Matomo mit/ohne Cookies nutzen: Handlungsanleitungen und Risikoanalyse

Matomo mit/ohne Cookies nutzen: Handlungsanleitungen und Risikoanalyse

Beim Einsatz des Webanalysetools Matomo (ehemals Piwik) müssen einige Anforderungen gemäß der Datenschutz-Grundverordnung beachtet werden, um den Dienst rechtskonform zu verwenden. Wir klären in unserem Beitrag über die einzelnen Voraussetzungen auf und zeigen vor dem Hintergrund der vom EuGH aufgestellten Einwilligungspflicht für technisch nicht notwendige Cookies, welche Handlungsalternativen für die Einbindung von Matomo bestehen und welche Risiken zu beachten sind.

1.) Anonymisierung der IP-Adresse des Seitennutzers durch „PrivacyManager“-Plugin

Der Webanalysedienst Matomo erhebt und speichert die IP-Adresse Ihres Seitenbenutzers. Nach derzeitiger Rechtsauffassung stellt die der IP-Adresse ein personenbezogenes Datum dar. Sie sollten daher die IP-Adresse anonymisieren.

Matomo bietet in diesem Zusammenhang das Plugin „PrivacyManager“ an. Dieses wird bei der aktuellen Matomo- Version bereits mitgeliefert und muss lediglich vom „Super User“ aktiviert werden. Dies geschieht durch Aufruf des Menüpunkts „ Einstellungen > Privatsphäre > Daten anonymisieren" sogar in grafischer Form.

Die Anzahl der zu maskierenden Oktette ist in config/global.ini.php als ip_address_mask_length mit dem Default-Wert 1 festgelegt. Ändert man also nichts an der Einstellung, wird bei aktiviertem PrivacyManager-Plugin das letzte Oktett der IP-Adresse auf 0 gesetzt.

Eine gespeicherte IP-Adresse sollte dann beispielsweise so aussehen: 128.91.97.0.
Die Anzahl der zu maskierenden Oktette kann in config.ini.php konfiguriert werden. Zulässige Werte sind für IPv4-Adressen 1 bis 4.

Die Einstellung erfolgt durch das Einfügen einer neuen Wertangabe unter [Tracker]. Um beispielsweise nicht nur ein Oktett, sondern zwei Oktette der IP-Adresse zu anonymisieren, muss die Datei config/config.ini.php wie folgt geändert werden:

ip_address_mask_length = 2

Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird.

2.) Wirksame Cookie-Einwilligung und Widerrufsmöglichkeit

Matomo setzt in der Standard-Variante diverse Tracking-Cookies auf dem Endgerät des Nutzers, welche die Analyse des Nutzerverhaltens unterstützen.

Aufgrund eines Grundsatzurteils des EuGH vom 01.10.2019 (C-673/17) ist für den Einsatz derartiger Cookies aber zwingend die vorherige ausdrückliche Einwilligung des Nutzers (etwa über ein hinreichendes Cookie-Banner oder ein konformes Cookie-Consent-Tool) einzuholen. Cookies von Matomo dürfen daher nur gesetzt werden, wenn der Nutzer zuvor wirksam in deren Verwendung eingewilligt hat. Ein Einsatz von Matomo auf Cookie-Basis vor oder unabhängig von der Nutzereinwilligung ist unzulässig. Insbesondere ein reines Opt-Out genügt nicht mehr.

Ist eine konforme Cookie-Einwilligung vorgeschaltet worden, muss der Nutzer zusätzlich die Möglichkeit haben, diese jederzeit mit Wirkung für die Zukunft zu widerrufen.

Dies kann über das eingesetzte Consent-Tool selbst erfolgen.

Alternativ lässt sich ein Widerruf bei bei Matomo durch Verwendung eines sog. Opt-Out-IFrames umsetzen, welcher es dem Seitenbesucher ermöglicht, dass durch Setzen eines Häkchens der Erstellung und Speicherung eines anonymisierten Nutzerprofils widersprochen bzw. widerrufen wird, indem ein Opt-Out-Cookie auf dem Computerrechner des Seitenbesuchers abgelegt wird.

Der HTML-Code für den Opt-Out-IFrame lautet wie folgt (*ACHTUNG* bitte ersetzen Sie den Teil „IHRE-DOMAIN“ durch Ihre Internetadresse):


<iframe frameborder="no" width="500px" height="250px" src="https://www.IHRE-DOMAIN.de/index.php?module=CoreAdminHome&action=optOut&language=de"></iframe>

Dieser Opt-Out-IFrame sollte direkt unterhalb der Datenschutzklausel eingebunden werden. Der Opt-Out-IFrame unterhalb der Matomo-Klausel sollte in der Datenschutzerklärung wie folgt aussehen:

Matomo

3.) Nutzung von Matomo ohne Cookies: Handlungsanleitung und Risikoanalyse

Für Matomo lässt sich der Einsatz von Tracking-Cookies generell deaktivieren.

Nachfolgend wird aufgezeigt, wie dies technisch umzusetzen ist und welche rechtlichen Risiken (auch) bei Deaktivierung von Cookies für Matomo bestehen.

a.) Handlungsanleitung

Eine Webanalyse von Matomo lässt sich auch durchführen, ohne dass von der Anwendung Cookies gesetzt werden.

Um ein Cookie-Tracking für Matomo abzustellen, ist in den erweiterten Einstellungen die Option „Alle Tracking Cookies deaktivieren“ auszuwählen.

Alternativ kann zum Deaktivieren der Cookies für Matomo auch der Java-Script-Code modifiziert werden. Eine Anleitung dazu ist hier zu finden.

Wird das Cookie-Tracking auf Matomo generell deaktiviert, werden verbleibende Matomo-Cookies beim nächsten Aufruf der Website automatisch gelöscht.

Die Möglichkeit, das cookie-lose Tracking von Matomo zu deaktivieren, muss allerdings auch hier fortbestehen, da Nutzer das Recht haben müssen, solchen Datenverarbeitungen jederzeit zu widersprechen.

Insofern ist auch beim Einsatz von Matomo ohne Cookies ein Opt-Out-IFrame gemäß Ziffer 2. in der Datenschutzklausel zu erzeugen

b) Voraussichtliche keine Einwilligungspflicht bei Verwendung von Matomo ohne Cookies

Anstelle eines digitalen Fingerabdrucks (Device Fingerprinting) verwendet Matomo im Falle der Deaktivierung von Cookies eine datenschutzfreundlichere Maßnahme zum Schutz von Seitenbesuchern: Die config_id wird von Matomo verwendet, um verschiedene Aktionen in einem kurzen Zeitfenster von bis zu 24 Stunden zu "Besuchen" zusammenzufassen.

Die config_id des Besuchers ist ein zufällig gesetzter, zeitlich begrenzter Hash einer begrenzten Menge von Einstellungen und Attributen des Besuchers. Die config_id oder der config-Hash ist eine Zeichenkette, die für einen Besucher auf der Grundlage seines Betriebssystems, seines Browsers, seiner Browser-Plugins, seiner IP-Adresse und seiner Browsersprache berechnet wird.

Im Gegensatz zu anderen Anbietern von Analyssoftware, die Device Fingerprinting verwenden, erstellt Matomo bei der Nutzung ohne Cookies keinen solchen Fingerprint, und die config_id ist nur für weniger als 24 Stunden und nur für eine bestimmte Website-Domain gültig:

  • die config_id ist nach Auskunft von Matomo nur für maximal 24 Stunden gültig und wird dann rotiert, was bedeutet, dass derselbe Besucher jeden Tag eine andere config_id erhält.
  • die config_id ändert sich zufällig und wird alle 24 Stunden anonymisiert. Der zufällig erzeugte Seed wird jeden Tag verworfen und kann nicht wiederhergestellt werden.
  • die Website-ID wird verwendet, um die config_id zu verarbeiten, was bedeutet, dass ein bestimmter Benutzer/Besucher auf Ihrer Matomo (Piwik)-Instanz immer eine andere config_id hat, wenn er Ihre verschiedenen Websites und Domains besucht.
  • die IP-Adresse, die zur Erstellung der config_id verwendet wird, ist die anonymisierte IP-Adresse, wenn Sie die IP-Anonymisierung aktiviert haben, was die Standard-Datenschutzeinstellung in Matomo ist (wenn Sie "Auch anonymisierte IP beim Anreichern von Besuchen verwenden: Nein", wird die vollständige IP-Adresse für die Hash-Berechnung verwendet).

Um Matomo ohne Einwilligung verwenden zu können, sollten Nutzer von Matomo noch die weitergehenden Voraussetzungen erfüllen:

  • Cookies deaktivieren
  • IP-Adresse anonymisieren
  • Referrer anonymisieren
  • Personenbezogene Daten aus URLs und Seitentiteln ausschließen
  • Personenbezogene Daten aus benutzerdefinierten Variablen, Dimensionen und Ereignissen ausschließen
  • Maskieren Sie persönliche Daten in Heatmaps und Bildschirmaufzeichnungen
  • Bestell-IDs für den elektronischen Handel ausschließen
  • Aktivieren Sie keine Benutzer-ID-Funktionen
  • Verwenden Sie die gesammelten Daten nur für die Analyse
  • Verfolgen Sie Nutzer nur auf einer einzigen Website/Anwendung

Weiterführende Information zur Umsetzung der vorstehenden Punkte finden Sie auf der Seite von Matomo.

Wichtig - Sie müssen eine Widerspruchsmöglichkeit schaffen! Wenn Sie die Analysemöglichkeit von Matomo ohne Cookies rechtskonform einbinden möchten, müssen Sie dem Seitenbesucher noch eine Möglichkeit zum Widerspruch ermöglichen. In diesem Fall raten wir dazu, eine eigene Unterseite zu erstellen und auf dieser Unterseite die von Matomo vorgeschlagene Opt-Out-Lösung zu implementieren.

Wenn Sie die vorgenannten Punkte erfüllen, können Sie Matomo ohne Cookies auf Basis Ihres berechtigten Interesses an der statistischen Analyse des Nutzerverhaltens zu Optimierungs- und Marketingzwecken nutzen.

c.) Zwischenfazit

Mittels einer generellen Deaktivierung der Cookie-Setzung lässt sich über Matomo ein bestimmtes Nutzerverhalten auch ohne den Einsatz von Cookies nachvollziehen.

Sofern die weiteren Vorgaben zur datenschutzfreundlichen Nutzung von Matomo ohne Cookies einhalten, müssen Sie keine Einwilligung des Seitenbesuchers einholen.

4.) Löschung von Altdaten (bestehende Analyseprofile)

Es ist zu beachten, dass die Anpassungen nur neue Analyseprofile erfassen. Zuvor erstellte Profile sind nach Ansicht der Aufsichtsbehörden unrechtmäßig erstellt und somit zu löschen.

Hinweis:
Die Einfügung des Opt-Out-IFrames (siehe oben unter Ziffer 2.) muss von Ihnen mittels HTML-Code gesondert auf Ihrer Internetseite erfolgen!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© PhotoSG - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

30 Kommentare

G
G.S. 13.01.2023, 11:43 Uhr
Device Fingerprinting
Der Artikel ist schon etwas älter. Matomo selbst schreibt nämlich, dass auch kein Device Fingerprinting eingesetzt wird! Das ist ja ein entscheidender Faktor, da dann vollends keine Einwilligung mehr notwendig ist.

https://matomo.org/faq/general/how-is-the-visitor-config_id-processed/ und
https://matomo.org/faq/new-to-piwik/how-do-i-use-matomo-analytics-without-consent-or-cookie-banner/

Wenn man es so konfiguriert, ist laut Matomo keinerlei Einwilligung mehr notwendig.
h
helmut 14.03.2022, 14:46 Uhr
matomo ip anonymisierung (1byte) bei on-premise
hallo, guter informativer artikel.
eine frage: wenn der user seine zustimmung zum tracking mit matomo (self hosted!) gibt, reicht es dann, die ip um nur 1 byte oder gar nicht zu kürzen? wäre relevant für genauere standortbestimmung.
danke!
helmut
V
Vincent Rammelt 15.01.2022, 01:40 Uhr
Ist das noch unter TTDSG aktuell?
Wäre mal interessant, ob der Artikel noch mit der Risiko Einschätzung Bestand hat, wo gerade alle nach Matomo suchen
R
Roman 07.12.2020, 11:08 Uhr
Guter Artikel
Danke für diese Meinung und die gute Begründung. Nun hat der BGH die Rechtsprechung ja bereits aufgegriffen und ist dabei offensichtlich nicht besonders weit gegangen. Von einer Einwilligungspflicht für Fingerprinting in Deutschland kann zurzeit doch keine Rede sein oder?
S
Stephan 04.09.2020, 09:45 Uhr
arthur2020@freenet.de
Mir geht das noch zu wenig weit: 1) erfahre ich ja bei der Bestellung eines Kunden wie der heißt. 2) kenne ich dann sein Geschlecht und 3) weiß ich wo er die Ware hinhaben möchte. 4) Kann es sein dass er eine Tel.Nr. angegeben hat und 5) weiß ich altes Schlitzohr, was er bestellt hat, sogar ob mobil oder per Desktop. Auch weiß ich wann er bestellt hat. Gehört meines Erachtens alles abgestellt.
T
Th.M. 03.08.2020, 14:06 Uhr
Nutzung ohne Consent ab Matomo 3.13.6
Könnten Sie ggf. mal ein Follow-Up machen mit Ihrer Einschätzung bzgl. der Situation ab Matomo 3.13.6:

https://matomo.org/faq/new-to-piwik/how-do-i-use-matomo-analytics-without-consent-or-cookie-banner/

Matomo.org schreibt, dass Tracking ab 3.13.6. ohne Consent / Zustimmungsbanner möglich sei, wenn:

- Matomo selbstgehostet ist -> keine Übermittlung an Dritte
- Cookie-Nutzung deaktiviert -> _paq.push(['disableCookies']);
- Matomo "datenschutzfreundlich" konfiguriert ist

Auch der Datenschutzbeauftragte des Landes Baden-Württemberg kommt zu dieser Einschätzung:

https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

Siehe hier die Antwort auf "1. Darf ich Werkzeuge zur Reichweitenanalyse ohne Einwilligung der Nutzer verwenden?"
M
Marco 15.06.2020, 13:01 Uhr
Grrrrr
Echt erstaunlich was für einen Aufwand man betreiben muss nur um zu erfahren wie viele Leute auf der Seite sind
S
Stefan Lenzner 26.11.2019, 08:17 Uhr
Wie lange auf Antwort warten?
Bekommt man hier auch Antwort auf die Fragen?
S
Stefan Lenzner 25.11.2019, 09:52 Uhr
Intern gehostetes Matomo
Laut Aussage von den Machern des Wordpress-Plugins WP DSGVO Tools muss man bei einem intern gehosteten Matomo keine Cookie-Einwilligung des Users einholen. Ist das richtig?
G
Gabriele Sch. 05.11.2019, 08:47 Uhr
Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird.
Guten Morgen,

ich nutze die neuste Matomo Ausgabe in der deutschen Fassung.. Unter Punkt 1 findet sich in Ihrer Anweisung: "Zwingend zu beachten ist schließlich, dass bei den Datenschutzeinstellungen von Matomo zusätzlich die Schaltfläche bei "Also use anonymised IP when enriching visit" auf "Yes" gestellt wird."
Ich kann das leider nicht finden. Wo genau befindet sich diese Einstellung?
Vielen Dank!
I
IT-Recht Kanzlei 18.10.2019, 12:46 Uhr
Browser Fingerprinting
Guten Tag,
vielen Dank für Ihren Kommentar.

In der Tat liegt es nahe, das Browser-Fingerprintig, bei dem gewisse Informationen aus dem verwendeten Endgerät ausgelesen und zu einem eindeutigen Nutzerprofil zusammengefügt werden, generell als cookie-gleich und mithin einwilligungspflichtig behandelt werden (s. auch Wortlaut von Art. 5 Abs. 3 der RL 2002/58/EG).

Bei Matomo lässt sich für das Fingerprinting allerdings die erhobene IP-Adresse anonymisieren (Datenschutzeinstellungen --> “Also use anonymised IP when enriching visit: Yes). In diesem Fall können die Informationen nicht mehr vollständig ausgelesen werden, sodass nach unserer Ansicht eine Einwilligungspflicht entfällt und ein Opt-Out genügt.
P
Peter 18.10.2019, 12:10 Uhr
Browser Fingerprinting
Müsste "IP address and other footprints" die Matomo zur Ermittlung einer Session verwendet nicht als cookiegleich behandelt werden? Soweit ich den EuGH-Beschluss verstanden habe schließt es ja Browser Fingerprinting mit ein.
J
John 18.10.2019, 10:47 Uhr
Opt-out iFrame mit Cookie :)
Vielen Dank für den Beitrag. Insbesondere für privat betriebene Websites reicht die cookielose Einbindung in der Regel ja aus. Auf ein Problem bin ich jedoch bei der Umsetzung gestoßen: Die Einbindung des Opt-out-iFrames in der Datenschutzerklärung setzt ein Cookie. Ich vermute aber mal, dieses Cookie kann als funktional klassifiziert werden?
I
IT-Recht Kanzlei 14.10.2019, 10:05 Uhr
Einwilligungspflicht für Cookie-Einsatz durch Matomo
Sehr geehrte Damen und Herren,

vielen Dank für Ihre Kommentare. Kommt es beim Einsatz von Matomo zur Setzung von Cookies, genügt die vom Anbieter vorgehaltene Opt-Out-Lösung seit dem EuGH-Urteil vom 01.10.2019 ((Az. C-673/17) nicht mehr. Vielmehr ist nunmehr im Vorfeld der Cookie-Setzung die ausdrückliche Einwilligung in die Matomo-Cookies erforderlich.

Kann dies nicht sichergestellt werden, besteht die Möglichkeit, Cookies von Matomo beim Einsatz des Tools generell zu deaktivieren und so eine Einwilligungspflicht auszuhebeln.

Eine Anleitung hierzu finden Sie hier: https://matomo.org/faq/general/faq_157/
T
Thomas 10.10.2019, 09:55 Uhr
Matomo im privacy-mode und ohne cookies?
Könnt ihr bitte dazu die Konfiguration der Datenschutzerklärung anpassen oder muß das nicht?
S
Susi 07.10.2019, 17:06 Uhr
1.10.2019: EuGH-Urteil zum Cookie-Einwilligungs-Banner
Und wie stellt sich das Ganze jetzt dar nach dem aktuellen Urteil des EuGH? Muss man jetzt bei Einsatz von Matomo mit Opt-In arbeiten?
T
Thomas 19.05.2019, 01:44 Uhr
Sachlicher Anwendungsbereich DSGVO Art. 2 bei Hosting auf eigenem Server
Vorweg: großes Lob dafür, dass die Diskussion hier offen ist und für einen Artikel der sich mal mit der technischen Realität befasst (selbst bei wichtigen Urteilen ja nicht selbstverständlich leider)!


- FRAGE: Art. 2 DSGVO bestimmt ja "Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung PERSONENBEZOGENER Daten...". Anders gesagt: Wenn nicht "personenbezogen", kann man die DSGVO vollständig ignoieren, weil sie ja keine Anwendung findet, somit auch auf betreffende Erklärungen zum Datenschutz zu verzichten. - Nehmen wir also den Fall an,

dass Matomo auf einem eigenen bzw. Kunden-Server installiert wird und in der Konfiguration die IP-Adressen von vornherein bei der Erhebung gekürzt. - In den Cookies wiederum (soweit ich sehe) ist ein langer, damit eindeutiger Zuffalswert aus Zahlen/Buchstaben hinterlegt mit dem man auch den Rechner nicht und somit noch weniger eine Person identifizieren kann. Einzig natürlich lassen sich so feststellen: 1. ruft derselbe Rechner erneut auf (solange nicht neue Sitzung/Zählung) und 2. NUR DIESEM nicht zurückverfolgbaren CODE (und der aber ja ggf. ausreichend gekürzten IP) z.B. Betriebssystem und Monitorauflösung... zugeordnet. - M.E. könnte man - in diesem Fall also Selbst-Hosting + anonymisierte IP - auch mindestens mal in den Raum stellen ob die DSGV überhaupt Anwendung findet und man - in diesem Fall/bei solcher Installation - nicht sogar auf jeglichen Hinweis/DS-Erklärung sogar komplett verzichten kann? - Diese Frage und Ansatz "sachl. Geltungsbereich" fände ich mal sehr interessant beantwortet zu finden - während Ihr Artikel ja mal ganz hervorragend sich mit der kommerziellen Matomo-Variante diesbzgl. beschäftigt. (Nur nebenbei: der Provider, der in DS-Erklärungen ja kaum bis nie Erwähnung findet, hat sehr viel mehr Daten, mind. kurzzeitig auch die volle IP, weil ja sonst die Website nicht abrufbar wäre). Sicher also eine spannende Frage? Und vielen Dank, auch im namen der Mitlesenden!
F
Frederick 03.08.2018, 21:00 Uhr
Benutzung
Vielen Dank für den Artikel.

Könnte ich die Datenschutzerklärung benutzen?
C
Christian 22.06.2018, 13:23 Uhr
Auftragsverarbeiter in Datenschutzklausel
Muss denn in der Datenschutzklausel nirgends der Hoster angegeben werden, also wo Piwik gehostet wird, und dass man mit diesem einen Vertrag zur Auftragsverarbeitung geschlossen hat? Ich meine die personenbezogenen Daten werden ja schließlich bei diesem gespeichert / verarbeitet und dass gar nicht zu erwähnen, halte ich für gefährlich?!? Etwas anderes ist, wenn man den Server vllt komplett selber betreibt / zu Hause stehen hat und da niemand anderes drauf Zugriff hat.


Bei Google Analytics wird ja auch die Anschrift benannt und dass ein Vertrag zur Auftragsverarbeitung geschlossen wurde...
R
Ränsch 20.06.2018, 17:51 Uhr
Jurastudent
Dadurch, dass das Häckchen automatisch gesetzt wird, widerspricht dies doch dem privacy by default? 
H
Herr Silberadler 23.05.2018, 18:06 Uhr
Anmerkung zu IHRE DOMAIN
Damit es verständlicher ist: Es ist wohl nicht wichtig, ob man Matomo auf einem eigenen Server oder bei Matomo direkt nutzt. Mit "IHRE DOMAIN"ist die Serveradresse von Matomo gemeint.
Dazu gibt es auch von Matomo eine Anleitung, erst da wurde es mir klar: Unter Einstellungen -> links Privatsphäre -> Users Opt-Out bekommt man den gleichen Codeschnipsel, den man einbauen kann.

Hoffe das hilft für die Verständlichkeit.

S.
R
Rene 22.05.2018, 09:04 Uhr
iframe lasse ich auch wegen der DSGVO erst gar nicht zu
Um meine Seite zugriffs-und rechtssicher zu halten, lasse ich technisch gesehen kein iframe zu. Daher die Frage, gibt es dazu eine Alternative dazu?
M
Marc 19.05.2018, 09:15 Uhr
Matomo ohne Cookies
Guten Tag,
auch mich würde interessieren, was bei der Konfiguration von Matomo ohne Cookies zu beachten ist. Ziel ist für mich eine Web-Seite, welche ohne ein Cookie-Banner auskommt. Insbesondere stelle ich mir folgende Fragen: Ist die Datenschutzerklärung der IT-Recht-Kanzlei auch für die Konfiguration ohne Cookies geeignet? Kann ich meine Web-Seite dann ohne ein Cookie-Banner betreiben? Ist bei Aufruf der Seite eine gesonderte Einwilligung zum Tracking erforderlich, wenn Matomo auf dem eigenen Server betrieben wird?
Mit freundlichen Grüßen,
Marc
W
Wolfgang 08.05.2018, 14:47 Uhr
cookieless und selbstgehostet?
Wie sieht es aus wenn man ohne cookies tracked und matomo selber hostet? Die derzeitige Version der Datenschutzerklärung legt nahe, dass es sich hier um die Cloud-Version handelt. 
J
Jens Horstmannshoff 03.05.2018, 10:55 Uhr
Fragender
Hallo,

nach den aktuellen Interpretationen der DSK dürfen Tracking Cookies erst NACH der ausdrücklichen Zustimmung des Nutzers gesetzt werden:

http://www.online-marketing-recht.de/tracking-nur-noch-mit-einwilligung-was-ist-dran-am-beschluss-der-datenschutzkonferenz/

Wie ist ihre Meinung dazu? 

Man kann Matomo auch komplett ohne Cookies nur über Javascript code betreiben (allerdings etwas ungenauer). Wäre das sicherer?

Wie hoch ist die Abmahngefahr?

Eine Trackingcookieabfrage am Anfang würde Kunden nur abschrecken.

Danke und viele Grüße 

Jens Horstmannshoff 
M
Michael Prior 29.04.2018, 17:19 Uhr
statische Analyse
Bei der statischen Analyse der Logfiles von Matomo werden keine Cookies gesetzt sondern nur die ohnehin vorhandenen Serverlogs ausgewertet. Bei der Auswertung findet auch eine Anonymisierung der IP statt.
In wiefern müsste mann da (über den Hinweis, dass Serverlogs für technische Abläufe 7 Tage gespeichert werden) noch Hinweisen ? Ein OptOut gibt es hier ja auch nicht (das Serverlog, unterscheidet ja nicht) ? Danke für den guten Artikel !
C
Carsten Semmler 25.04.2018, 21:44 Uhr
Matomo
Hallo Herr Müller, Matomo bietet einem Webseitenbenutzer die Möglichkeit, aktiv gegen die Datensammlung zu stimmen(Opt-out). Nach der DSGVO muss er aber entscheiden können, ob er für eine Datensammlung ist (Opt-in). Kann es sein, dass Matomo diese Funktion nicht bietet? Was gibt es hier für eine Lösung?
Vielen Dank für eine kurze Rückmeldung. Mit freundlichen Grüßen Carsten Semmler
I
IT-Recht Kanzlei 22.04.2018, 07:37 Uhr
Korrektur
Vielen Dank für den Hinweis, wir haben den Fehler soeben korrigiert
S
Stefan 20.04.2018, 20:51 Uhr
Ein Wort fehlt
In der Datenschutzerklärung fehlt im letzten Satz ein "hat".
T
Tim 05.04.2018, 20:06 Uhr
geht einfacher ;-)
Punkt 1 geht auch um einiges einfacher, denn Matomo bringt dafür von Haus aus eine Oberfläche mit (Einstellungen -> Privatsphäre). Danach sollte man aber den Trackingcode neu in die Webseite einbauen. Ebenso ist es beim Erstellen des Trackingcodes möglich, alle Cookies zu deaktivieren, die kommende E-Privacy-Verordnung lässt grüßen!

Weitere News

DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
(24.10.2024, 08:34 Uhr)
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
(02.10.2024, 15:33 Uhr)
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
(19.06.2024, 11:17 Uhr)
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
(10.06.2024, 14:40 Uhr)
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
© 2004-2024 · IT-Recht Kanzlei