Von Google Analytics zu Matomo wechseln

Immer mehr Datenschutzbehörden sehen den Einsatz von Google Analytics als Tracking-Tool kritisch und nicht mit der DSGVO vereinbar. Das bedeutet: Es drohen Bußgelder für kleine und mittelständische Unternehmen. Eine Alternative ist Matomo. Sie erfahren in diesem Beitrag, wie Sie Ihr Tracking von Google Analytics auf Matomo umstellen.

Was ist das Problem mit Google Analytics?

Google Analytics ist ein Tracking-Tool von Google und hat (aktuellen Schätzungen zufolge) weltweit einen Marktanteil von fast 80 Prozent. Ein Grund des großen Erfolges ist die kostenlose Nutzung für kleine und mittlere Websites und die sehr weitreichende Funktionalität zur detaillierten Vermessung des Nutzerverhaltens auf Webseiten. Google hat mit Google Analytics in Hinsicht auf Verbreitung und Funktionalität fast eine Monopolstellung.

Der Einsatz von Google Analytics ist in Hinsicht auf den Datenschutz allerdings sehr problematisch. Immer mehr Datenschutzbehörden der EU-Länder sowie auch der EU-Datenschutzbeauftragte sagen ganz klar: „Der Einsatz von Google Analytics ist mit den EU-Datenschutzstandards nicht vereinbar.“

Das Problem mit Google Analytics:

  • Personenbezogene Daten (vor allem IP-Adressen) werden in die USA übermittelt und gespeichert. Nach dem Ende des EU-US-Privacy Shield durch eine EuGH-Entscheidung (ausführlicher Artikel hier) ist ein angemessenes Datenschutzniveau in den USA nicht möglich, da die „US-Sicherheitsgesetze eine Massenüberwachung ermöglichen“. Damit ist die Datenübertragung von personenbezogenen Daten in die USA ein Verstoss gegen die DSGVO.
  • Die sehr weitgehenden Befugnisse der US-Geheimdienste in Hinsicht auf die Daten von in den USA ansässigen Unternehmen (damit auch Google) verhindern ein „angemessenes Datenschutz-Niveau“.
  • Europäische Datenschutzbehörden kündigen Bußgelder an, mit weiteren Entscheidungen der einzelnen Länder (u.a. NL) ist in 2022 zu rechnen.

Ein reines „einfach weiter einsetzen, wird schon gut gehen“ ist nun ein nicht unerhebliches Unternehmensrisiko und daher keine Option für kleine und mittelständische Unternehmen. Handeln Sie jetzt! Google Analytics sollte umgehend von der Website entfernt werden um Bußgelder der Datenschutzbehörden zu vermeiden.

Update 06.01.2022:

Der EU-Datenschutzbeauftragter Wojciech Wiewiórowski hat am 05. Januar 2022 eine Entscheidung veröffentlicht, dass der Einsatz von Google Analytics und des Zahlungsanbieters Stripe nicht mit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) vereinbar ist. Diese Aussage Wiewiórowskis ist eine der ersten Entscheidungen zur Umsetzung von „Schrems II“ in der Praxis und könnte für weitere Fälle wegweisend sein, die im Moment Gerichte und Regulierungsbehörden beschäftigen.

Interessant hierzu ist auch ein Urteil des Verwaltungsgerichts Wiesbaden, dass der staatlichen Hochschule RheinMain am 01.12.2021 den Einsatz eines Cookiebots zur Einholung von Einwilligungen der Nutzer für Cookies verbietet (siehe dazu u.a. „Deutsche Websites dürfen keine US-Cookies einsetzen„). Das Gericht bemängelt hier konkret, dass der Cookiebot die vollständige IP-Adresse auf einem Server verarbeitet, dessen Unternehmenszentrale sich in den USA befindet. Zwar übermittle nicht die Hochschule RheinMain selbst die Daten in die USA, sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle.

Auch die niederländische Datenschutzbehörde warnt davor, dass die Verwendung von Google Analytics möglicherweise bald nicht mehr erlaubt sei. Es ist davon auszugehen, dass auch andere EU-Datenschutzbehörden vergleichbare Entscheidungen fällen werden.

Was kann man als kleines oder mittelständischen Unternehmen nun machen?

Kurz zusammengefasst:

  1. Google Analytics kurzfristig von der eigenen Unternehmenswebsite entfernen.
  2. Eine Alternative finden, die rechtssicheres Tracking der Nutzer im Rahmen der DSGVO ermöglicht. Grundsätzlich sollte das Tracking auf einem Server in der EU erfolgen und es dürfen keine Daten in Nicht-EU-Länder fließen.

Das Entfernen von Google Analytics bedeutet nicht, dass Unternehmen nun vollständig auf das Tracking verzichten müssen. Es gibt einige Alternativen zu Google Analytics, darunter Matomo.

Was ist Matomo?

Matomo ist eine leistungsfähige Open Source-basierende Tracking-Software. Großen Wert legt Matomo auf „100% Besitz/Kontrolle der Daten“ und „Kompatibilität zur DGSVO“.

Unserer Ansicht nach ist Matomo die beste Alternative zu Google Analytics. Ein Betrieb auf einem eigenen Server ist ohne Probleme möglich, ebenso gibt es Plugins zur einfachen Anbindung an WordPress. Bestehende Daten aus Google Analytics lassen sich problemlos in Matomo importieren.

Darf ich Matomo ohne Cookie-Banner verwenden?

Die Datenschutzbehörde von Baden-Württemberg nennt in ihrem FAQ zu Cookies und Tracking (nachzulesen HIER) explizit Matomo als Beispiel für ein Analyse-Tool, dass ohne Einwilling der Nutzer verwendet werden kann. Voraussetzung ist, dass datenschutzfreundliche Voreinstellungen gewählt wurden.

Konkret bedeutet das:

  • Hosting von Matomo auf einem eigenen, lokalen Server.
  • Die IP-Anonymisierung von Matomo aktivieren.
  • Einen Eintrag zu Matomo in der Datenschutzerklärung vornehmen.
  • Ebenfalls in der Datenschutzerklärung einen Opt-Out-Code einbauen, über den ein Nutzer selbstständig das Tracking durch Matomo deaktivieren kann.

Zur Zeit (Stand: Februar 2022) gibt es keine 100%-Garantie für einen rechtssicheren Einsatz von Matomo ohne Cookie-Banner, die Hinweise einer deutschen Datenschutzbehörde zeigen allerdings eine klare Tendenz. Sofern Sie ganz sicher gehen wollen, wenden Sie sich bitte an einen spezialisierten Rechtsanwalt oder nutzen Sie einen entsprechenden Dienstleister wie z.B. unseren Partner e-recht24.de, mit dessen Hilfe auch dieser Beitrag entstanden ist.

Konkrete Tipps zur Umstellung von Google Analytics auf Matomo

Es gibt einige Dinge, die Sie bei der Nutzung von Matomo beachten sollten und die sich grundsätzlich von Google Analytics unterscheiden. Nachstehend beschreiben und erklären wir für Sie die wichtigsten Punkte.

1. Importieren von Google Analytics-Daten in Matomo

Sofern Sie bisher Google Analytics genutzt haben, werden Sie wahrscheinlich auch Ihre alten Daten „mitnehmen“ wollen. Ein Import ist grundsätzlich möglich, sollte allerdings von einem IT-Experten durchgeführt werden.

Zunächst einmal installieren Sie das Plugin Google Analytics Importer in Ihre Matomo-Installation. Das Plugin finden Sie unter Administration > Plattform > Marketplace.

Generell ist zu überlegen, ob der Aufwand für Ihre Website sinnvoll ist, gerade in Hinsicht auf die DSGVO, die ja nicht nur eine Datenminimierung fordert, sondern nach der auch strenge zeitliche Grenzen bei der Aufbewahrung von Daten gelten. Daher ist eine vollständige Schritt-für-Schritt-Anleitung für Export und Import Ihrer Daten nicht Schwerpunkt dieses Artikels, mehr Infos dazu finden u.a. hier direkt bei Matomo

2. Hosting von Matomo auf einem eigenen Server

Für den rechtssicheren Einsatz von Matomo empfiehlt sich unbedingt ein Hosting auf einem EU-Server. Sofern Sie bereits einen Webserver bei einem deutschen Hoster gemietet haben, sollte dort auch Matomo problemlos laufen, da die Voraussetzungen mit z.B. Apache und PHP überall erfüllt werden.

Für den Einsatz auf einem eigenen Webserver empfehlen wir:

  • Ein ausreichend dimensionierter Server, optimal ist ein performanter Dedicated Server. Preiswerte Shared Hosting-Server mit den üblichen Kampfpreisen wie „99 Domain und Server für €9,99 im Monat“ sind hier nicht geeignet.
  • Regelmäßige Wartung und zeitnahe Updates Ihrer Matomo-Installation, mindestens wöchentlich.
  • Verwenden Sie Ihr Admin-Konto (Hauptadminstrator) nicht für das Abfragen der Tracking-Daten, legen Sie dazu ein eingeschränktes Konto an (Rolle für Ansicht oder Schreiben).
  • Nutzen Sie immer die 2-Faktor-Authentifizierung (2FA) für die zusätzliche Sicherung Ihres Kontos! Einschalten lässt sich 2FA unter Administration > Persönlich > Sicherheit.
  • Für ein rechtssicheres Hosting mit Matomo sind verschiedene Einstellungen vorzunehmen, siehe dazu auch die nächsten Punkte hier.

Sofern Sie diesen Aufwand scheuen oder z.B. sich nicht mit 2FA auskennen, bieten wir Ihnen dazu ein entsprechendes Service-Paket an (weitere Infos dazu weiter unten).