Matomo Analytics: DSGVO-konform ohne Einwilligung?
Datenschutz Grundlagen und technische Betrachtung
Inhaltsübersicht
- Was ist Matomo und wie funktioniert es?
- Wie erfasst Matomo die Daten?
- Darf Matomo ohne Einwilligung und ohne Cookie-Banner eingesetzt werden?
- Wie funktioniert Matomo ohne Cookies?
- Welche Aspekte im Datenschutz müssen beachtet werden?
- Welche Einstellungen zum Datenschutz gibt es in Matomo?
- Einstellungen zur DSGVO: Maskierung der IP-Adresse
- Was bedeutet Anonymisierung der IP-Adresse und welchen Einfluss haben die Einstellungen?
- Welche Einstellungen zur IP-Maskierung empfiehlst du?
- Einstellungen für Consent-freie Reichweitenanalyse
- Was ist dieses Do-not-Track und muss ich das berücksichtigen?
- Was muss ich in der Datenschutzerklärung beachten?
Vorwort & Anmerkung
Der nachfolgende Text wurde von Matomo Experten Joachim Nickel im April 2025 erstellt und ist keine Rechtsberatung. Die Ausführungen wurden ohne KI erstellt und stellen einen Teil der Expertise dar, die du im Rahmen des Matomo Onboardings als Kick-off für deinen Start in die bessere Webanalytics mit Matomo erhältst.
Bitte beachte, dass die folgenden Ausführungen nur zum grundlegenden Verständnis der rechtlichen Aspekte dienen und sieh mir nach, dass ich bewusst stark vereinfache und keinen Anspruch auf juristisch exakte Formulierungen lege. Auch erhebt dieses Dokument keinen Anspruch auf Vollständigkeit. Wenn du damit ein Problem hast, dann besuche bitte die Webseite eines Datenschutzbeauftragten.
Was ist Matomo und wie funktioniert es?
Matomo Analytics ist ein Open-Source-Tool für Webanalyse und Tracking, welches gerade aus Gründen des Datenschutzes, der Datenhoheit und der dadurch exakter messbaren Besuchsdaten einen großen Vorteil gegenüber dem Platzhirsch Google Analytics bietet. Da es hier um das Datenschutzrecht, die Anforderungen durch die Datenschutzgrundverordnung (DSGVO) sowie das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG vormals TTDSG) geht, informiere dich gerne hier zur Webanalyse mit Matomo.
Wie erfasst Matomo die Daten?
Matomo wird in der Regel auf deinem Webserver installiert und betrieben, oder du nutzt die Matomo Cloud. In beiden Fällen sollten die Daten nur für dich zur Verfügung stehen und die Verarbeitung erfolgt in deinem Verantwortungsbereich. Das wird dann gerne als "on premise" oder im Deutschen "vor Ort", bezeichnet. Das ist bereits ein wichtiger Grund, warum man Matomo potenziell ohne Einwilligung und Abfrage eines Consents einsetzen kann.
Die Erfassung der Daten für die Kennzahlen der Nutzer erfolgt, wie bei vielen anderen Analytics Tools ebenfalls, mithilfe eines aktiven Codes, dem JavaScript. Dieses JavaScript wird in deine Webseite eingebunden, ermittelt dann diverse Informationen aus dem aktuellen Aufruf und sendet die Daten zur Erfassung an Matomo. Dass diese Datenerfassung und Verarbeitung bei dir erfolgt und keine Daten direkt oder indirekt an einen US-Dienstleister fließen, ist ein zweiter wichtiger Aspekt.
Diese Art der Datenerfassung nennt sich Client-Side Tracking, da die Daten im Endgerät aufbereitet und von dort an den Datenendpunkt zur Weiterverarbeitung und Speicherung gesendet werden. Da dieser Vorgang aktiv aus dem Endeinrichtung heraus erfolgt, steht auch immer die IP-Adresse des Besuchers bei der Datenübermittlung direkt und ohne Anonymisierung am Datenendpunkt zur Verfügung. Das ist die Grundlage im Internet und kann nicht verhindert werden. Und damit hast du bereits einen weiteren wichtigen Datenschutzaspekt kennengelernt. Die IP-Adresse ist aus Datenschutzerwägungen immer als personenbezogenes Merkmal zu betrachten. Daher darf eine Übermittlung dieser Information ohne eine Einwilligung an Dienste außerhalb der EU nicht erfolgen.
Im Gegensatz zum Client-Side Tracking gibt es den Ansatz des Server-Side Tracking. Hier erfolgt die Datenerfassung auf einem Server in deinem Einflussbereich, die Daten werden dann dort anonymisiert und erst dann an einen weiteren Dienstanbieter gesendet.
Da Matomo die Datenerfassung in der Regel auf deinem Server vornimmt, bleibt die IP-Adresse bei der Verarbeitung in deinem Einflussbereich. Damit entfällt ein für Google Analytics notwendiger Zwischenschritt zur Bereinigung vor der Analyse. Server-Side Tracking ist für dich mit Matomo also theoretisch nicht notwendig. Aber es kann eine Möglichkeit sein. Das würde aber hier den Rahmen des Artikels sprengen.
Darf Matomo ohne Einwilligung und ohne Cookie-Banner eingesetzt werden?
Die kurze Antwort in den allermeisten Fällen lautet: Ja!
Sofern die Konfiguration datensparsam gestaltet ist.
Und dann kommen auch schon wieder Einschränkungen.
Die wichtigste Einschränkung ist die Empfehlung deines Datenschutzbeauftragten (DSB) und seine Datenschutz-Folgenabschätzung (DSFA) für die Nutzung von Matomo ohne die Abfrage einer Zustimmung. Und es kommt auf die gewählten Einstellungen an, welche häufig die Einschätzung des DSB ebenfalls beeinflussen.
In weit über 80, teils sehr intensiven, Gesprächen mit Datenschutzbeauftragten im Rahmen des Matomo Onboarding kann ich sagen, dass in über 98 % aller Fälle der Einsatz von Matomo ohne Zustimmung eines Consent in der sogenannten Cookie-less Umsetzung bestätigt wurde.
Ich brauche diese Informationen als Workshop für meinen Datenschutzbeauftragten!
Welche Aspekte im Datenschutz müssen beachtet werden?
Anforderung der DSGVO und TDDDG
In Europa gilt seit Mai 2018 die Datenschutzgrundverordnung (DSGVO), welche im Dezember 2021 durch die Novellierung des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG, jetzt TDDDG) die Anforderungen an die Webanalytics erweiterte und eingeschränkte.
Letzteres betrifft speziell auch den Einsatz von Matomo für die Consent-freie Reichweitenanalyse und leider werden diese Anforderungen bei den allermeisten Matomo-Installationen nicht berücksichtigt. Während die DSGVO sich vorrangig auf den Schutz der Person, im Rahmen der Webanalyse also der Identifizierbarkeit einer Person, bezieht, adressiert das TTDSG die technischen Maßnahmen zur Identifizierung des Endgerätes und beinhaltet Vorgaben zum Consent-Banner.
Das TTDSG wurde im Mai 2024 in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) umbenannt. Inhaltlich hat sich dabei – soweit ich weiß – nichts für die Webanalyse relevantes geändert.
Natürlich ist das sehr vereinfacht dargestellt. Don‘t blame me :-)
Welche Einstellungen zum Datenschutz gibt es in Matomo?
Matomo hat drei unterschiedliche Bereiche, in denen die verschiedenen Einstellungen rund um den Datenschutz definiert werden.
Die Deaktivierung von Cookies sowie die Vorgaben zur TDDDG sind nur notwendig, wenn du Matomo ohne die Abfrage eines Consent, also Cookie-less, nutzen möchtest.
- Anonymisierung der IP-Adresse: Diese Einstellung befindet sich im Abschnitt "Privatsphäre" und dort bei "Daten anonymisieren". Dort findest du auch die Einstellungen zur Löschung von älteren Trackingdaten und könntest auch die Verwendung von Cookies deaktivieren. Das ist dann allerdings global für alle erfassten Webseiten und sollte eher nicht verwendet werden.
- Deaktivieren von Cookies: Wenn es nicht global deaktiviert ist, kannst du über das JavaScript-Snippet oder über die Konfiguration des Matomo-Tag-Managers die gewünschten Einstellungen festlegen. Denn hier solltest du auch entscheiden, ob du Matomo vielleicht in einem hybriden Modus nutzen möchtest. Lies dazu gerne "Was ist der hybride Tracking-Modus bei Matomo"
- Vorgaben für TDDDG: Diese Einstellung muss ebenfalls über den JavaScript-Code oder in der Variablen im Matomo-Tag-Manager aktiviert werden.
- Einstellung zu Do-not-Track: Diese Einstellungen findest du ebenfalls bei Privatsphäre und dort bei "Benutzer Opt-Out".
Einstellungen zur DSGVO: Maskierung der IP-Adresse
Im Rahmen der DSGVO ist in Matomo vorrangig die Einstellung der Anonymisierung der IP-Adresse zu berücksichtigen. In jedem Fall muss die IP-Adresse vor der Speicherung maskiert und damit unkenntlich gemacht werden. Die Frage ist allerdings, wie genau diese Maskierung erfolgen muss.
Bei den Matomo-Einstellungen im Screenshot siehst du, dass die Maskierung auf 2-Byte und die Verwendung der maskierten IP-Adresse für die Aufbereitung der Besuche als "empfohlen" markiert sind.
Kleiner Spoiler: Diese Einstellung ist in Hinsicht auf die Datenqualität nur akzeptabel, wenn die Datenerfassung mit Matomo erst nach Abfrage eines Consent gestartet wird. Wenn du Cookie-less - also ohne Cookie und ohne Abfrage einer Zustimmung vom Nutzer - die Reichweitenanalyse mit Matomo nutzen möchtest, ist diese Einstellung zu hinterfragen.
Was bedeutet Anonymisierung der IP-Adresse und welchen Einfluss haben die Einstellungen?
Nach meinem Kenntnisstand gibt es keine gesetzliche Vorgabe zur Stärke der Maskierung. Eine Pflicht auf Verwendung einer 2-Byte-Maskierung konnte mir jedenfalls bislang kein Datenschutzbeauftragter mit einem Gesetz oder einer ausdrücklichen Empfehlung der Datenschutzkonferenz oder aus einem Urteil belegen. Das wäre aus meiner Sicht auf die Datenqualität auch fatal. Warum?
Bei einer Maskierung auf 2-Byte entsteht ein Pool von über 65.000 IP-Adressen. Aufgrund der Struktur des Internets und der Vergabe von IP-Segmenten besteht eine sehr hohe Wahrscheinlichkeit, dass in diesem Pool Besucher aus diversen Ländern und von unterschiedlichen Kontinenten befinden.
Bei einer Maskierung auf 1-Byte ist der Pool auf 255 IP-Adressen reduziert. Das erhöht die Wahrscheinlichkeit, dass alle Endgeräte aus diesem IP-Segment zumindest aus einem Land kommen.
Die hier beschriebene Zugehörigkeit zu einem Land ist nur sinnbildlich zu verstehen - auch wenn es einen signifikanten Einfluss auf die Datenqualität und natürlich die Erkennung der Geo-Lokalisierung der Besucher hat.
Ob die Speicherung der IP-Adresse für die weitere Auswertung in Matomo auf 1-Byte oder auf 2-Byte maskiert erfolgt, ist meist irrelevant. Die Maskierung wird aber mit der zweiten Einstellung wichtig, denn wenn man bei der "Verwendung der maskierten IP-Adresse" die von Matomo für den Datenschutz empfohlene Option "Ja" verwendet, dann wird genau das gemacht: Die maskierte IP-Adresse wird für die Berechnung der Visit-ID verwendet. Siehe zur Visit-ID den Abschnitt "Wie Matomo funktioniert"
Bei der 2-Byte-Maskierung sind die enthaltenen IP-Segmente mit hoher Wahrscheinlichkeit weltweit bei unterschiedlichen Providern im Einsatz. Das führt dazu, dass eine Erkennung der Herkunft des Besuchers unmöglich wird und unter der Annahme, dass die Browserkennungen und die Spracheinstellungen sich nicht wesentlich unterscheiden, kann Matomo möglicherweise einen Besucher aus den USA oder einen aus England als ein und denselben Besucher "erkennen".
Natürlich kann dies auch bei der Maskierung auf 1-Byte passieren, aber hier wird dann zumindest die Geo-Lokalisierung besser. Wie das genau zusammenhängt, erkläre ich dir gerne im Onboarding-Workshop.
Welche Einstellungen zur IP-Maskierung empfiehlst du?
Eine verbindliche Empfehlung kann ich nicht aussprechen. Das obliegt deinem Datenschutzbeauftragten. Ich gebe hier nur meine Erfahrung aus sehr vielen Abstimmungen mit Datenschutzbeauftragten aus den Projekten wieder. Daraus haben sich die folgenden zwei Varianten als gängig herauskristallisiert:
Variante 1: Geringere Datenqualität, aber der sichere Weg
- IP-Maskierung: 1-Byte
- Verwendung der maskierten IP-Adresse zur Aufbereitung der Besuche: Ja
In diesem Fall wird die maskierte IP-Adresse, also die 192.168.10.X auch für die Erzeugung der Visit-ID verwendet. Das führt dazu, dass unterschiedliche Besucher mit den IP-Adressen 192.168.10.10, 192.168.10.18 oder 192.168.10.250 und mit identischem Webbrowser in Matomo zu einem Besuch zusammengefasst werden. Bei Anspruch auf ein höheres Datenschutzniveau kann diese Einstellung akzeptabel sein. Aber bitte in dieser Variante niemals auf 2-Byte-Maskierung setzen, denn das ist für die Besuchserkennung fatal und man sollte aus meiner Sicht, gerade bei größeren Webseiten, auf alle Metriken mit Bezug auf die Besuchserkennung, keinen Wert legen.
Variante 2: Höhere Datenqualität mit höherem Gefahrenpotenzial
- IP-Maskierung: 1-Byte oder auch 2-Byte
- Verwendung der maskierten IP-Adresse zur Aufbereitung der Besuche: Nein
In diesem Fall wird für die Aufbereitung der Visit-ID die vollständige IP-Adresse verwendet. Alle weiteren Details werden immer mit der maskierten IP-Adresse gespeichert. Eine Rückverfolgbarkeit eines Besuchers auf Basis der IP-Adresse ist bei dieser Variante ebenfalls ausgeschlossen. Daher tendieren viele Datenschutzbeauftragte auch zu dieser Lösung.
Einstellungen für Consent-freie Reichweitenanalyse
Die Maskierung der IP-Adresse ist grundsätzlich notwendig. Wenn du die Datenerfassung in Matomo ohne eine vorherige Einwilligung des Besuchers nutzen möchtest, musst du zusätzlich sicherstellen, dass Matomo keinen Cookie verwendet und dass keine Daten aus dem Endgerät für statistische Zwecke erfasst werden.
Beide Einstellungen müssen im Rahmen des Tracking-Snippets - im Fall der klassischen Integration - oder in der Konfigurationsvariablen des Matomo-Tag-Managers vorgenommen werden.
Im Matomo-Tag-Manager musst du in der zentralen Konfigurationsvariablen die beiden Einstellungen aktivieren:
- Cookies deaktivieren
- Erkennung der Browser-Funktionen deaktivieren
Wo und wie du das machen kannst, erfährst du in meinem Tutorial zum Matomo-Tag-Manager.
Wenn du nicht den Tag-Manager einsetzen möchtest, dann musst du in deinem JavaScript-Snippet die folgenden zwei Angaben vor der Zeile _paq.push(['trackPageView']); ergänzen:
_paq.push(['disableCookies']);
_paq.push(['disableBrowserFeatureDetection']);
Die erste Angabe deaktiviert die Verwendung von Cookies und die zweite Angabe deaktiviert die erweiterte Browser-Erkennung. Nur mit der zweiten Angabe ist deine Webseite wieder konform zu den Anforderungen der TDDDG!
Wie der Code aussieht, das zeigt dir Matomo in den Einstellungen im Bereich "Webseiten" und dort im Unterpunkt "Tracking-Code" an.
Was ist dieses Do-not-Track und muss ich das berücksichtigen?
Der Standard "Do-not-Track" (DNT) ist seit 2019 abgekündigt, das heißt, die Arbeitsgruppe im W3C – dem Gremium, das das Internet "am Laufen hält" – wurde aufgelöst und dieser Standard in den Vorgaben wurde als "nicht mehr zu berücksichtigen" eingestuft.
Soweit ich die Rechtsgrundlage verstehe, war die Berücksichtigung dieses Standards nie gesetzlich notwendig. Leider ist die Berücksichtigung des gesetzten DNT-Headers bei vielen Matomo-Installationen aufgrund der Empfehlung in den Einstellungen aktiviert. Google Analytics hat diesen Standard – soweit ich weiß – nie unterstützt. Man musste über den Google-Tag-Manager selbst eine Lösung schaffen, wenn man es unterstützen wollte.
Mein Tipp: Nach Rücksprache mit dem Datenschutzbeauftragten gehe in die Einstellungen, dann in der Navigation auf "Privatsphäre" und dort auf "Benutzer Opt-Out". Dort findest du am Ende des Dialogs die im Screenshot gezeigte Einstellung und deaktivierst diese.
Hintergrund von Do-not-Track
Bereits 2009 wurde von einer Arbeitsgruppe ein Standard entwickelt, der als „Do-not-Track“ eine Einstellung in Webbrowsern schaffen wollte, damit der Nutzer seinen ausdrücklichen Willen bekunden konnte, von der Generierung eines Persönlichkeitsprofils ausgeschlossen zu werden. Damit sollte allerdings nicht das „Measurement“, also die Reichweitenanalyse, unterbunden werden. Es ging um Profilbildung. Enttäuschenderweise hat sich dieser Standard nicht durchgesetzt, wurde missinterpretiert, durch Entscheidungen von Browser-Herstellern als Voreinstellung ohne Nachfrage beim Benutzer festgelegt und führte alles in allem dann 2019 zur Auflösung der Arbeitsgruppe und zur Abkündigung des Standards. Damit verlor die Welt eine gute Idee.
Interessant ist, dass das Wissen um die Abkündigung des Standards für die deutsche Rechtsprechung anscheinend irrelevant ist. Das Berliner Landgericht hatte in einem Verfahren der Verbraucherschutzzentrale gegen LinkedIn hierzu eine Entscheidung zu treffen. Nach meinem Nicht-Juristen-Verständnis ging es bei dem Urteil allerdings nicht darum, dass LinkedIn den DNT-Header berücksichtigen muss. Es ging wohl darum, dass LinkedIn nicht sagen darf, dass es diesen Standard nicht berücksichtigt. Aber ließ gerne selbst die Veröffentlichung auf der Website der VZBV.
Was muss ich in der Datenschutzerklärung beachten?
Die nachfolgende Formulierung soll als Anregung dienen und ist keine rechtsverbindliche Kopiervorlage!
Unsere Website verwendet Matomo, eine Open-Source-Webanalysesoftware, um das Nutzerverhalten zu analysieren und unser Angebot zu verbessern. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Matomo wird auf unseren eigenen Servern gehostet, sodass keine Daten an Dritte weitergegeben werden. Die IP-Adressen der Besucher werden anonymisiert, sodass keine Rückschlüsse auf Ihre Person möglich sind. Matomo verwendet für die Datenerfassung keine Cookies. Die Erkennung von Besuchen erfolgt auf Basis der (maskierten) IP-Adresse, der Browserkennung und der eingestellten Sprache. Wiederkehrenden Besucher können maximal innerhalb von 24 Stunden auf Basis, der zuvor genannten 3 Kriterien erkannt werden.
Diese Formulierung geht davon aus, dass du Matomo selbst auf deinen Servern betreibst. Ist dies nicht der Fall, muss das natürlich angepasst werden. Wenn du andere Formulierungen verwendest, achte bitte auf folgende typische Fallstricke:
- Gelegentlich wird auf die Datenschutzerklärung auf Matomo.org verwiesen und dass Matomo oder ggf. sogar Innocraft (dem Anbieter von Matomo) für die Datenverarbeitung zuständig ist. Das ist in den allermeisten Fällen falsch. Die Privacy Notice von Matomo.org wird niemals für dich gelten. Die Firma Innocraft wird deine Daten nur dann verarbeiten, wenn du die Matomo Cloud nutzt. In allen anderen Fällen wird Matomo vermutlich auf deinem Server laufen und somit bist auch nur du allein für die Datenverarbeitung verantwortlich. Es sei denn, du nutzt einen Anbieter von Matomo als Software as a Service. Dann ist natürlich dieser Anbieter der Datenverarbeiter.
- Sofern du Matomo als Consent-freie Reichweitenanalyse, also ohne Cookies, verwendest, solltest du auch darauf achten, dass du die "Verwendung von Cookies" nicht als Bestandteil der Erklärung beschreibst.
- Sofern du Matomo im hybriden Modus verwendest, solltest du natürlich auch auf die Verwendung der Cookies eingehen. Details hierzu stelle ich dir gerne im Rahmen des Matomo Onboarding zur Verfügung.