Matomo Analytics gilt als die datenschutzfreundlichste Alternative zu Google Analytics – und das stimmt in vielen Punkten. Alle Daten bleiben auf deinem eigenen Server, kein Anbieter bekommt Zugriff, kein AVV ist nötig. Trotzdem hat Matomo datenschutzrechtliche Pflichten, die du kennen solltest: Im Standardbetrieb setzt das Plugin Tracking-Cookies, die eine Einwilligung erfordern, und einen Eintrag in der Datenschutzerklärung brauchst du in jedem Fall.
Dieser Artikel gilt ausschließlich für das Plugin Matomo Analytics, das Matomo direkt in WordPress installiert. Wer Matomo bereits extern betreibt und nur per Plugin anbindet, nutzt stattdessen Connect Matomo – das ist datenschutzrechtlich ein anderer Fall.
Überblick
Was ist Matomo Analytics?
Matomo Analytics ist ein WordPress-Plugin, das dir zeigt, wer deine Website besucht, welche Seiten beliebt sind und woher die Besucher kommen. Anders als Google Analytics oder Matomo Connect läuft Matomo Analytics vollständig auf deinem eigenen Server – deine Daten gehen nicht an Matomo oder andere Dritte.
Matomo Analytics – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟡 | Im Standard werden Tracking-Cookies gesetzt, die eine Einwilligung erfordern. Per Einstellung lässt sich der Cookie-Einsatz vollständig deaktivieren. |
| Externe Verbindungen | 🟢 | Matomo baut im Frontend keine Verbindungen zu externen Servern auf. Tracking-Code und Daten bleiben auf deinem Server. |
| Datenschutzerklärung | 🔴 | Ein Eintrag in der Datenschutzerklärung ist immer erforderlich – unabhängig davon, ob du Cookies aktiviert hast oder nicht. |
| Drittlandtransfer | 🟢 | Kein Drittlandtransfer. Alle Daten liegen auf deinem eigenen Server. |
| Auftragsverarbeitung | 🟢 | Kein AVV nötig. Matomo (InnoCraft) erhält keinen Zugriff auf deine Besucherdaten. |
| Benutzereingaben | 🟢 | Matomo stellt selbst keine Eingabeformulare für Besucher bereit. |
Datenverarbeitung
Welche Daten erfasst Matomo Analytics auf deiner Website?
Matomo erfasst bei jedem Seitenaufruf Informationen über den Besucher: die IP-Adresse, den verwendeten Browser, das Betriebssystem, die aufgerufene Seite, die Uhrzeit und woher der Besucher kam. Aus diesen Daten berechnet Matomo, wie viele Menschen deine Website besuchen, welche Inhalte beliebt sind und wie sich Besucher durch die Seite bewegen.
Das Besondere an Matomo Analytics im Vergleich zu Matomo Connect: Alle diese Daten landen ausschließlich in deiner eigenen WordPress-Datenbank. Matomo (der Anbieter InnoCraft) sieht diese Daten nie. Du bist der Einzige, der darauf zugreifen kann. Damit ist Matomo datenschutzrechtlich einer von dir selbst betriebenen Statistiksoftware gleichzustellen – nicht einem externen Dienst.
Das Plugin bietet außerdem Einstellungen zum Schutz der Privatsphäre: Du kannst IP-Adressen anonymisieren lassen, Daten nach einer bestimmten Zeit automatisch löschen und festlegen, welche Seiten oder Benutzerrollen nicht getrackt werden sollen.
Cookies
Setzt Matomo Analytics Cookies – und brauche ich dafür einen Cookie-Banner?
Im Standardbetrieb setzt Matomo Analytics folgende Cookies auf dem Browser deiner Besucher:
_pk_id– speichert eine Besucher-ID, um wiederkehrende Besucher zu erkennen (Laufzeit: 13 Monate)_pk_ses– speichert, welche Seiten ein Besucher in einer Sitzung aufgerufen hat (Laufzeit: 30 Minuten)_pk_ref– speichert, von welcher Seite der Besucher zu dir gekommen ist (Laufzeit: 6 Monate)
Diese Cookies erfassen Daten über das Verhalten einzelner Besucher und gelten als zustimmungspflichtig. Das bedeutet: Dein Cookie-Banner muss diese Cookies blockieren, bis der Besucher zustimmt.
Du kannst die Cookies vollständig abschalten. In den Matomo-Einstellungen unter Datenschutz gibt es die Option „Tracking ohne Cookies erzwingen“ . Wenn du diese aktivierst, setzt Matomo keine Tracking-Cookies mehr. Das Plugin erkennt Besucher dann über eine kurzlebige technische Kennung, die nach spätestens 24 Stunden zurückgesetzt wird. In diesem Modus brauchst du keinen Cookie-Banner für Matomo – einen Eintrag in der Datenschutzerklärung brauchst du aber trotzdem, weil das Plugin weiterhin IP-Adressen und Gerätedaten verarbeitet.
Externe Verbindungen
Baut Matomo Analytics Verbindungen zu externen Servern auf?
Matomo Analytics baut beim Besuch deiner Website keine Verbindungen zu externen Servern auf. Der Tracking-Code läuft vollständig auf deinem eigenen Server, die Daten werden direkt in deine Datenbank geschrieben. Es werden keine Skripte von fremden Servern geladen und keine Daten an Matomo oder andere Dritte übertragen.
Die Geolokationsdatenbank, die Matomo nutzt, um den ungefähren Standort deiner Besucher zu bestimmen, wird einmalig beim Aktivieren des Plugins heruntergeladen und lokal gespeichert. Deine Besucher kommen damit nicht in Kontakt.
Nutzt du Matomo Analytics auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Matomo Analytics gibt.
Benutzereingaben
Verarbeitet Matomo Daten, die Besucher eingeben?
Matomo Analytics stellt selbst keine Formulare oder Eingabefelder für Besucher bereit. Das Plugin beobachtet das Verhalten der Besucher auf deiner Website, fragt aber keine Kontaktdaten, Namen oder andere persönliche Angaben ab.
Drittlandtransfer
Werden Besucherdaten durch Matomo ins Ausland übertragen?
Matomo Analytics überträgt keine Besucherdaten ins Ausland. Alle erfassten Daten bleiben in deiner WordPress-Datenbank auf deinem Hosting-Server. Matomo (InnoCraft) hat keinen Zugriff auf diese Daten, es findet keine Übertragung an den Anbieter statt.
Auftragsverarbeitung
Brauche ich mit InnoCraft einen Auftragsverarbeitungsvertrag?
Einen Vertrag zur Auftragsverarbeitung mit InnoCraft (dem Hersteller von Matomo) brauchst du nicht. Der Grund: Matomo Analytics läuft vollständig auf deinem eigenen Server, InnoCraft bekommt keinen Zugriff auf deine Besucherdaten. Es findet keine Datenübertragung an InnoCraft statt – damit gibt es keine Auftragsverarbeitung, für die ein Vertrag nötig wäre.
Das gilt ausdrücklich nur für das Matomo Analytics WordPress-Plugin in der selbst gehosteten Variante. Wer stattdessen Matomo Cloud nutzt, muss die Datenverarbeitung mit InnoCraft abklären – das ist aber ein anderes Plugin (Connect Matomo).
Datenschutzerklärung
Muss Matomo Analytics in die Datenschutzerklärung?
Matomo Analytics muss in deine Datenschutzerklärung, weil das Plugin Besucherdaten verarbeitet – unabhängig davon, ob du Cookies aktiviert hast oder nicht. Auch im cookiefreien Modus erfasst Matomo IP-Adressen und Geräteinformationen zur Analyse des Website-Traffics.
Folgende Angaben gehören in den Matomo-Abschnitt deiner Datenschutzerklärung:
- Zweck: Analyse der Website-Nutzung und Besucherstatistik
- Rechtsgrundlage: Einwilligung (bei aktivierten Cookies) oder berechtigtes Interesse (im cookiefreien Modus mit IP-Anonymisierung)
- Empfänger: Keine – alle Daten verbleiben auf deinem eigenen Server
- Drittlandtransfer: Keiner
- Speicherdauer: Abhängig von den Einstellungen zur automatischen Datenlöschung in Matomo
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Matomo Analytics – Website-Statistik
Diese Website nutzt Matomo Analytics, eine Open-Source-Software zur Analyse des Website-Traffics. Matomo wird auf unserem eigenen Server betrieben. Alle erfassten Daten – darunter aufgerufene Seiten, Herkunft der Besucher, Browser- und Gerätedaten sowie die IP-Adresse – werden ausschließlich in unserer eigenen Datenbank gespeichert. Eine Weitergabe an Dritte oder eine Übertragung ins Ausland findet nicht statt.
Die IP-Adresse wird vor der Speicherung anonymisiert. Rechtsgrundlage für die Datenverarbeitung ist unser berechtigtes Interesse an der Analyse und Verbesserung unseres Website-Angebots. Soweit Matomo-Cookies eingesetzt werden, erfolgt die Verarbeitung auf Grundlage deiner Einwilligung. Die erfassten Daten werden nach [X Monaten/Jahren] automatisch gelöscht. Du kannst der Datenerfassung durch Matomo jederzeit widersprechen, indem du den Opt-out-Link in dieser Datenschutzerklärung nutzt: [Opt-out-Shortcode hier einfügen].
Drittanbieter
Mit welchen anderen Diensten kann Matomo Analytics verbunden werden?
Matomo Analytics enthält eine direkte Unterstützung für Shop-Plugins: Wenn du WooCommerce, Easy Digital Downloads oder MemberPress auf deiner Website einsetzt, kann Matomo automatisch Kauf- und Bestelldaten erfassen. Diese Funktion lässt sich unter den Matomo-Einstellungen im Bereich E-Commerce deaktivieren.
Zusätzlich ist ein Tag-Manager in Matomo eingebaut. Mit diesem lassen sich weitere externe Dienste einbinden – zum Beispiel Werbe-Pixel oder andere Tracking-Tools. Diese Funktion ist standardmäßig aktiv, erzeugt aber nur dann externe Verbindungen, wenn du selbst dort etwas einrichtest.
Alle Dienste, die du über den Tag-Manager oder das E-Commerce-Tracking einbindest, haben eigene datenschutzrechtliche Anforderungen und benötigen separate Einträge in deiner Datenschutzerklärung.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Matomo Analytics?
Eine datenschutzfreundlichere Alternative, die denselben Funktionsumfang bietet, gibt es nicht. Matomo Analytics ist selbst bereits eine der datenschutzfreundlichsten verfügbaren Optionen: Daten bleiben lokal, kein AVV nötig, kein Drittlandtransfer, cookiefreier Betrieb möglich.
Wer weniger Daten erfassen möchte und auf detaillierte Auswertungen verzichten kann, findet mit Burst Statistics eine schlankere Alternative mit ähnlichen Datenschutzwerten. Für reine Besucherzahlen ohne jegliche personenbezogene Daten bietet sich Statify an – das Plugin setzt keine Cookies, speichert keine IP-Adressen und benötigt keine Datenschutzerklärung, liefert dafür aber auch nur sehr einfache Statistiken.
Fehler
Typische Datenschutzfehler bei Matomo Analytics
Der häufigste Fehler: Matomo ist aktiv und setzt Tracking-Cookies, aber der Cookie-Banner blockiert diese Cookies nicht. Das passiert, weil viele Cookie-Banner-Plugins Matomo nicht automatisch erkennen und entsprechend konfigurieren. Prüfe in deinem Cookie-Banner, ob Matomo als Dienst eingetragen ist und ob die Cookies _pk_id, _pk_ses und _pk_ref erst nach Zustimmung gesetzt werden dürfen.
Ein weiterer verbreiteter Fehler: Die Datenschutzerklärung erwähnt Matomo nicht oder enthält keinen Opt-out-Link. Matomo stellt einen Shortcode bereit, mit dem du einen Opt-out direkt in die Datenschutzerklärung einbauen kannst – das ist zwar nicht zwingend vorgeschrieben, aber empfehlenswert.
Wer auf den cookiefreien Modus umstellt, vergisst manchmal, den Cookie-Banner entsprechend anzupassen – Matomo muss dann dort nicht mehr als Cookie-Dienst aufgeführt werden, der Eintrag in der Datenschutzerklärung bleibt aber Pflicht.
DSGVO-Check
Wie erkennst du, ob Matomo Analytics auf deiner Website aktiv ist?
Matomo Analytics setzt im Standardbetrieb erkennbare Cookies auf dem Browser deiner Besucher. Du kannst im Browser-Inspektor oder in einem Cookie-Test nachsehen, ob folgende Cookies auf deiner Website gesetzt werden:
_pk_id– Matomo-Besucher-ID_pk_ses– Matomo-Session-Cookie_pk_ref– Matomo-Referrer-Cookie
Wenn du einen dieser Cookies vor einer Zustimmung im Cookie-Banner findest, ist Matomo aktiv und der Cookie-Banner blockiert die Cookies noch nicht korrekt. Ein automatischer Datenschutz-Scan zeigt dir zuverlässig, ob und wann diese Cookies auf deiner Website erscheinen.
Quellen und weiterführende Links
- Matomo Analytics – WordPress.org Plugin-Seite
- Matomo – offizielle Dokumentation (Knowledge Base)
- Matomo – Cookieless Tracking und Cookie-Banner
- Matomo – Consent-Tracking-Dokumentation
- InnoCraft – Datenschutzerklärung
Hast du Matomo Analytics auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Matomo Analytics gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.