- Veröffentlicht am
- • How2-Tipps
Matomo datenschutzkonform ohne Einwilligung betreiben – so geht’s richtig
- Autor
-
-
- Benutzer
- tmueller
- Beiträge dieses Autors
- Beiträge dieses Autors
-
1. Grundprinzip: Matomo ohne Einwilligung ist möglich, aber nur unter Bedingungen
Du darfst Matomo ohne Einwilligung (also ohne Cookie-Banner) betreiben, wenn
- keine personenbezogenen Daten im rechtlichen Sinne verarbeitet werden (d. h. keine identifizierbaren Nutzer), und
- du dich auf berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO** stützen kannst**,
- und du kein Tracking-Cookie setzt.
Dafür muss Matomo technisch so konfiguriert sein, dass die Daten anonym bleiben und nicht über verschiedene Sitzungen hinweg zusammengeführt werden können.
2. Technische Voraussetzungen und Einstellungen in Matomo
Hier die komplette Schritt-für-Schritt-Konfiguration, um Matomo datenschutzkonform einzustellen.
a) IP-Adressen anonymisieren
Einstellungen → Datenschutz → Anonymisierung → IP-Adresse anonymisieren
- Aktiviere „Anonymisiere Besucher-IP-Adressen“
Stelle die Anonymisierung auf mindestens 2 Bytes, besser 3 Bytes:
- Beispiel: aus
192.168.123.45wird192.168.0.0
- Beispiel: aus
- Dadurch ist der Besucher nicht mehr eindeutig identifizierbar.
b) Keine Cookies setzen
Einstellungen → Datenschutz → Keine Cookies
- Aktiviere: „Tracking-Cookies deaktivieren“
Alternativ im Tracking-Code (wenn du JS verwendest):
var _paq = window._paq = window._paq || []; _paq.push(['disableCookies']);
Dadurch verzichtet Matomo auf Wiedererkennungs-Cookies (z. B. _pk_id, _pk_ses), und jeder Besuch gilt als neue Sitzung.
c) Fingerprinting stark einschränken
In derselben Datenschutz-Sektion:
- Aktiviere: „Fingerabdrücke zufällig verändern“ → Matomo fügt Zufallselemente hinzu, sodass Browser nicht wiedererkannt werden.
- (Optional) Setze „Verwende keine Browser- oder Geräteinformationen zur Wiedererkennung“.
d) Alte Daten automatisch anonymisieren
In „Anonymisierung älterer Daten“:
- Aktivieren, um IPs aus bestehenden Logs nachträglich zu anonymisieren.
e) Do-Not-Track respektieren
Einstellungen → Datenschutz → Besucher-Opt-Out & Do-Not-Track
- Aktiviere: „Do Not Track Anfragen von Browsern respektieren“
- Dann wird kein Tracking ausgelöst, wenn der Browser DNT sendet.
f) Opt-Out-Iframe (optional)
Wenn du möchtest, kannst du deinen Nutzern trotzdem eine Opt-Out-Option anbieten:
- Matomo → Einstellungen → Datenschutz → Opt-Out
- Den Iframe-Code kopieren und z. B. in deine Datenschutzerklärung einfügen.
3. Rechtliche Grundlage
Du darfst dich in diesem Fall auf Art. 6 Abs. 1 lit. f DSGVO („Berechtigtes Interesse“) stützen. Voraussetzung:
- Du betreibst Matomo selbst gehostet (On-Premise).
- Es werden keine personenbezogenen Daten an Dritte übermittelt.
- Du nutzt keine Cookies oder eindeutigen IDs zur Wiedererkennung.
- IP-Anonymisierung ist aktiv.
- Die Daten dienen ausschließlich statistischen Zwecken zur Webseitenoptimierung.
Das hat u. a. die CNIL (französische Datenschutzbehörde) bestätigt – und in Deutschland stützen sich viele DSBs auf diese Argumentation.
4. Datenschutzerklärung: Pflichttext
Selbst ohne Cookie-Banner musst du die Besucher informieren. Füge deiner Datenschutzerklärung (Website) z. B. folgenden Text hinzu:
Webanalyse mit Matomo (ohne Cookies)
Wir verwenden auf unserer Website das Open-Source-Analysetool Matomo. Matomo wird ausschließlich auf unseren eigenen Servern betrieben; eine Übertragung personenbezogener Daten an Dritte findet nicht statt. Wir haben Matomo so konfiguriert, dass keine Cookies gesetzt werden und IP-Adressen anonymisiert werden (Verkürzung um mindestens zwei Bytes). Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO an der statistischen Auswertung der Nutzung unserer Website zur Verbesserung des Angebots. Sie können der anonymisierten Datenerfassung jederzeit widersprechen. (Hier optional Opt-Out-Iframe einfügen.)
5. Kontrolle: Funktioniert das wirklich ohne Cookies?
Nach dem Einbau prüfen:
- Seite im Browser öffnen.
- In der Entwicklerkonsole unter „Application → Cookies“ oder „Storage“ nachsehen → Es darf kein
_pk_idoder_pk_sesauftauchen. - In Matomo sollten trotzdem Besucher gezählt werden.
Wenn du Log-Analytics statt JS-Tracking nutzt, setzt Matomo ohnehin keine Cookies, also ist das automatisch DSGVO-konform.
Kurzüberblick: DSGVO-Checkliste
| Bereich | Maßnahme | Status |
|---|---|---|
| Hosting | Eigenes Hosting, keine Cloud | ✅ |
| IP-Adressen | Mind. 2–3 Bytes anonymisiert | ✅ |
| Cookies | deaktiviert | ✅ |
| Fingerprinting | deaktiviert oder randomisiert | ✅ |
| Do Not Track | respektiert | ✅ |
| Opt-Out | optional angeboten | ✅ |
| Datenschutzerklärung | Hinweis auf Matomo + berechtigtes Interesse | ✅ |