Matomo Cloud nur mit Einwilligung

Matomo Cloud – auch ohne Cookies nur mit Einwilligung

In diesem Beitrag erkläre ich am Beispiel der Matomo Cloud, warum ich der Auffassung bin, dass auch bei einem Einsatz von Analyseprodukten ohne Cookies, eine Einwilligung der betroffenen Nutzer erforderlich sein kann. Diese Sichtweise dürfte auch für diverse andere Analyseprodukte gelten, die Cookies durch alternative Techniken ersetzen.

Spätestens seitdem der deutsche Gesetzgeber Ende 2021 mit dem TTDSG* bei der Umsetzung der europäischen ePrivacy-Richtlinie nachgebessert hat, ist es für die Anbieter von Webseiten deutlich komplizierter geworden, auf Ihren Webseiten rechtskonform das Nutzungsverhalten der Besucher zu analysieren (Tracking). Die wachsende Anzahl mehr oder weniger kreativ gestalteter Cookie-Banner ist dabei nur eine der Auswirkungen. Manche Anbieter von Tracking-Lösungen bieten inzwischen Analyseprodukte an, bei denen keine Cookies mehr zum Einsatz kommen. Dabei wird der Standpunkt vertreten, dass damit eine rechtskonforme Nutzung ohne Einwilligung des Nutzers einer Webseite möglich ist. Ich habe mich beispielhaft näher mit der Lösung „Matomo Cloud“ des Anbieters Innocraft beschäftigt.

Was ist Tracking?

Tracking („Verfolgung“) bezeichnet im Onlinebereich alle Maßnahmen, mit denen das Nutzungsverhalten von Webseiten- oder App-Nutzern beobachtet, gespeichert und ausgewertet werden kann. Tracking befasst sich besonders mit der Erkennung und Wiedererkennung (Targeting, Retargeting) von Nutzern, wodurch sich das Nutzerverhalten teils über sehr lange Zeiträume beobachten lässt. Ein sehr bekanntes Produkt ist Google Analytics. Aber auch Produkte von diversen anderen Herstellern erfreuen sich einer zunehmenden Verbreitung, beispielsweise Adobe Analytics, etracker, Econda oder eben Matomo.

Zu den Zielen von Tracking gehören die Optimierung von Webseiten-Inhalten sowie dem sehr zielgerichteten und individualisierten Anzeigen von Werbung.

Was ist Matomo Cloud?

Matomo ist eine, auf Open-Source-Software basierende, Webanalyse-Software. Diese wurde bis Anfang 2018 unter dem Namen Piwik angeboten. Matomo kann auf einem selbst betriebenen Server-System eingesetzt werden. Daneben gibt es Software-as-a-Service-Angebote, bei denen ein Cloudanbieter den Betrieb der Software übernimmt und der Matomo Clouddienst nur noch in die eigene Webseite oder App eingebunden werden muss. Das ist meist mit nur wenigen technischen Handgriffen erledigt.

Matomo Cloud ist ein Cloud-Angebot des Unternehmen Innocraft Limited aus Neuseeland (6/150 Willis Street, Te Aro, Wellington 6011, Neuseeland). Innocraft wurde von Entwicklern von Matomo bzw. Piwik gegründet. Mit dieser Software-as-a-Service-Lösung müssen Anbieter von Webseiten oder Apps, die Matomo einsetzen möchten, keinen eigenen Matomo-Server mehr installieren und betreiben. Im Rahmen eines monatlichen Abo-Modells können Anbieter die fertige Cloud-Implementierung von Innocraft nutzen.

Was hat es mit den vielen Cookie-Bannern auf sich?

Wer kennt nicht die auf vielen Webseiten angezeigten Banner oder Fenster, mit denen dem Nutzer einer Webseite teils umfangreiche Einwilligungen abgerungen werden sollen? Hintergrund dieser „Cookie-Banner“ ist die bereits im Juli 2002 vom Europäischen Parlament und dem Europäischen Rat verabschiedete ePrivacy-Richtlinie. Mit dieser haben sich die EU-Mitgliedsstaaten darauf geeinigt, in ihren Ländern lokale gesetzliche Regelungen zum Datenschutz und zur Wahrung der Privatsphäre bei der elektronischen Kommunikation einzuführen.

Diese Richtlinie enthält unter anderem tiefgreifende Regelungen, inwieweit Anbieter auf die Endgeräte, die die Nutzer von elektronischer Kommunikation verwenden, zugreifen dürfen. Im Klartext ist damit gemeint, ob und unter welchen Rahmenbedingungen die Anbieter von Telekommunikationsdiensten, Webseiten oder Apps (Telemedien) auf die Telefone, Tablets, Notebooks und PCs (Endeinrichtungen, Endgeräte) ihrer Nutzer zugreifen dürfen.

Im Jahr 2009 wurde die Richtlinie überarbeitet. Die Version 2009 ist auch als Cookie-Richtlinie bekannt. Das Prinzip von EU-Richtlinien erfordert, dass die Mitgliedsstaaten die Inhalte der Richtlinien noch in ihr lokales Landesrecht umsetzen müssen. Viele Mitgliedsstaaten, so auch insbesondere die Bundesrepublik Deutschland (BRD), führen solche Umsetzungen oft viel zu spät und auch regelmäßig fehlerhaft durch. Daher hat der Europäische Gerichtshof immer wieder über mangelhafte Umsetzung in deutschen Gesetzen entscheiden müssen.

Die BRD hat zum 01.12.2021 mit dem neuen Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) einen weiteren Versuch unternommen, diese bereits seit 2002 bestehende Richtlinie europarechtskonform umzusetzen. Wer genau aufgepasst hat, könnte feststellen, dass seit diesem Zeitpunkt die Anzahl von Cookie-Banner sprunghaft in die Höhe geschossen ist.

Genug zur Rechtsgeschichte. Worum geht es jetzt genau?

§ 25 Abs. 1 TTDSG verpflichtet die Anbieter von Telekommunikation und Telemedien (einfacher: Telemedien = Anbieter von Webseiten und Apps) eine Zustimmung der Nutzer einzuholen, bevor diese Anbieter von den Endgeräten Daten auslesen oder Daten auf den Endgeräten speichern.

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
(§ 25 Abs. 1 Satz 1 TTDSG)

Hintergrund der vielen Cookie-Banner ist genau diese gesetzliche Regelung. Die Anbieter von Webseiten fordern die Nutzer mit dem Cookie-Banner auf, ihre Einwilligung zu Speicherung von Informationen auf ihrem Endgerät zu erteilen, oder zu erlauben, dass der Anbieter auf bereits gespeicherte Informationen zugreifen darf.

Was bedeutet „Speicherung von Informationen“ und „Zugriff auf Informationen“?

An dieser Stelle wird es Zeit das Missverständnis zu beseitigen, dass es sich bei dem Speichern und Lesen von Endgerätedaten nur um Cookies handelt.

Cookies sind Textinformationen, die im Browser und damit auf dem Endgerät des Nutzers gespeichert und von dort wieder ausgelesen werden können. (Weitere allgemeine Informationen zum Thema Cookie finden Sie beispielsweise in der deutschen Version der Wikipedia.)

Cookies sind eine sehr verbreitete Technik, die der Richtlinie 2009/136/EG sogar den Namen „Cookie-Richtlinie“ verschafft hat. Bei der Nutzung von Tracking kommt diese Technik traditionell auch oft zum Einsatz.

Moderne Browser oder auch Apps bieten aber längst weitere und effizientere Methoden an, um Daten auf dem Endgerät zu speichern und von diesem wieder auszulesen. Hierzu gehören unter anderem „Session-Storage“, Local-Storage“ (Web-Storage) oder der „Data-Layer“.

Warum geht es nicht nur um Cookies?

Die gesetzlichen Regelungen des TTDSG sind völlig unabhängig von der verwendeten Technik, mit dem Daten auf Endgeräten gespeichert oder von diesen ausgelesen werden. Der Begriff „Cookie“ ist noch nicht einmal Bestandteil des TTDSG. Auch in der sogenannten Cookie-Richtlinie gibt es den Begriff nur genau einmal in einer beispielhaften Darstellung in der Gesetzeserläuterungen (Erwägungsgrund 66).

Aus dem Wortlaut des Gesetzes ergibt sich, wann eine Einwilligung erforderlich ist. Und zwar bei der „Speicherung von Informationen in der Endeinrichtung des Endnutzers oder [dem] Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“ (§ 25 Abs. 1 Satz 1 TTDSG).

Der Gesetzgeber unterscheidet auch nicht, ob es sich bei diesen Informationen um personenbezogene oder „anonyme“ Informationen handeln muss. Damit sind alle Arten von Informationen umfasst.

Bei der Beurteilung, ob diese Regelung anwendbar ist, zählt daher, ob tatbestandlich Informationen in der Endeinrichtung (Endgerät des Nutzers) gespeichert werden und/oder auf Informationen zugegriffen wird, die bereits in der Endeinrichtung vorhanden (gespeichert) sind.

Damit ist auch der speichernde oder lesende Zugriff mittels anderer Techniken (Web-Storage, Data-Layer etc.) umfasst.

Welche Ausnahmen gib es?

Das TTDSG lässt zwei Ausnahmen von der Pflicht zur Einholung einer Einwilligung zu (§ 25 Abs. 2 TTDSG):

Ausnahme 1: Der (speichernde/lesende) Zugriff auf die Endeinrichtung dient der „Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz“

Ausnahme 2: Der (speichernde/lesende) Zugriff auf die Endeinrichtung ist „unbedingt erforderlich […], damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“
Für Tracking ist die Ausnahme 1 sachlich nicht anwendbar – Tracking dient nicht der Durchführung einer Nachrichtenübertragung.

Ausnahme 2 meint Zugriffe auf das Endgerät, die für eine gewünschte Funktion erforderlich sind. Ein beliebtes Beispiel ist ein Cookie, der in einem Onlineshop benötigt wird, um die vom Nutzer in einen Warenkorb gelegten Artikel zu speichern.

Ich gehe davon aus, dass die Durchführung von Nutzungs- und Verhaltensanalysen auf Webseiten (Tracking) kein vom Nutzer ausdrücklich gewünschter Dienst oder Funktion darstellt. Das bloße Besuchen einer Webseite dient allein dem Abruf von Informationen. Dies dürfte damit auch die zu unterstellende Absicht des Besuchers einer Webseite darstellen (im Sinn des Gewünschtseins).

Was genau macht Matomo Cloud auf dem Gerät des Nutzers?

Ich habe mir eine Implementierung von Matomo-Cloud näher angeschaut. Die Frage war: „Erfordert die Nutzung von Matomo Cloud auf der untersuchten Webseite ohne Einsatz von Cookies eine Einwilligung?“

Der Anbieter Innocraft wirbt bei seinem Analyse-Produkt Matomo damit, dass mit entsprechender Konfiguration keine Cookies zum Einsatz kommen und keine personenbezogenen Daten verarbeitet werden. Dann sei auch keine Einwilligung der Webseiten-Nutzer mehr erforderlich.

This means you can safely use Matomo without a consent mechanism as long as:

– The collected analytics data contains no personal data.
– The collected data is only used for analysis and no other purpose.
– The data is not shared or connected with data from other websites.
– You provide accurate information about your data collection in a privacy policy.

Matomo Webseite

Nachfolgend fasse ich die für die Beantwortung der Frage relevanten Hauptpunkte meiner Untersuchung zusammen:

Die Untersuchung wurde mithilfe der Software „Burp Suite Professional“ durchgeführt. Das Hauptwerkzeug ist ein sogenannter Interception-Proxy, mit dem der Datenverkehr zwischen Webbrowser und den Servern im Internet präzise mitverfolgt werden kann.

Beim Aufruf der Startseite der untersuchten Webseite wird in den Browser des Webseitenbesuchers ein Java-Skript (Skript) aus der Matomo Cloud geladen.

In der von mir untersuchten Implementierung von Matomo Cloud liest das durch den Anbieter eingebundene Matomo-Skript verschiedene Daten aus dem Endgerät des Nutzers der Webseite aus. Hier ist dies an einem Beispiel näher erklärt.

Die orange markierte Funktion liest die auf dem Endgerät eingestellte Uhrzeit sekundengenau aus.

Die ausgelesene Uhrzeit wird gemeinsam mit anderen ausgelesenen Daten für die Übermittlung an die Matomo Cloud vorbereitet und in eine Programm-Variable geschrieben. Hier im gelb markierten Bereich wird etwa die Stunde der aktuellen Endgeräte-Uhrzeit eingesetzt.

In dem oben gezeigten Mitschnitt der übermittelten Daten findet sich die von mir auf dem Endgerät bewusst falsch konfigurierte Uhrzeit wieder („h=11&m=9&s=44“ – also 11:09:44 Uhr).

Mit diesem mehrstufigen Vorgang wird somit die auf dem Endgerät gespeicherte Information „Uhrzeit“ durch das Skript ausgelesen und an Matomo Cloud übermittelt.

Welche Daten liest Matomo von dem Gerät des Nutzers?

Das Matomo Cloud Skript greift auch – je nach Besucherverhalten – weitere Daten ab. Besonders interessant finde ich, dass analysiert wird, auf welche externen Links ein Besucher auf der jeweiligen Webseite klickt. Wenn also auf der Webseite, die Matomo Cloud nutzt, ein externer Link aufgeführt wird (z. B. auf das Facebook-Profil des Anbieters), erhält der Anbieter die Information, wann ein Nutzer auf welchen Link geklickt hat – in diesem Beispiel somit das Facebook-Profil.

Interessant ist das insoweit, als dem Webseitenbetreiber diese Information ohne Cookies nur dann zugänglich ist, wenn diese aktiv aus dem Endgerät des Nutzers ausgelesen wird. Bei der von mir untersuchten Matomo Cloud Implementierung konnte ich dieses Verhalten präzise nachvollziehen. Für diesen Beitrag habe ich mich zum einfacheren Verständnis halber auf das Thema Uhrzeit als Beispiel beschränkt.

Matomo Cloud 1Welche Daten liest Matomo aus? – Auszug aus der Matomo-Webseite

Warum ist nun auch ohne Cookies eine Einwilligung erforderlich?

Die von mir untersuchte Matomo Cloud Implementierung speichert keine Cookies auf dem Endgerät des Nutzers. Stattdessen werden über ein zusätzlich eingebundenes Skript, welches im Browser des Nutzers ausgeführt wird, aktiv Daten vom Endgerät ausgelesen (z. B. Endgeräte-Uhrzeit, geklickte externe Links). Diese Daten werden an die Matomo Cloud gesendet. Über diese Daten würde der Anbieter der Webseite ohne Zugriff auf das Endgerät keine Kenntnis erhalten. Das Auslesen der Daten erfolgt allein zum Zweck der Analyse des Nutzungsverhaltens und unterliegt damit der Einwilligungspflicht gemäß § 25 Abs. 1 TTDSG. Die Ausnahmeregelung des Abs. 2 finden hier keine Anwendung.

Im TTDSG geht es nicht notwendigerweise nur um personenbezogene Daten. Es geht um den Zugriff auf das Endgerät des Nutzers. Lediglich in Bezug auf die Informationspflichten und die Anforderungen an eine wirksame Einwilligung verweist der Gesetzgeber auf die Regelungen DS-GVO.

Ich habe mich hier auf die Betrachtung des Zugriffs auf das Endgerät des Nutzers konzentriert (Anwendung des TTDSG). Darüber hinaus, also zusätzlich, sind die datenschutzrechtlichen Pflichten (DS-GVO) einzuhalten, wenn personenbezogene Daten verarbeitet werden. Auch hier ist gegebenenfalls eine rechtliche Grundlage (z. B. Einwilligung oder berechtigte Interessen) notwendig.

Häufig werden die Anforderungen des TTDSG und die der DS-GVO in einen Topf geworfen. Tatsächlich handelt es sich um zwei getrennte Pflichten mit Bezug zum Datenschutz und dem Schutz der Privatsphäre:

1. Speichern/Auslesen bzgl. des Endgeräts des Nutzers (TTDSG)
2. Verarbeitung der personenbezogenen Daten (DS-GVO und ggf. weitere Gesetze zum Datenschutz)

Entfällt bei der einen Rechtspflicht das Erfordernis einer Einwilligung, bedeutet das nicht, dass dies auch für die jeweils andere Rechtspflicht gilt.

Was sollten Anbieter jetzt beachten?

Anbieter von Webseiten sollten genau prüfen, welche Analyse-Techniken eingesetzt werden. Auf der rechtlich sicheren Seite sind Betreiber sicherlich, wenn die Besucher freiwillig eine informierte und widerrufliche Einwilligungserklärung für den Zugriff auf ihr Endgerät abgeben, sowie auch in Bezug auf die Verarbeitung ihrer personenbezogenen Daten.

Was bei einem Cookie-Banner genau zu beachten ist, habe ich in diesem Beitrag beschrieben.

Manchmal besteht der verständliche Bedarf, Unternehmenswebseiten und das Thema Einwilligung zu optimieren. Ich empfehle hier den Rat der jeweils passenden Experten einzuholen.

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.