Macht Matomo das Cookie-Banner überflüssig? Ja, aber…

Posted on 1 Kommentar zu Macht Matomo das Cookie-Banner überflüssig? Ja, aber…

Das Cookie-Banner nervt viele. Kann Matomo auch ohne?

Zuerst mal der Disclaimer: ich bin kein Anwalt oder Datenschutzbeauftragter und gebe nur meine Meinung wider. Wenn Sie sicher gehen wollen, fragen Sie einen Anwalt.

//Update vom 01.09.2021

Matomo Schulung buchen

Die Diskussion um Cookie-Banner nimmt an Fahrt auf, deshalb hier ein Beitrag dafür, wie Sie Matomo ohne diese abtörnenden Banner benutzen können – ausgehend von Beiträgen von Dr. RA Sebastian Kraska und RA Nina Hiddemann.

Konkret gibt es zwei verschiedene Ansätze, der eine ist, einfach auf Cookies zu verzichten – Logfile-Analyse oder Fingerprinting – der andere ist eine Auslegungsfrage, d.h. Matomo ist in dieser Auslegung berechtigt, Cookies ohne Banner zu erheben.

–> Was sind überhaupt Cookies? Eine Erklärung für alle, die nicht so technisch sind.

Warum ist die Fragen nach der Zustimmung und dem Banner so wichtig?

Hier ein Screenshot einer Seite, die erst die Zustimmung zum Tracking erforderlich gemacht hat und dann auf Fingerprinting umgestellt hat:

Vorher – nachher: Unterschied Zustimmung zum Tracking oder nicht. Ohne Zustimmung gehen die Zahlen massiv hoch (Oktober)

Matomo ohne Cookies

Logfile-Analyse

Grundsätzlich ist es möglich, Matomo ganz ohne eigenes Tracking zu betreiben, als einfache Auswertung der sowieso angelegten Logfiles und diese im viel schöneren Matomo-Interface aufzuarbeiten, inklusive Kampagnenauswertung und einiger anderer Features, die Tools wie AWStats oder WebSTAT nicht zur Verfügung stellen. Ohne eigenes Tracking heißt in diesem Fall: keine Cookies, also auch kein Cookie-Banner!

Logfile-Auswertung

Da wir da auf Daten zurückgreifen, die sowieso schon da sind und diese nur zur Auswertung betrachten, sind wir hier ganz auf der sicheren Seite, dies ist die Minimallösung für die Webanalyse. Von dieser Möglichkeit macht beispielsweise das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport, das Schweizer Verteidigungsministerium, gebrauch.

Probleme Logfile-Analyse

Die Daten in der Logfile-Analyse sind oft durch andere Dateien gestört. Fonts, Plugins, Bilder etc. werden nicht immer zuverlässig herausgefiltert. Auch können Webobjekte nicht erkannt werden, ich kann mir also auf einer bestimmten Seite immer neue Sachen nachladen, aber wenn sich die URL nicht verändert, zählt der Server keinen neuen Aufruf. Ebenso kann das Tracking von Zielen problematisch werden.

In der Konsequenz haben wir ungenauere Zahlen als bei Cookies oder anderen Methoden. Jedoch kann man da entgegnen: wenigstens haben wir Zahlen!

Hier geht es zu Matomos Hilfe zur Einrichtung der Logfile-Analyse

Die Fingerabdrücke nehmen: Fingerprinting

Nun gibt es neben Cookies auch noch andere Möglichkeiten, Rechner wiederzuerkennen. So ist die Kombination aus Betriebssystem, Browser, benutzten Plugins, IP-Adresse, Browsersprache etc. auch schon extrem eindeutig. Diese Kombination aus verschiedenen Merkmalen nennt man den Fingerprint des Computers und mit ihm ist es möglich, einen Besucher im Verlauf seines Surfprozesses sehr zuverlässig zuordnen.

Matomo kann also statt der Cookies einfach diesen Fingerprint aufzeichnen. Was uns dann fehlt:

  • wiederkehrende Besucher werden nicht erkannt,
  • es kann nicht über verschiedene Seiten hinweg getrackt werden,
  • eine Conversion kann nur innerhalb eines Besuchs erfasst werden.

Hier geht es zu Matomos Anleitung zur Umstellung auf Fingerprinting

Nicht alle Akteure sind allerdings der Meinung, dass Fingerprint-Tracking legal ist. Matomo selbst sieht kein Problem, da die eine Wiedererkennung alle 24 Stunden randomisiert wird, aber z.B. RA Jan Lennard Müller meint, dass zwischen Cookie-Tracking und Fingerprinting eigentlich kein Unterschied besteht, da die Daten ja in gleicher Form genutzt werden können.

Dem könnte man erwidern: dazu haben sich die Richter im Fall Planet49 allerdings nicht geäußert. Bis es ein neues Urteil gibt, sind wir also in einer Grauzone, durch die Randomisierung alles 24 Stunden wahrscheinlich sogar im sicheren Bereich.

Auf jeden Fall ist auch hier klar: da keine Cookies erhoben werden, benötigen wir auch kein Cookie-Banner.

Tracking ohne Banner, aber mit Cookies

Und dann gibt es noch die Meinung, dass Cookie-Tracking mit Matomo überhaupt kein Problem darstellt und wir auch kein Cookie-Banner benutzen müssen, wie beispielsweise von RA Nina Hiddemann vertreten.

First Party Cookies

Nach ihrer Meinung können Matomo-Cookies unter Bezug auf den Datenschutzbeauftragten von Baden-Württemberg dann ohne Einwilligung des Nutzers verwendet werden, wenn es sich um First-Party-Cookies handelt.

Wenn ein berechtigtes Interesse, also z.B. die Reichweitenmessung, existiere, dann sei die Zustimmung überhaupt nicht das Problem, es bräuchte nur einen Hinweis in der Datenschutzerklärung. Somit wäre ein Cookie-Banner für Matomo Analytics also überhaupt nicht nötig.

Auch RA Schwenke sieht das Risiko der Benutzung von Cookies zur Analyse gering, weist aber darauf hin, dass es zwar unwahrscheinlich ist, dass die Datenschützer in diesem Fall Probleme machen, aber die Konkurrenz wohl abmahnen könnte.

In der Konsequenz heißt dies: Tracking mit Cookies, die nur zur Webanalyse genutzt werden und nicht zur Werbung – und die auf der eigenen Seite gespeichert werden, scheint legal möglich.

Weitere wichtige Einstellungen

Anonymisierte IP-Adresse

Neben dem Tracking müssen im Matomo selbst einige Einstellungen vorgenommen werden, sonst nützt es überhaupt nichts, ein datenschutzsicheres Tracking zu haben. So muss (natürlich) die IP-Adresse jedes Users anonymisiert werden, da es sich hierbei laut Rechtssprechung um ein persönliches Merkmal handelt. Auch dies geht bei Matomo ja leicht.

Verarbeitung der Daten bei einem Anbieter?

Sicher gehen Sie auf jeden Fall, wenn Sie das Matomo selbst hosten. Aber auch ein Hosting-Anbieter kann mit einer ordentlichen Datenverarbeitungsübereinkunft eingebunden werden. Ob die Matomo-Cloud-Lösung dafür taugt, ist umstritten, da die Daten evtl. bei Amazon gehostet werden. Insofern hätten wir mit der Cloud-Lösung von Matomo gleich zwei Probleme: einerseits handelt es sich um Third Party Cookies und andererseits werden die Daten außerhalb der EU gespeichert. Was davon greift und ob überhaupt etwas davon für unsere Eingangsfrage wichtig ist, kann ich leider auch nicht beantworten.

Opt-Out wichtig

Auf jeden Fall muss es für die User aber eine Möglichkeit zum Opt-Out geben, die ja auch leicht eingebunden werden kann, z.B. in die Datenschutzbestimmungen – und von den meisten aktuell sicher auch schon zur Verfügung stellt. Die Do-Not-Track-Einstellungen eines Browsers werden bei Matomo ja auch standardmäßig akzeptiert und in der Datenschutzbestimmung eurer Seite habt ihr voraussichtlich auch einen Opt-Out aus Matomo eingebaut.

Dauer der Speicherung der Daten

Wie lange die Daten auf dem Server gespeichert werden dürfen, muss mit dem Datenschutzbeauftragten geklärt werden. Je kürzer der Zeitraum, desto weniger verlässliche Vergleiche können wir natürlich anstellen, aber desto mehr ist der Datenschutzbeauftrage happy.

Problem Cookie-Banner: ist es überhaupt rechtens?

Nun gibt es noch ein weiteres Problem mit den Cookiebannern im generellen, die meisten davon sind nicht rechtssicher. Das fängt mit dem Zeitpunkt des Trackens an: wenn die Banner das Tracken nicht unterbinden, liegt ja schon ein Verstoß vor, denn getrackt werden darf natürlich erst nach Einwilligung. Dann müssen die Texte richtig sein, die richtigen Buttons vorhanden sein, in Deutsch – und schlussendlich muss die Implementierung funktionieren. Eine große Behörde, bei der ich eine Matomo-Schulung gehalten hatte, schloss das Cookie-Banner generell 99,9 Prozent der Nutzer aus, egal, was geklickt wurde. Somit gab es quasi keine Daten. Ein Supergau!

Alternative zum Schluss: Mit Cookies und Fingerprints

Wenn Ihnen das Ding ohne Cookie-Banner nun doch zu unsicher ist, dann gibt es bei Matomo eine spannende Möglichkeit: bei Zustimmung trackt Matomo dann mit Cookies, bei Ablehnung mit Fingerprints. Dazu ist ein minimaler Eingriff in den Code erforderlich, die Anleitung findet ihr hier!

Fazit: Matomo ist ohne Cookie-Banner möglich

Allerdings ist das alles nicht rechtssicher. Es gibt keine eindeutigen Urteile, die uns sagen, ob Analyse-Cookies notwendig sind. Solange wir also das nicht sicher wissen, bewegen wir uns zwangsläufig auf dünnem Eis.

Selbstmord aus Angst vor dem Tod ist jedoch auch nicht die Lösung. Ohne Cookie-Banner haben wir voraussichtlich mehr und glücklichere Besucher. Es ist, wie oft im Leben, eine Abwägungsfrage – will heißen: eine Business-Entscheidung und keine rechtliche.

Insofern: dreimal auf Holz klopfend!!!
Euer Dietmar Fischer

PS: Ihr wollt Matomo nutzen ohne Cookies, wisst aber nicht wie? Sprecht uns an, wir helfen gerne weiter!

 

One comment

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert