Matomo wirkt auf den ersten Blick wie die einfache, datenschutzfreundliche Alternative zu großen Analyseplattformen. Ganz so pauschal stimmt das aber nicht: Matomo verarbeitet beim Tracking selbst Besucherdaten, kann Cookies setzen und hängt datenschutzrechtlich stark davon ab, ob du Matomo selbst hostest oder Matomo Cloud nutzt.
Überblick
Was ist Matomo?
Matomo ist ein Webanalyse-Tool für Websites. Du kannst damit sehen, wie viele Menschen deine Website besuchen, welche Seiten sie ansehen, woher sie kommen und welche Links oder Downloads sie anklicken. Matomo gibt es als selbstgehostete Lösung, als WordPress-Variante und als Cloud-Dienst.
Matomo und Datenschutz im Überblick
| Cookie-Banner | Matomo kann ein Cookie-Banner erforderlich machen, wenn du das normale JavaScript-Tracking mit Cookies nutzt. |
| Datenverarbeitung | Matomo verarbeitet beim Tracking Besucherdaten wie IP-Adresse, Seitenaufrufe, Referrer, Browserdaten, Klicks und Standortdaten. |
| Datenschutzerklärung | Matomo gehört in die Datenschutzerklärung, sobald du es für Besuchertracking einsetzt. |
| Drittlandtransfer | Ein Drittlandtransfer kann bei Matomo Cloud relevant werden. Bei selbst gehostetem Matomo hängt es von Hosting, Zusatzdiensten und Integrationen ab. |
| Auftragsverarbeitung | Ein Auftragsverarbeitungsvertrag ist bei Matomo Cloud relevant. Bei selbst gehostetem Matomo brauchst du keinen Vertrag mit Matomo selbst, aber eventuell mit deinem Hosting-Anbieter. |
Datenverarbeitung
Welche Besucherdaten verarbeitet Matomo?
Matomo verarbeitet beim Tracking personenbezogene oder zumindest personenbeziehbare Daten von Website-Besuchern. Dazu gehören technische Daten und Nutzungsdaten, mit denen du das Verhalten auf deiner Website auswertest.
- IP-Adresse
- Datum und Uhrzeit des Besuchs
- aufgerufene Seiten und Seitentitel
- Referrer, also die vorher besuchte Seite
- Browser-Sprache und Browserdaten
- Bildschirmauflösung
- Downloads und ausgehende Link-Klicks
- ungefähre Standortdaten
Wenn du zusätzliche Funktionen nutzt, kann Matomo noch mehr Daten verarbeiten. Das gilt zum Beispiel für User-ID-Tracking, benutzerdefinierte Auswertungen, E-Commerce-Tracking, Formularanalysen, Heatmaps, Sitzungsaufzeichnungen (Session Recordings), A/B-Tests oder den Matomo-Tag-Manager. Besonders bei Session Recordings und Formularanalysen solltest du genau festlegen, welche Inhalte Matomo erfassen darf.
Drittlandtransfer
Überträgt Matomo Daten in ein Drittland?
Matomo kann einen Drittlandtransfer auslösen, wenn du Matomo Cloud nutzt. Drittland bedeutet: ein Land außerhalb der Europäischen Union. Matomo Cloud wird von InnoCraft Ltd. in Neuseeland angeboten; die Cloud-Infrastruktur für EU-Daten liegt bei Amazon Web Services in Frankfurt, Backups liegen in Dublin. Der Anbieterbezug nach Neuseeland bleibt trotzdem wichtig.
Bei selbst gehostetem Matomo entsteht durch Matomo selbst kein Drittlandtransfer, solange du keine externe Cloud, kein Hosting außerhalb der Europäischen Union, keine externe Standortdatenbank, keine externe Schnittstelle und keine zusätzlichen Dienste über den Matomo-Tag-Manager einbindest. Dein Hosting und deine Zusatzdienste entscheiden dann, ob trotzdem Daten in ein Drittland fließen.
Cookie-Banner
Braucht Matomo einen Cookie-Banner?
Matomo braucht ein Cookie-Banner, wenn du Matomo mit Tracking-Cookies einsetzt und Besucher darüber wiedererkennst. Der normale JavaScript-Tracker von Matomo kann First-Party-Cookies setzen, also Cookies auf deiner eigenen Website. Diese Cookies helfen Matomo dabei, wiederkehrende Besucher zu erkennen und Statistiken genauer zu machen.
Matomo kann aber auch ohne Cookies laufen. Du kannst Matomo so einrichten, dass keine Matomo-Cookies gesetzt werden. Dann entfällt der Cookie-Teil, aber Matomo verarbeitet weiterhin Besucherdaten. Wichtig ist deshalb: Nicht der Name Matomo entscheidet über das Cookie-Banner, sondern deine konkrete Konfiguration.
Besonders aufmerksam musst du sein, wenn du Third-Party-Tracking-Cookies, User-ID-Funktionen, A/B-Tests, Heatmaps, Session Recordings oder den Matomo-Tag-Manager nutzt. Diese Funktionen können die Wiedererkennung und das Tracking deutlich erweitern.
Datenschutzerklärung
Muss Matomo in die Datenschutzerklärung?
Matomo muss in die Datenschutzerklärung, wenn du es auf deiner Website für Besuchertracking einsetzt. Das gilt auch dann, wenn du Matomo ohne Cookies nutzt, weil Matomo trotzdem Nutzungsdaten und technische Besucherdaten verarbeitet.
Die Datenschutzerklärung sollte erklären, dass du Matomo zur Reichweitenmessung und Website-Analyse einsetzt. Außerdem solltest du dort nennen, welche Daten Matomo verarbeitet, wofür du die Auswertung nutzt und ob du Matomo selbst hostest oder Matomo Cloud verwendest.
- Name des eingesetzten Dienstes: Matomo
- Zweck: Webanalyse, Reichweitenmessung und Verbesserung der Website
- verarbeitete Daten: IP-Adresse, Seitenaufrufe, Referrer, Browserdaten, Klicks und Standortdaten
- Cookie-Nutzung: je nach Einrichtung mit oder ohne Matomo-Cookies
- Anbieter und Speicherort: je nach Nutzung selbst gehostet oder Matomo Cloud
- Drittlandbezug: relevant bei Matomo Cloud oder externen Zusatzdiensten
- Auftragsverarbeitung: relevant bei Matomo Cloud und bei externem Hosting
Wenn du optionale Funktionen wie Heatmaps, Session Recordings, Formularanalysen, E-Commerce-Tracking oder A/B-Tests nutzt, musst du diese Nutzung ebenfalls in der Datenschutzerklärung abbilden. Diese Funktionen können deutlich näher am Verhalten einzelner Besucher liegen als eine einfache Seitenaufruf-Statistik.
Auftragsverarbeitung
Brauchst du für Matomo einen Auftragsverarbeitungsvertrag?
Für Matomo Cloud brauchst du einen Auftragsverarbeitungsvertrag mit InnoCraft Ltd., weil InnoCraft Ltd. personenbezogene Daten in deinem Auftrag verarbeitet. Matomo stellt dafür einen Data Processing Agreement bereit. Wenn du Matomo Cloud nutzt, solltest du diesen Vertrag abschließen und dokumentieren.
Bei selbst gehostetem Matomo brauchst du keinen Auftragsverarbeitungsvertrag mit Matomo oder InnoCraft nur wegen der Software. Dann läuft Matomo auf deinem eigenen Hosting oder Server. Relevant bleibt aber dein Hosting-Anbieter: Wenn dein Hoster Zugriff auf Serverdaten oder gespeicherte Matomo-Daten haben kann, brauchst du mit diesem Anbieter einen Auftragsverarbeitungsvertrag.
Wenn du über den Matomo-Tag-Manager zusätzliche Dienste einbindest, musst du diese Dienste getrennt ansehen. Matomo ist dann nicht automatisch der einzige datenschutzrelevante Anbieter auf deiner Website.
Stolperfallen
Typische Fehler bei Matomo
Matomo wird oft als automatisch datenschutzfreundlich verstanden. Der häufigste Fehler ist deshalb, Matomo einzubauen und die konkrete Einrichtung nicht mehr zu prüfen. Entscheidend ist aber, ob du Cookies nutzt, ob du Matomo Cloud verwendest und welche Zusatzfunktionen du aktivierst.
Ein weiterer Stolperstein ist cookieless Tracking. Wenn du Matomo ohne Cookies betreibst, heißt das nicht, dass keine Datenverarbeitung mehr stattfindet. Matomo misst weiterhin Seitenaufrufe, technische Daten und Nutzungsverhalten. Die Datenschutzerklärung bleibt also auch bei cookieless Tracking wichtig.
Besonders sensibel sind Heatmaps, Session Recordings und Formularanalysen. Diese Funktionen können zeigen, wie Besucher mit deiner Website interagieren. Wenn du solche Funktionen nutzt, musst du sehr genau verhindern, dass sensible Eingaben oder persönliche Inhalte unnötig erfasst werden.
Auch der Matomo-Tag-Manager kann zur Falle werden. Wenn du darüber andere Dienste einbindest, bewertet sich nicht mehr nur Matomo selbst. Dann können zusätzliche Cookies, externe Verbindungen, Drittlandtransfers und eigene Vertragspflichten entstehen.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
