.xxx. Dadurch wird allerdings die Standorderkennung der Nutzer*innen ungenau.
Durch die Datenschutzgrundverordnung greift neben der Datenschutzklausel ebenfalls eine Widerspruchsmöglichkeit für Nutzer*innen. Diese Widerspruchsmöglichkeit können Internetseitenbetreiber*innen durch Verwendung eines sogenannten Opt-Out-iFrames umsetzen. Durch diese Funktion können Seitenbesucher*innen durch Setzung eines Häkchens der Erstellung und Speicherung eines anonymisierten Nutzerprofils widersprechen. Hier wird ein sogenanntes Opt-Out-Cookie auf dem Computer der Seitenbetreiber*in angelegt. Der HTML-Code für dieses Opt-Out-iFrame lautet wie folgt:
<iframe frameborder="no" width="500px" height="250px" src="https://www.IHRE-DOMAIN.de/sites/index.php?module=CoreAdminHome&action=optOut&language=de"></iframe>
Dieser Opt-Out-IFrame sollte direkt unterhalb der Datenschutzklausel eingebunden werden.
Nach Ansicht der Aufsichtsbehörden sind ältere Analyseprofile unrechtmäßig erstellt worden und somit zu löschen. Auch diese Aktion geht mit Matomo sehr einfach. Unter Einstellungen -> Privatsphäre -> Daten anonymisieren ist es möglich alte Tracking Daten zu anonymisieren. Hier ist es auch möglich, alte Besucher-Logs löschen.
Bis zum 25. Mai 2018 galt noch §15 Abs. 3 TMG. Dieser ermöglichte es, pseudonymisierte Nutzungsprofile zu erstellen, sofern Internetseitenbesucher*innen darüber in Kenntnis gesetzt wurden und sie die Möglichkeit zum Widerspruch erhielten. Hiernach waren also die Aufklärung der Betroffenen und die Opt-Out-Möglichkeit ausreichend.
Doch die Datenschutzkonferenz sieht das etwas anders und hat in dem Positionspapier die Auffassung vertreten, dass die Norm des §15 Abs. 3 TMG mit Inkrafttreten der DSGVO keine Anwendung mehr findet. Das begründet die DSK wie folgt:
„6. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Dienstanbieter von Telemedien kommt folglich nur Artikel 6 Absatz 1, insbesondere Buchstaben a), b) und f) DSGVO in Betracht. Darüber hinaus sind die allgemeinen Grundsätze aus Artikel 5 Absatz 1 DSGVO, sowie die besonderen Vorgaben z. B. aus Artikel 25 Absatz 2 DSGVO einzuhalten.
7. Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.
8. Ob und inwieweit weitere Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden.“
Doch bereits diese Rechtsauffassung der DSK ist strittig. Es existieren zahlreiche juristische Stimmen, die nach wie vor überzeugt sind, dass der §15 Abs. 3 TMG weiterhin Anwendung findet. Für großes Unverständnis sorgte aber besonders Ziffer 9 des DSK-Positionspapiers:
„9. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking- Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden."
„Diese Auffassung steht im Einklang mit dem europäischen Rechtsverständnis zu Artikel 5 Absatz 3 der ePrivacy-Richtlinie. Im überwiegenden Teil der EU-Mitgliedsstaaten wurde die ePrivacy-Richtlinie vollständig in nationales Recht umgesetzt oder die Aufsichtsbehörden fordern schon heute ein „Opt-in“ entsprechend Artikel 5 Absatz 3 der Richtlinie.
Da die Verweise in der ePrivacy-Richtlinie auf die Datenschutzrichtlinie gemäß Artikel 94 Absatz 2 DSGVO als Verweise auf die DSGVO gelten, muss eine Einwilligung i. S. d. ePrivacy- Richtlinie europaweit ab dem 25.05.2018 den Anforderungen an eine Einwilligung nach der DSGVO genügen. Um in Zukunft einen einheitlichen Vollzug europäischen Datenschutzrechts zu gewährleisten, muss sichergestellt werden, dass auch Verantwortliche in Deutschland diese datenschutzrechtlichen Anforderungen umsetzen.
Dieses Papier wird unter Berücksichtigung der Entwicklungen auf europäischer Ebene fortgeschrieben.“
Laut dieser Einschätzung ist ein Tracking nur noch mit einem Opt-In erlaubt. Nutzer*innen müssen zunächst akzeptieren, dass sie getrackt werden, bevor dies überhaupt geschehen darf. Der Versuch zeigte, dass weniger als 20 Prozent der Internetseitenbesucher*innen dem freiwillig zugestimmt haben. Dadurch sind die erhobenen Daten schlicht und ergreifend nichts mehr wert.
Unsere Empfehlung lautet: Lesen Sie sich in die DSGVO ein, lesen die das DSK-Positionspapier und kritische Stimmen dazu. Solange es noch kein Gerichtsurteil gegeben hat, herrscht Unklarheit über die legale Verwendung von Matomo, Analytics etc. Leider können wir an dieser Stelle keine rechtsverbindlichen Aussagen treffen. Für eine Rechtsberatung hilft Ihnen eine Rechtsanwältin weiter.