Integrate Matomo GDPR compliant into a WordPress website

Tracking und Datenschutz geht nicht? Geht doch! Denn genau das hat sich das Webanalyse Tool Matomo Analytics zur Aufgabe gemacht. Matomo gilt als datenschutzfreundlichere Alternative zu Google Analytics und wird daher auch immer häufiger auf Websites eingesetzt.

Aber Vorsicht! Denn unter bestimmten Bedingungen kann auch das Einbinden von Matomo auf deiner Website nicht datenschutzkonform sein.

Welche das sind und was du beachten solltest, um Matomo dennoch DSGVO-konform in deine WordPress-Website einzubauen, erfährst du in diesem Artikel!

Achtung: Dieser Artikel ist keine Rechtsberatung! Wir als Entwickler von WordPress Plugins und Auftragnehmer von Website Projekten haben uns intensiv mit dem Thema befasst, da es in unserer täglichen Arbeit unerlässlich ist. Jedoch sind wir weder Juristen noch können wir die Vollständigkeit, Aktualität und Richtigkeit folgender Informationen garantieren. Lass dich im Zweifelsfall immer von einem Rechtsanwalt beraten.

Was ist Matomo?

"Matomo" ist das japanische Wort für Ehrlichkeit. Denn genau das hat sich die kostenlose Open-Source-Software zur Aufgabe gemacht. Wenn du dich schon ein wenig länger im World Wide Web rumtummelst, kennst du das Analyse-Tool vielleicht noch unter dem Namen Piwik.

Als Gemeinschaft die führende offene Plattform für digitale Analysen zu schaffen, die jedem Nutzer die volle Kontrolle über seine Daten gibt.

Ebenso wie Google Analytics ist auch Matomo ein Webanalyse-Tool, das Website-Betreibern dabei hilft, das verhalten ihrer Besucher besser verstehen zu können, um somit die eigene Optimierungsmaßnahmen gezielter durchführen zu können. Heimliches Daten sammeln ist allerdings bei der All-in-One-Webanalyse-Plattform fehl am Platz. Das Erheben von Daten soll sowohl für Website-Besucher als auch -Betreiber so transparent wie möglich gestaltet werden. Ebenso soll der Datenzugriff Dritten nur nach Autorisierung gestattet sein.

Matomo basiert auf PHP und verwendet eine MySQL-Datenbank. Du kannst diese entweder herunterladen und lokal hosten oder das Hosting in die Matomo-Cloud verlagern.

Matomo und der Datenschutz

Zwar liefert Matomo im Vergleich zu seinem Konkurrenten Google Analytics weniger Daten, jedoch punktet das Analyse-Tool mit mehr Datenschutzfreundlichkeit.

Einige Maßnahmen, die Matomo zur Einhaltung des Datenschutzes anbietet:

  • Anonymisierung von Daten
  • Nutzer können sich gegen jegliche Nachverfolgung entscheiden
  • Erstanbieter-Cookies als Standard
  • Personen können die gesammelten Daten einsehen
  • Möglichkeit, Besucherdaten auf Wunsch zu löschen
  • Die Daten werden nicht für andere Zwecke verwendet (im Vergleich zu Google Analytics)
  • IP-Anonymisierung
  • Besucherprotokoll und Profile können deaktiviert werden
  • Daten werden in der EU (Matomo Cloud) oder in einem beliebigen Land Ihrer Wahl (Matomo On-Premise) gespeichert

Wie du siehst, musst du also im Gegensatz zu Google Analytics wenig zusätzliche Maßnahmen ergreifen, um keine Datenschutzverstöße beim Einsatz eines Analyse-Dienstes zu unternehmen. So fällt etwa dank des Standorts der Matomo-Cloud in der EU das heikle Thema Datenübermittlung in die USA weg.

Allerdings ist auch Matomo nicht ganz fehlerfrei.

Wenn du Matomo nicht lokal auf deinem Server, sondern auf in der Matomo-Cloud hostest, wird die IP-Adresse – welche in vielen Ländern ein personenbezogenes Datum ist – an den Matomo-Server gesendet.

Darüber hinaus setzt der Analyse-Dienst Tracking-Cookies ein, um Nutzer unterscheiden und Daten aus mehreren Seitenaufrufen miteinander verknüpfen zu können.

Tracking-Cookies zählen zu den nicht essenziellen Cookies. Essenzielle Cookies sind technisch-notwendige Cookies, die für die Grundfunktionalität der Website wichtig sind (z.B. Login-Bereichs-Cookeis). Für nicht essenzielle Cookies benötigst du innerhalb der EU in der Regel immer eine Einwilligung.

Aber keine Panik! Im nächsten Abschnitt zeigen wir dir, wie du diese kinderleicht einholen kannst.

So kannst du Matomo DSGVO-konform einbinden

Obwohl Matomo – wie du jetzt bereits weißt – vergleichsweise datenschutzfreundlicher ist als Google Analytics, empfehlen wir dir dennoch, die folgenden Kriterien zu erfüllen, um auf Nummer Sicher zu gehen, um keine Datenschutzverstöße zu begehen.

✅ Opt-in-Einwilligung

Matomo selbst stellt dir eine Opt-out-Funktion zur Verfügung. Jedoch empfehlen wir dir, lieber auf das Opt-in-Prinzip zu setzen – sprich, du holst dir die aktive Einwilligung deines Website-Besuchers ein, bevor du nichts essenzielle Cookies setzt und personenbezogene Daten überträgst. Somit bist du im Fall der Fälle definitiv auf der sicheren Seite.

Dies ist dann der Fall, wenn du Matomo in der Matomo-Cloud hostest.

Um eine Opt-in-Einwilligung so einfach wie möglich einzuholen, solltest du ein Consent Management Plugin wie Real Cookie Banner verwenden.

  1. Öffne dein WordPress-Backend.
  2. Gehe links im Menü zu Plugins > Installieren.
  3. Suche nach Real Cookie Banner.
  4. Installiere und aktiviere das Plugin. Und schon ist Real Cookie Banner startklar.
  5. Navigate again on the left menu to Cookies > Services (Cookies) > Service hinzufügen..
  6. Suche nach Matomo.
  1. Klicke die Vorlage an. Jetzt bist du in der Service-Konfiguration.
  2. Scrolle nach unten zu dem Abschnitt Technische Handhabung.
  3. Trage deinen Matomo-Host-Namen und deine Matomo Site-ID ein.

Matomo-Host: Dein Matomo-Host-Name ist beispielsweise matomo.beispiel.com

Matomo-Site-ID: Du findest deine Matomo-Site-ID unter Einstellungen > Websites verwalten

  1. Scrolle an das Ende der Vorlage und klicke auf Speichern.
  2. Fertig!

Zusätzlich zum Anlegen der Vorlage solltest du unter Cookies > Einstellungen > Allgemein im Abschnitt Lade Services nach Einwilligung mittels auf Matomo Tag Manager Ereignis umstellen.

Weitere Informationen kannst du in unserem Wissensdatenbank-Artikel über die Einrichtung von Real Cookie Banner mit Matomo nachlesen.

Fertig! Jetzt kannst du Matomo DSGVO-konform erst nach der Opt-in-Einwilligung deiner Besucher einsetzen.

👥 IP-Anonymisierung

Da die IP-Adresse innerhalb der EU in einigen Ländern ein personenbezogenes Datum ist, darfst du diese grundsätzlich nur auf Basis einer Opt-in-Einwilligung erheben, verarbeiten und speichern.

Um dies zu umgehen, gibt es die sogenannte IP-Anonymisierung. Wie der Name bereits verrät, wird die IP-Adresse des Besuchers verändert bzw. verkürzt, sodass eine eindeutige Identifizierung nicht mehr möglich ist.

Die IP-Anonymisierung ist in Matomo standardmäßig aktiviert.

Um sicherzugehen, dass dies auch der Fall ist, kannst du das Ganze auch noch mal unter Administration > Privacy > Anonimyze data prüfen. Hier sollte entweder die Option 2 bytes oder 3 bytes ausgewählt sein.

❌ DNT-Befehl

Anders als viele andere Dienste zählt Matomo wohl zu den wenigen, die den Do Not Track-Befehl des Nutzers umsetzen. Grob zusammengefasst handelt es sich beim DNT-Header um eine Webtechnologie bzw. Funktion, die dem HTTP-Header einer Website bei deren Besuch automatisch mitteilt, dass der Besucher dem Erheben und Speichern seiner Daten nicht zustimmt. Allerdings ist dieser Befehl kein rechtskräftiger und somit in den meisten Fällen auch nicht sinnvoll.

Matomo respektiert den DNT-Wunsch des Besuchers.

Diese Funktion musst du allerdings noch in deinem Matomo Account unter Administration > Privacy > Users opt-out > Support Do Not Track preference aktivieren.

Zusätzlich solltest du den Code-Schnipsel _paq.push(["setDoNotTrack", true]); in dein JavaScript Code integrieren, um sicherzustellen, dass auch wirklich keine Anfragen gesendet und Cookies gesetzt werden.

🤝 Auftragsverarbeitungsvertrag

Einen Auftragsverarbeitungsvertrag (AV-Vertrag) benötigst du grundsätzlich immer dann, wenn du ein externes Unternehmen mit der Verarbeitung personenbezogener Daten beauftragst. In diesem Vertrag ist nämlich der datenschutzkonforme Umgang mit diesen Daten geregelt. Grundlage für einen AV-Vertrag ist DSGVO Art. 28.

Für die Verwendung von Google Analytics musst du definitiv einen Auftragsverarbeitungsvertrag abschließen.

Für die Verwendung von Matomo nicht zwangsläufig. Du musst nämlich nur dann einen AV-Vertrag mit Matomo abschließen, wenn du Matomo in der hauseigenen Cloud hostest. Hostest du Matomo lokal, benötigst du keinen AV-Vertrag, da die Daten nicht an die Matomo-Server weitergeleitet werden.

📝 Datenschutzerklärung

Auch wenn du noch immer einen AV-Vertrag für den Einsatz von Matomo abschließen musst, bleibt dir das Aufführen von Matomo in der Datenschutzerklärung nicht erspart. Hier solltest du unter anderem erläutern, zu welchem Zweck du Matomo auf deiner Website einsetzt, welche Daten verarbeitet werden und an wen diese gelangen.