Matomo (ehemals Piwik) ist eine Webanalytic-Plattform – wie Google Analytics – mit dem Webseitenbetreiber die Nutzerbewegungen auf ihrer Webseite verfolgen können. Wir vergleichen beide Tools, wobei die datenschutzrechtlichen Aspekte genauer betrachtet werden.
Der Inhalt im Überblick
Matomo vs. Google Analytics
Matomo kann mit seinen diversen Funktionen mit Google Analytics durchaus mithalten. Bei der Nutzung solcher Webanalyse-Tools darf aber auch der Datenschutz nicht vergessen werden. Wie die beiden Tools datenschutzrechtlich aufgestellt sind, wird im Folgenden dargestellt.
Speicherort
Der wohl größte Unterschied zu Google Analytics ist das Self-Hosting. Das bedeutet, dass Matomo auf dem eigenen Server gehostet werden kann. Das hat zur Folge, dass die Installation zwar aufwändiger ist, bedeutet aber gleichzeitig auch, dass man über die Hoheit der Daten verfügt. So kann bei der Speicherung sensibler Logdaten mit der Option des Self-Hostings mehr Nutzerprivatsphäre gewährleisten werden, da die Daten nicht automatisch mit Dritten geteilt werden. Bei Google Analytics werden die vom Programm erfassten Daten mit Google geteilt und auf dem Google Servern gehostet.
Das Self-Hosting bedeutet aber auch, dass man sich selbst um die Sicherheit der von den Besuchern erhobenen Daten kümmern muss. Doch dafür bietet Matomo Lösungen:
DSGVO-Features
Was Matomo besonders auszeichnet sind die anfangs 2018 eingeführten DSGVO-Features. Matomo kann grundsätzlich so konfiguriert werden, dass alle Daten automatisch anonymisiert werden. So vermeidet man die Verarbeitung personenbezogener Daten. Wollen Webseitenbetreiber darauf dennoch nicht verzichten, stellt Matomo verschiedene Funktionen zur Verfügung, um den Einsatz DSGVO-konform einzubinden. Auch das Landeszentrum für Datenschutz Schleswig-Holstein stuft Matomo als datenschutzkonform ein.
Aber auch Google Analytics lässt sich mit Hilfe der anonymizeIP-Funktion datenschutzkonform einbinden. Eine Anleitung dazu haben wir für Sie bereits in einem vorherigen Beitrag bereitgestellt.
Hohe Datenqualität
Auch in Sachen der Datenqualität kann Matomo punkten. Google Analytics gerät oft in Blocking Programme, was zu verfälschten Analysedaten führen kann. Matomo hingegen ist vor Adblockern und Spammern geschützt. So werden auch Nutzungsdaten von Anwendern mit aktivierten Adblockern erfasst. Darüber hinaus werden in einer ständig aktualisierten Blacklist Spammer aus den Ergebnissen der Analyse ausgeschlossen. So sind die erhobenen Daten umfangreicher, exakter und aussagekräftiger.
Einschränkungen
Google Analytics ist für die Auswertung der Daten bis zu zehn Millionen Aktionen pro Monat kostenlos. Bei Matomo werden alle Daten vollständig für die Auswertungen herangezogen – es gibt keine Limits. Hierbei gilt es aber zwischen den zwei Versionen von Matomo zu unterscheiden. Die Self-Hosting-Option kann kostenlos heruntergeladen werden. Wenn man die Matomo Cloud nutzen möchte, bietet Matomo drei unterschiedliche kostenpflichtige Leistungspakete an.
Nutzeranwendung
Im Gegensatz zu der anwendungsfreundlichen Nutzung von Google Analytics ist Matomo mit einem erheblicheren Aufwand zu installieren und konfigurieren, wofür technisches Know-How gefordert ist. Dafür stellt Matomo Handlungsanweisungen in Form von Benutzerhandbüchern zur Verfügung.
Wie bereits oben erwähnt bedeutet das Self-Hosting auch, dass der Webseitenbetreiber Sorge für die Sicherheit der Nutzerdaten zu tragen hat. Bei Google Analytics ist Google selbst für das System und die Daten verantwortlich.
Matomo oder Google Analytics?
Matomo und Google Analytics versuchen mit teilweise unterschiedlichen Ansätzen in Bezug auf die gesammelten Nutzerdaten Rechtssicherheit zu schaffen, DSGVO-Konformität herzustellen und Abmahnungen zu vermeiden.
Eine vergleichende Übersicht dieser beiden Tools hat Matomo auf seiner Website zusammenfassend dargestellt.
„Matomo kann grundsätzlich so konfiguriert werden, dass alle Daten automatisch anonymisiert werden.“
Anonymisiert Matomo oder pseudonymisiert es? Ich habe mit beiden Tools schon eine Weile nicht mehr gearbeitet aber ich meine, früher war es eher ein pseudonymisieren, womit weiterhin personenbezogene Daten vorliegen würden. Das muss nicht per se schlecht sein aber für eine saubere Dokumentation und die TOM´s ist es imho von Bedeutung.
Mit den GDPR-Features hat Matomo auch eine Anonymisierungsfunktion:
https://matomo.org/blog/2018/04/how-to-not-process-any-personal-data-with-matomo-and-what-it-means-for-you/
Im Vergleich steht:
Zu Matomo You can use server log analytics as an alternative method for tracking your website’s users if the Javascript tracking method isn’t feasible or if you need to comply with strict security policies.
… Zeigt mal wieder nicht die Tools sind entscheidend sondern wie sie eingesetzt werden.
Also kein wirklicher Grund zum adeln von Matomo.
Es ist auch möglich Matomo ohne Cookies zu betreiben. Nur mit JS und Pixel. Wenn dann noch alle Datenschutz-Einstellungen auf sehr strikt eingestellt sind, ist dann immer noch eine Einwilligung des Besuchers notwendig?
Der Nutzer muss dem Einsatz des Analyse-Tools Matomo widersprechen können müssen, auch wenn das Programm die IP-Adressen anonymisiert. Hierzu folgende Entscheidung des LG Frankfurt/M: https://www.telemedicus.info/urteile/Datenschutzrecht/1438-LG-Frankfurt-a.M.-Az-3-10-O-8612-Vorheriger-Hinweis-auf-Trackingtool-Piwik.html
Wenn die eingesetzte Statistik-Lösung keine Cookies setzt, die IP nicht gespeichert wird und eine Widerspruch der Datenspeicherung möglich ist…. entspricht es dann allen geltenden gesetzlichen Vorgaben und man kann den nervenden Hinweistext weglassen? Oder sind seit 2019 noch weitere Auflagen hinzugekommen?
Die IP Adresse stellt ein personenbezogenes Datum dar und wird nach ihrem Beispiel zwar nicht gespeichert, jedoch erfasst und für die Statistik-Lösung auch ausgewertet. Vor diesem Hintergrund sollten auch bei der von ihnen beschriebenen schlanken Lösung datenschutzrechtliche Informationen bereitgestellt werden. Diese können dann– aufgrund der „schlanken“ Verarbeitung – wohl vergleichsweise schlank ausfallen. Aus Transparenzgründen bietet es sich hier an, in der Datenschutzerklärung auf die datenschutzfreundlichen Voreinstellungen (keine Cookies, keine Speicherung der IP-Adresse) hinzuweisen. Auch wird man sich Gedanken machen müssen, wo genau man die Umsetzung der Widerspruchsmöglichkeit plaziert. Hier wäre ein geeigneter Ort für einen Button / Link, mit dem sich der Widerspruch umsetzen lässt, die Datenschutzerklärung. Die Mindestinhalte der Datenschutzerklärung sind im Einzelnen in Art. 13 DSGVO beschrieben.
Zitat vom Anfang des Beitrags: „Matomo (ehemals Piwik) ist eine Open-Source-Webanalytic-Plattform – wie Google Analytics –…“
GA ist alles andere als Open Source. Google gewährt nicht den geringsten Einblick. Das ist nicht verwerflich, wohl aber, dass kein Anwender exakt weiß, was mit den übertragenen Daten letztlich geschieht. Wie sie verarbeitet werden. Und vor allem: Wer es in die Hände bekommt.
Das ist korrekt, wir haben die Stelle korrigiert. Vielen Dank.