Allgemeine Verunsicherung – wie nutzen staatliche Webseiten Matomo?
Der Status Quo
Fast eineinhalb Jahre sind seit dem Urteil des Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung vergangen und nach wie vor herrscht eine von Unsicherheit geprägte Vielfalt an Interpretationen, wie Tracking mit Matomo zum ausschließlichen Zweck der Analyse des Besuchsverhaltens auf der eigenen Webseite durchgeführt werden kann und vor allem durchgeführt werden darf.
Diese sogenannte Reichweitenmessung, über die das Urteil nicht befunden hatte, die jedoch durch den Cookie-Einsatz der Trackingtools betroffen ist, steht beim Matomo-Einsatz im Mittelpunkt der Beantwortung hinsichtlich der Kernfragen:
Ist sie in einem berechtigten Interesse und somit technisch-notwendig und daher nicht einwilligungspflichtig oder ist sie, weil sie durch ihre Art Daten aufzubereiten, in gewisser Hinsicht Besucher-Profile anlegt und die Besucher mit Fingerprints identifiziert, eine einwilligungspflichtige Angelegenheit?
Weder Gesetzgeber, bundesdeutsch oder europäisch, oder die Datenschutzbehörden haben diesen Sachverhalt präzisieren oder gar klären können. Gesetzgeber, die sich in ihren Arbeitsgruppen blockieren und die von Interessensgruppen wie Google und Facebook beeinflusst und gebremst werden und Entscheidungen nicht herbeiführen, hinterlassen im Netz ein Chaos, selbst bei jenen, für die Datenschutz Priorität hat.
Folgen sind Unsicherheiten, behaftet mit juristischen Risiken und nutzerunfreundlichen, intransparenten Cookie-Bannern und nicht zuletzt vor unlösbaren Rätseln stehende Webanalysten, die aus nebulösen Zahlen etwas belastbares an ihre Geschäftsführung oder Unternehmenskommunikations- und Marketing-Leitungen kommunizieren sollen.
Schaut man sich das bunte Treiben im Netz bei staatlichen Webseiten an, so wird das ganze Ausmaß des Durcheinanders sichtbar, ein Flickenteppich dezentralen Handelns.
Ich habe mir heute die 17 offiziellen Webseiten und Portale der Bundesländer und der Bundesregierung angesehen. Die meisten verwenden Matomo, Ausnahmen habe ich erwähnt. Mischformen im Vorgehen habe ich mehrfach gezählt.
Hier die Ergebnisse der Varianten, Stand 23.09.2021:
Reichweitenmessung gar nicht oder mit Logfiles
Reichweitenmessung nur nach Einwilligung ohne Cookies
- Diese Variante praktizierte niemand
Reichweitenmessung nur nach Einwilligung mit Cookies
- https://www.bayern.de*
- https://www.brandenburg.de**
- https://www.mecklenburg-vorpommern.de***
- https://thueringen.de
- https://www.bundesregierung.de
* Bayern fragte zwar explizit die Matomo-Tracking Einwilligung ab, es wurde zum Testzeitpunkt jedoch selbst bei Einwilligung nie ein Matomo-Request erzeugt. Ein Cookie von Matomo war vorhanden. Im HTML-Quellcode wurde die Matomo-Sessiondauer auf 0 sec gesetzt und die „requireConsent“-Anweisung blieb stets erhalten, was die Ursachen für dieses Verhalten sein könnten.
** Brandenburg verwendet einen Cookie-Banner, auf den man nur auf der Startseite stösst. Willigt man nicht in die Cookie-Nutzung ein, wird in Matomo ohne Cookies gearbeitet, weil der Cookie-Banner-Code diese sofort wegzulöschen scheint.
*** MV setzt die Software SiteImprove ein.
Reichweitenmessung ohne Einwilligung und ohne Cookies
- https://www.baden-wuerttemberg.de
- https://www.brandenburg.de*
- https://www.hamburg.de**
- https://www.niedersachsen.de
- https://www.land.nrw
- https://www.sachsen.de**
* Brandenburg arbeitet ohne Cookies, wenn man nicht einwilligt. Willigt man ein, werden Matomo-Cookies genutzt. Siehe oben.
** Hamburg und Sachsen setzen die Software eTracker ein. Hamburg setzt allerdings noch eine zweite Software ein, die mit Cookies und ohne Einwilligung arbeitet. Siehe unten.
Reichweitenmessung mit Cookies ohne Einwilligung
- https://www.berlin.de*
- https://www.bremen.de**
- https://www.hamburg.de***
- https://www.rlp.de
- https://www.saarland.de
- https://www.sachsen-anhalt.de
- https://www.schleswig-holstein.de
* Berlin verwendet Webtrekk und arbeitet mit einem Cookie, der nur für die Sessiondauer gültig sind.
** Bremen hatte ein von außen nicht restlos nachvollziehbares Verhalten. Es werden Matomo-Cookies geschrieben, jedoch gibt es einen Matomo-Tracking-Server, der die Cookies aber nicht gesendet bekommt.
*** Hamburg verwendet neben eTracker (siehe oben) noch eine Software „SZMnG der INFOnline GmbH“ zur Reichweitenmessung, die mehrere 30 Tage lang gültige Cookies setzt, unabhängig von der Auswahl in einem hochkomplexen Cookie-Banner.
Was nun, wie weiter?
Auf der Webseite FragDenStaat.de antwortete der Landesbeauftragter für den Datenschutz Sachsen-Anhalt vor exakt einem Jahr am 23.09.2020, dass in mehreren Aufsichtsbehörden eine koordinierte Prüfung der Webseiten von Medienunternehmen zum Einsatz von Tracking-Diensten durchgeführt wird. Im Rahmen dieser Prüfung wurde auch der Einsatz von Matomo
und ähnlichen Webanalysetools diskutiert. Diskussion und auch die Prüfung sind noch nicht abgeschlossen.
Antwort des Landesbeauftragten für den Datenschutz Sachsen-Anhalt auf eine Anfrage zum rechtssicheren Einsatz von Matomo vom 23.09.2020 auf FragDenStaat.de.
Auf der Seite Datenschutz-Generator.de verweist der Autor darauf, dass die Verbraucherzentrale, Klägerin im Fall des EuGH-Urteils, welches dem BGH-Urteil zu Grunde lag, Matomo ohne Einwilligung und ohne Cookies einsetzt:
Kann man sich daran orientieren?
Ist man juristisch risikoaffin, sollte man ohne Cookies arbeiten, kann aber auf eine Einwilligung verzichten. Für einen Einsatz mit Cookies und ohne Einwilligung zum Zwecke der Reichweitenmessung spricht, dass ein berechtigtes Interesse im Sinne der DSGVO vorliegt, so die Interpretation offensichtlich der Mehrheit der Datenschutzbeauftragten der Länderseiten.
Ob Sie überhaupt Cookies mit Matomo benötigen, hängt davon ab, was Sie in Matomo für Metriken auswerten wollen. Die Nachteile des Cookie-losen Arbeitens mit Matomo müssen nicht jeden betreffen und man kann getrost auf Cookies verzichten.
Aus der Praxis betrachtet halte ich diese Diskussionen bzgl. Matomo für Scheindebatten. Aus den in Matomo erhobenen Daten Rückschlüsse auf reale Menschen zu ziehen, ist ein Ding der praktischen Unmöglichkeit bzw. steht in keinem Verhältnis zu anderen zugänglichen oder praktizierbaren Methoden, wie z.B. einer Auswertung von Logdateien mit vollständigen IP-Adressen auf Webservern oder manipulativen Cookie-Bannern, die „wahre“ Überwachungstools aktivieren.
Wichtiger ist, dass Matomo datenschutzkonform betrieben wird und die allgemeingültigen Maßnahmen angewendet werden:
- Die IP-Adresse von Besuchern wird durch Matomo anonymisiert (mindestens die letzte Stelle, maximal zwei Stellen – 192.100.255.xxx oder 192.100.xxx.xxx)
- Die Standort-Ermittlung von Besuchern (Geo-Lokalisierung) ist deaktiviert oder erfolgt nur mit der anonymisierten IP-Adresse
- Das Tracking wird nicht Webseiten-Betreiber-übergreifend durchgeführt. D.h. in eine Matomo-Webseite bzw. Installation gehören nur die Besuchsdaten eines Webseiten-Betreibers. Somit sind keine Profile über mehrere Webseiten hinweg erstellbar.
- Kein Tracking von personenbezogenen Daten, die ein Besucher ggf. auf einer Webseite hinterlässt (bspw. Formular-Eingaben)
- Es steht eine Opt-Out-Möglichkeit vom Tracking auf der Datenschutz-Seite der Homepage zur Verfügung
- Die Datenschutzerklärung erläutert den Einsatz von Matomo
Ansonsten bleibt Ihnen nichts anderes übrig als abzuwarten, bis eine Klarstellung in Zukunft erfolgt und bis dahin selber zu entscheiden, welchen Weg Sie einschlagen.
Bei Fragen können Sie sich gerne zwecks einer Beratung an mich wenden.
Kundenstimmen aus meinen Projekten
Schreibe einen Kommentar