Connect Matomo ist das Plugin für alle, die Matomo bereits extern betreiben – zum Beispiel in der Matomo Cloud oder auf einem eigenen Server – und den Tracking-Code über WordPress einbinden wollen.
Datenschutzrechtlich ist Connect Matomo deutlich komplexer als das selbst gehostete Plugin Matomo Analytics: Jeder Seitenaufruf baut eine Verbindung zur externen Matomo-Instanz auf, Cookies werden im Standard gesetzt, und wer die Matomo Cloud nutzt, braucht zusätzlich einen Vertrag mit InnoCraft. Dieses Plugin gilt ausschließlich für Connect Matomo – wer Matomo direkt in WordPress installiert, nutzt stattdessen Matomo Analytics.
Überblick
Was ist Connect Matomo?
Connect Matomo (früher WP-Piwik) bindet den Tracking-Code einer bereits laufenden Matomo-Instanz in deine WordPress-Website ein und zeigt die Statistiken im WordPress-Dashboard an. Das Plugin selbst analysiert keine Daten – es stellt nur die Verbindung zwischen deiner Website und deiner Matomo-Instanz her, die du separat betreibst oder bei InnoCraft gemietet hast.
Connect Matomo – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟡 | Im Standard werden zustimmungspflichtige Tracking-Cookies gesetzt. Per Einstellung deaktivierbar. |
| Externe Verbindungen | 🔴 | Bei jedem Seitenaufruf baut das Plugin eine Verbindung zur externen Matomo-Instanz auf. Der Cookie-Banner muss diese Verbindung blockieren. |
| Datenschutzerklärung | 🔴 | Ein Eintrag in der Datenschutzerklärung ist immer erforderlich. |
| Drittlandtransfer | 🟡 | Bei Matomo Cloud werden Daten an InnoCraft in Neuseeland übertragen. Bei selbst gehosteten Instanzen hängt es vom Serverstandort ab. |
| Auftragsverarbeitung | 🟡 | Bei Matomo Cloud ist ein Vertrag mit InnoCraft erforderlich. Bei selbst gehosteten Instanzen auf eigenem Server entfällt er. |
| Benutzereingaben | 🟢 | Das Plugin verarbeitet selbst keine Benutzereingaben. |
Datenverarbeitung
Was passiert datenschutzrechtlich, wenn Connect Matomo aktiv ist?
Connect Matomo bindet bei jedem Seitenaufruf einen Tracking-Code von deiner externen Matomo-Instanz ein. Dieser Code läuft im Browser deiner Besucher und überträgt Informationen – aufgerufene Seite, Herkunft, Browser, Gerät und IP-Adresse – direkt an die Matomo-Instanz, die du konfiguriert hast. Das Entscheidende ist: Die Daten landen nicht auf deinem WordPress-Server, sondern auf dem Server, auf dem deine Matomo-Instanz läuft.
Wer Matomo in der Cloud bei InnoCraft betreibt, schickt die Besucherdaten an deren Server. Wer Matomo auf einem eigenen Server außerhalb von WordPress betreibt, schickt die Daten dorthin. Das Plugin selbst ist in beiden Fällen nur der Mittler – die datenschutzrechtlichen Pflichten entstehen durch den Zielserver, nicht durch das Plugin.
Im Standard setzt der Tracking-Code außerdem Cookies im Browser deiner Besucher, um wiederkehrende Besucher zu erkennen. Das ist der zweite relevante Datenschutzpunkt neben der externen Verbindung.
Cookies
Setzt Connect Matomo Cookies – und was muss ich damit tun?
Connect Matomo setzt im Standardbetrieb dieselben Tracking-Cookies wie jede andere Matomo-Installation: _pk_id speichert eine Besucher-ID für bis zu 13 Monate, _pk_ses erfasst die aktuelle Sitzung für 30 Minuten, und _pk_ref merkt sich, von welcher Seite der Besucher kam, für 6 Monate. Alle drei Cookies gelten als zustimmungspflichtig – dein Cookie-Banner muss sie blockieren, bis der Besucher zustimmt.
Du kannst die Cookies abschalten. In den Plugin-Einstellungen unter Tracking → Erweiterte Einstellungen gibt es die Option „Cookies deaktivieren“. Wenn du sie aktivierst, setzt das Plugin keine Tracking-Cookies mehr. Das Tracking selbst läuft dann über eine kurzlebige technische Kennung weiter, die sich nach spätestens 24 Stunden zurücksetzt. Einen Eintrag in der Datenschutzerklärung brauchst du aber in jedem Fall, weil die externe Matomo-Instanz weiterhin IP-Adressen und Gerätedaten verarbeitet.
Externe Verbindungen
Zu welchem Server baut Connect Matomo eine Verbindung auf?
Connect Matomo baut bei jedem Seitenaufruf eine Verbindung zur Matomo-Instanz auf, die du in den Plugin-Einstellungen hinterlegt hast. Bei Nutzung der Matomo Cloud ist das eine Adresse unter *.matomo.cloud, bei selbst gehosteten Instanzen die URL deines eigenen Servers. Diese Verbindung entsteht automatisch im Browser deiner Besucher, ohne dass sie etwas tun – deine Website funktioniert ohne sie weiterhin vollständig, das Tracking entfällt lediglich. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt.
Stelle sicher, dass dein Cookie-Banner Connect Matomo als eigenen Dienst kennt und den Tracking-Code erst nach Zustimmung freigibt. Viele Cookie-Banner-Plugins wie Borlabs Cookie, Real Cookie Banner oder Complianz bieten dafür fertige Matomo-Integrationen an.
Nutzt du Connect Matomo auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Connect Matomo gibt.
Benutzereingaben
Verarbeitet Connect Matomo Daten, die Besucher eingeben?
Connect Matomo verarbeitet selbst keine Daten, die Besucher auf deiner Website eingeben. Das Plugin beobachtet das Verhalten der Besucher, fragt aber keine Kontaktdaten oder andere persönliche Angaben ab.
Drittlandtransfer
Werden Besucherdaten durch Connect Matomo ins Ausland übertragen?
Das hängt davon ab, wo deine Matomo-Instanz läuft.
Bei Matomo Cloud überträgt das Plugin die Besucherdaten an InnoCraft, das Unternehmen hinter Matomo, das seinen Sitz in Neuseeland hat. Die EU-Kommission hat Neuseeland als sicheres Drittland anerkannt, die Datenübertragung ist also ohne zusätzliche Maßnahmen zulässig. Du musst diese Übertragung aber in deiner Datenschutzerklärung angeben.
Die eigentlichen Server der Matomo-Cloud stehen laut InnoCraft in Frankfurt und Dublin – Vertragspartner und Unternehmensstandort bleiben aber Neuseeland.
Bei einer selbst gehosteten Matomo-Instanz auf einem Server in der EU findet kein Drittlandtransfer statt. Steht dein Server außerhalb der EU, gelten die datenschutzrechtlichen Anforderungen für das jeweilige Land.
Auftragsverarbeitung
Brauche ich mit Connect Matomo einen Vertrag zur Auftragsverarbeitung?
Das hängt vom Betriebsmodell deiner Matomo-Instanz ab. Bei Matomo Cloud verarbeitet InnoCraft die Besucherdaten deiner Website auf seinen Servern – das ist Auftragsverarbeitung und erfordert einen Vertrag. InnoCraft stellt diesen Vertrag bereit: Er ist Bestandteil der Matomo-Cloud-Nutzungsbedingungen und gilt automatisch, sobald du einen Cloud-Account hast. Einen separaten Abschluss oder eine Unterschrift brauchst du nicht – der Vertrag ist über die Nutzungsbedingungen unter matomo.org/matomo-cloud-dpa/ einsehbar.
Bei einer selbst gehosteten Matomo-Instanz auf deinem eigenen Server brauchst du keinen Vertrag mit InnoCraft – die Daten verlassen deinen Server nicht. Je nachdem, bei welchem Hosting-Anbieter dein Matomo-Server läuft, wird aber ein Vertrag mit diesem Anbieter erforderlich sein.
Datenschutzerklärung
Muss Connect Matomo in die Datenschutzerklärung?
Connect Matomo muss in deine Datenschutzerklärung, weil das Plugin Besucherdaten an eine externe Instanz überträgt – unabhängig davon, ob Cookies aktiv sind oder nicht. Auch im cookiefreien Modus werden IP-Adressen und Gerätedaten an den Matomo-Server übertragen.
Folgende Angaben gehören in den Abschnitt deiner Datenschutzerklärung:
- Zweck: Analyse der Website-Nutzung und Besucherstatistik
- Rechtsgrundlage: Einwilligung (bei aktivierten Cookies und Tracking) oder berechtigtes Interesse (im cookiefreien Modus mit IP-Anonymisierung)
- Empfänger: InnoCraft Ltd., Wellington, Neuseeland (bei Matomo Cloud) – oder dein Hosting-Anbieter (bei selbst gehosteter Instanz)
- Drittlandtransfer: Neuseeland (bei Matomo Cloud) – Übermittlung auf Basis einer EU-Angemessenheitsentscheidung
- Speicherdauer: Abhängig von den Einstellungen in deiner Matomo-Instanz
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag gilt für die Nutzung von Matomo Cloud. Passe ihn bei selbst gehosteten Instanzen entsprechend an. Er ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung.
Matomo Analytics (Connect Matomo) – Website-Statistik
Diese Website nutzt Matomo Analytics über das Plugin Connect Matomo zur Analyse des Website-Traffics. Dabei werden bei jedem Seitenaufruf Daten wie aufgerufene Seiten, Herkunft des Besuchers, Browser- und Geräteinformationen sowie die IP-Adresse an die Matomo Cloud von InnoCraft Ltd., 7 Waterloo Quay, Wellington, Neuseeland übertragen und dort verarbeitet. Die IP-Adresse wird vor der Speicherung anonymisiert.
InnoCraft verarbeitet die Daten ausschließlich in unserem Auftrag auf Basis eines Vertrags zur Auftragsverarbeitung. Die Serverstandorte der Matomo Cloud befinden sich in der EU (Frankfurt, Dublin). Die Übermittlung von Daten an InnoCraft in Neuseeland erfolgt auf Grundlage einer Angemessenheitsentscheidung der EU-Kommission.
Rechtsgrundlage für die Datenverarbeitung ist deine Einwilligung. Du kannst der Datenerfassung jederzeit widersprechen, indem du den Opt-out-Link in dieser Datenschutzerklärung nutzt: [Opt-out-Link hier einfügen].
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Connect Matomo?
Eine direkte Alternative zu Connect Matomo, die denselben Zweck erfüllt, gibt es nicht – das Plugin ist der einzige offizielle Weg, eine externe Matomo-Instanz mit WordPress zu verbinden.
Wer die datenschutzrechtlichen Anforderungen durch externe Verbindungen und AVV vermeiden will, kann stattdessen auf das Matomo-Analytics-Plugin wechseln, das Matomo direkt in WordPress installiert und alle Daten lokal speichert. Das ist allerdings kein Wechsel des Plugins, sondern ein Wechsel des gesamten Betriebsmodells.
Fehler
Typische Datenschutzfehler bei Connect Matomo
Der häufigste Fehler: Der Cookie-Banner blockiert den Matomo-Tracking-Code nicht. Das Plugin baut die Verbindung zur externen Matomo-Instanz automatisch bei jedem Seitenaufruf auf – wenn der Cookie-Banner das nicht verhindert, läuft das Tracking ohne Zustimmung. Prüfe in deinem Cookie-Banner, ob Matomo als eigener Dienst eingetragen ist und ob der Tracking-Code erst nach Zustimmung geladen wird.
Ein weiterer Fehler, der häufig bei Matomo-Cloud-Nutzern auftritt: Die Datenschutzerklärung nennt Matomo, erwähnt aber nicht InnoCraft als Empfänger der Daten oder den Serverstandort. Beides gehört in die DSE, wenn du die Cloud-Variante nutzt.
Wer auf den cookiefreien Modus umstellt, vergisst manchmal, den Cookie-Banner anzupassen. Im cookiefreien Modus müssen keine Cookies mehr blockiert werden – die externe Verbindung zur Matomo-Instanz selbst muss der Cookie-Banner aber trotzdem noch kontrollieren, weil weiterhin Daten übertragen werden.
DSGVO-Check
Wie erkennst du, ob Connect Matomo auf deiner Website aktiv ist?
Connect Matomo verrät sich durch zwei Spuren: erstens durch Tracking-Cookies im Browser, zweitens durch Verbindungen zu deiner Matomo-Instanz beim Seitenaufruf. Im Standard erkennst du das Plugin an folgenden Cookies:
_pk_id– Matomo-Besucher-ID_pk_ses– Matomo-Session-Cookie_pk_ref– Matomo-Referrer-Cookie
Wenn du Matomo Cloud nutzt, erkennst du die externe Verbindung daran, dass deine Website Anfragen an eine Adresse unter *.matomo.cloud aufbaut. Das kannst du im Browser-Inspektor unter „Netzwerk“ prüfen oder über einen automatischen Datenschutz-Scan feststellen lassen. Wenn du eine selbst gehostete Matomo-Instanz betreibst, läuft die Verbindung zur URL deines eigenen Servers – das ist im Scan an der konfigurierten Tracking-URL erkennbar.
Quellen und weiterführende Links
- Connect Matomo – WordPress.org Plugin-Seite
- Matomo – offizielle Dokumentation (Knowledge Base)
- Matomo Cloud – Vertrag zur Auftragsverarbeitung (DPA)
- Matomo FAQ: Tracking-Code in WordPress einbinden
Hast du Connect Matomo auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Connect Matomo gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.