Google Analytics vs. Matomo

Einleitung

Hinsichtlich der Erfassung von Nutzerinteraktionen auf der Webseite gibt es eine Vielzahl möglicher Tools. Diese können ein sehr unterschiedliches Niveau hinsichtlich ihrer Datenschutzfreundlichkeit aufweisen.
Einige Tools sind – zumindest in ihren Standardeinstellungen – umstritten. Andere sorgen schon „out of the box“ für ein hohes Datenschutzniveau.

Unabhängig vom eingesetzten Tool muss in nahezu allen Fällen eine sogenannte Consent-Abfrage vorgeschaltet werden. Die Erfahrung von Nutzerdaten darf erst nach entsprechender Zustimmung erfolgen.
Hinsichtlich der Einsetzbarkeit aller Tools müssen bestimmte Aspekte beachtet werden, um eine Risikominimierung zu erreichen.

Das Risiko lässt sich bei keinem Tool auf null senken. Auch müssen künftige Änderungen der regulatorischen Lage immer beachtet werden. Es lohnt sich hier gegebenenfalls ab einer gewissen Größe und Komplexität einen externen Datenschutzbeauftragten (das geht auch als Freiberufler, wie beispielsweise Lina bei greynoise) zu nutzen/beauftragen.

Google Analytics

Google stellt aktuell seine Analytics Lösung von Version 3 auf Version 4 um. Version 4 gilt aber zum aktuellen Zeitpunkt (Mai 2021) noch nicht als geeignet für einen produktiven Einsatz. Daher konzentriere ich mich hier auf Version 3 (GA3).

1. Vertrag zur Auftragsverarbeitung abschließen

2. Aufbewahrungsdauer der Daten festlegen

3. Empfohlene Standardeinstellungen anpassen

4. Einwilligung einholen

5. IP-Anonymisierung und ggf. Löschung von Altdaten

6. Datenschutzerklärung anpassen

1. Vertrag zur Auftragsdatenverarbeitung

Die aktuelle Einschätzung der Aufsichtsbehörden besagt, dass GA über eine Auftragsverarbeitung gemäß Art. 28 DSGVO nicht mehr zulässig ist. Zumindest, wenn GA mit von Google empfohlenen Standardeinstellungen betrieben wird.

In diesem Fall läge eine gemeinsame Verantwortlichkeit zwischen Google und dem Seitenbetreiber nach Art. 26 DSGVO vor. Achtung: Google bietet derzeit keine Vereinbarung an, die den Anforderungen des Art. 26 DSGVO gerecht wird.

Ein Einsatz von GA mit den empfohlenen Standardeinstellungen aktuell nicht zu empfehlen.

Die Einstellungen müssten also zwingend angepasst werden.

2. Aufbewahrungsdauer der Daten

Hinsichtlich Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) sollte die Aufbewahrungsdauer auf maximal 14 Monate begrenzt werden.

Das bedeutet aber auch, dass historische Vergleiche nicht in den eigentlichen Tools, sondern nur über Exporte, beispielsweise in Excel, möglich sein werden mittelfristig. Diese Exporte sind datenschutzkonform, da sie reine statistische Daten enthalten und keine personenbezogenen Daten.

Auch sollte man deaktivieren, dass die Speicherdauer sich bei neuer Aktivität verlängert.

3. Anpassung der Standardeinstellungen

Weitere Einstellungen beinhalten auch das Teilen von Daten mit Google. Diese sollten möglichst umfassend deaktiviert werden. Je weniger Freigaben erteilt sind, desto weniger besteht Anlass, Google und den Websitebetreiber als gemeinsam Verantwortliche nach Art. 26 DSGVO anzusehen.

Im Bereich Produktverknüpfungen bietet Google zwar gesonderte „Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google“ an, diese stellen keine Regelung nach Art. 26 DSGVO dar.

4. Einwilligung einholen

Die Einwilligung des Nutzers in die Erfassung seiner Daten und Aktivitäten auf der Webseite (der neudeutsch sogenannte „Consent“) ist essentiell. Kein Tracking in Richtung google Analytics sollte erfolgen, bevor der Nutzer eingewilligt hat.

Dies kann hinsichtlich der Auswertung von Marketingaktivitäten zu Herausforderungen und Schwierigkeiten führen. Denn wenn der Nutzer seine Einwilligung erst auf der zweiten (oder einer weiteren Folgeseite) erteilt, dann wäre die Information über den Marketingkanal, aus dem der Nutzer auf die Seite gekommen ist bereits verloren.

Ob man diese für wenige Seitenaufrufe/Klicks des Nutzers zwischenspeichern und nach der Einwilligung des Nutzers an Google (oder jedes andere Tracking-Tool) weitergeben darf ist eine umstrittene Grauzone. Eine strenge Auslegung der Vorschriften untersagt dies, eine liberalere Auslegung ermöglicht wenige Klicks/Seitenaufrufe als möglichen Zeitraum der Zwischenspeicherung.

Davon unabhängig ist die Frage, wie diese Speicherung erfolgen könnte, da hinsichtlich möglicherweise zu setzender Cookies (oder technisch vergleichbarer Alternativen) ebenfalls die Zustimmung des Nutzers notwendig sein kann.

Eine Einwilligung in die Nutzung von Google Analytics muss folgende Angaben enthalten:

• Eine eindeutige und klare Überschrift

• Beispielsweise: „Datenverarbeitung Ihrer Nutzungsdaten durch Google“

• Die Information, dass personenbezogene Daten zum Nutzerverhalten an Google übermittelt werden

• Information, um was für Daten es sich dabei genau handelt

• Information, dass die Verarbeitung im Wesentlichen durch Google erfolgt

• Information, ob die Daten mit Informationen aus anderen Quellen verknüpft werden können

• Information, ob die Daten in den USA gespeichert werden und ob staatliche Behörden Zugriff auf diese Daten haben könnten

• Die Einwilligung muss zudem folgende Anforderungen erfüllen:

• Es darf keine allumfassende Einwilligung in die Nutzung von Cookies gefordert werden

• Die Zustimmung muss eine aktive Handlung des Nutzers sein (keine vorangekreuzten Checkboxen)

• Die Einwilligung muss freiwillig sein, mit der Möglichkeit die Einwilligung zu verweigern

• Dem Nutzer dürfen keine Nachteile bei Nicht-Einwilligung entstehen (die Seite muss weiterhin vollumfänglich nutzbar sein)

• Es muss eine einfache, nutzerfreundliche technische Lösung für den Widerruf (bspw. per Consent-Tool) vorliegen

• Das Tracking darf erst aktiviert werden, nachdem der Nutzer eingewilligt hat

5. IP-Anonymisierung und ggf. Löschung von Altdaten

Wenn man Google Analytics nutzt, sollte man zwingend die Funktion IP-Maskierung („anonymizeIP“) nutzen. Unabhängig davon, ob man einen Tagmanager nutzt oder den Code direkt einbindet.

6. Datenschutzerklärung anpassen

Google Analytics muss in der Datenschutzerklärung zwingend aufgeführt werden. Unter Beachtung der Anforderungen muss der Datenschutzhinweis zu Google Analytics gemäß Art. 12 und 13 DSGVO folgende Informationen enthalten:

• Umfang der Datenerhebung

• Rechtsgrundlage

• Speicherdauer bzw. Kriterien für Festlegung der Dauer

• Hinweis auf das Widerrufsrecht und dessen Umsetzung

• Hinweis zu anonymizeIp

Vorteile Google Analytics

• Kostenfrei in der Nutzung

• Schnelle Einrichtung

• Einfache Nutzung in der Auswertung

Nachteile Google Analytics

• Möglich, dass Aufsichtsbehörden die Nutzung mittel- bis langfristig unterbinden

• Möglichkeit, des Vertrauensverlustes in die Marke aufgrund von Datenschutzbedenken

Fazit Google Analytics

Google Analytics ist, werden bestimmte Aspekte der Konfiguration beachtet, mit vergleichsweise geringem juristischem Risiko einsetzbar.
Allerdings sollte beachtet werden, dass die Außenwahrnehmung der Nutzung von Google Analytics ein Problem sein könnte. Hier ist eine Einschätzung notwendig, ob die eigene Zielgruppe damit ein Problem haben könnte.

Am Ende zeigt sich an Google Analytics, wie sehr die juristische Debatte hinsichtlich Webanalyse und Tracking in Bewegung ist. So ist man leider auch bei vollständiger Umsetzung der Empfehlungen nicht zwangsläufig auf der sicheren Seite.

Urteile oder Gesetzesänderungen können künftig weitere Anpassungen erforderlich machen.

Setzt man GA ein, so sollte man die Entwicklung engmaschig beobachten (oder durch einen externen Datenschutzbeauftragten beobachten lassen).

Matomo

Matomo (früher Piwik) ist ein webanalyse-Tool, dass im Funktionsumfang mit Google Analytics Version 3 vergleichbar ist. Einzig hinsichtlich der erweiterten eCommerce-Funktionalität liegt Matomo etwas hinter Google Analytics.

Matomo kann auf eigenen Servern betrieben werden und ermöglicht so und durch einfache Einstellungen einen (nach aktuellem Stand der Vorgaben) datenschutzkonformen Einsatz. Durch den Betrieb auf eigenen Servern erhöht sich die Komplexität des Betriebs etwas, allerdings ist aus Erfahrung die Einrichtung einfach und auch kostengünstig möglich.

Hinsichtlich der Verarbeitung der Daten ist man – im Gegensatz zu Google Analytics – im Bereich der Auftragsdatenverarbeitung durch den Betreiber des Servers, auf dem Matomo betrieben wird. Da hier keine eigene Verarbeitung der Daten durch den Serverbetreiber stattfindet gibt es nicht die Frage der gemeinsamen Verantwortung nach Art. 26 DSGVO.

Matomo kann technisch als reine Reichweitenmessung betrieben werden. Dabei fallen jedoch Informationen weg, die für Seitenbetreiber teilweise interessant/relevant sein können. Beispielsweise die Frag nach der Anzahl der Nutzer. Betreibt man eine reine Reichweitenmessung, so kann – nach aktuellem Stand – die Messung auch ohne Einwilligung der Nutzer erfolgen.

1. Vertrag zur Auftragsverarbeitung abschließen

2. Einwilligung einholen

3. IP-Anonymisierung

4. Datenschutzerklärung anpassen

1. Vertrag zur Auftragsdatenverarbeitung

Hinsichtlich des Serverbetreibers – und ggfs. hinsichtlich weiterer Personen, die im Auftrag die Datenauswertung übernehmen sollte ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen werden.

2. Einwilligung der Nutzer einholen

Wird Matomo standardmäßig betrieben (nicht nur als reine Reichweitenmessung) so ist auch hier die Einwilligung des Nutzers, idealerweise durch eine sogenannte Consent-Lösung, einzuholen.

3. IP-Anonymisierung

Analog zu Google Analytics lässt sich bei Matomo auch die IP-adresse des Nutzers anonymisieren, indem Teile der IP-Adresse verschleiert werden. Dies sollte zwingend erfolgen, wenn Matomo eingesetzt wird.

4. Anpassung der Datenschutzerklärung

Unabhängig von der Nutzung als Reichweitenmessung oder in der Standardkonfiguration

Vorteile Matomo

• Datenhaltung auf eigenem Server

• Daten werden nicht mit anderen Unternehmen (Google) geteilt

• Geringeres Datenschutzrisiko

• Größere Vertrauensbildung

• Höhere Zukunftssicherheit

• Geringerer Datenverlust durch sogenannte 1st Party Cookies und 1st Party Tracking Requests

• Das bedeutet, dass beispielsweise Firefox und Safari die Analyticsdaten nicht blockieren, weil das Tracking auf einen Server auf einer Subdomain der eigenen Domain läuft.

• Erweiterbarkeit um Funktionen außerhalb der Möglichkeiten von Google Analytics (kostenpflichtig)

Nachteile Matomo

• Kosten für Hosting und Betrieb

• Höherer Aufwand für Reporting/Dashboard

Fazit Matomo

Aus datenschutztechnischer Sicht liegt Matomo vorn. Auch hinsichtlich des Vertrauenseffekts bei datenschutzaffinen Nutzern gewinnt Matomo. Allerdings ist dies mit höheren Aufwänden hinsichtlich Setup, Betrieb und Wartung verbunden. Auch in der Auswertung (s.u.) liegt Google Analytics durch die Nutzung von Google Data Studio vorn.

Weitere Aspekte

Datenauswertung

Hinsichtlich der Auswertung der erhobenen Daten liegt der Vorteil insofern bei Google Analytics, dass Google mit dem sogenannten Data Studio eine gute Plattform besitzt Daten auszuwerten. Nach einem initialen Aufwand kann dieses Dashboard jederzeit in einer Art „self service“ genutzt werden.

Google Data Studio kann zwar auch andere Datenquellen darstellen, doch hinsichtlich der selbst gehosteten Variante von Matomo ist dies nur schwer umsetzbar. Für das Reporting bräuchte es hier eine andere Lösung. Diese wäre im initialen Aufwand vergleichbar mit GA – würde aber gegebenenfalls im laufenden „Betrieb“ Mehraufwände erzeugen.

Es empfiehlt sich jedoch generell die Datenauswertung so zu gestalten, dass neben der reinen Betrachtung der Daten auch eine Interpretation mit Handlungsempfehlungen gegeben wird. Gerade hinsichtlich SEO und Marketing. Dadurch wird der Vorsprung von Google Analytics & Google Data Studio wieder kleiner. Eine Beschäftigung mit den Daten wäre bei beiden Lösungen immer angeraten.

Vertrauenseigenschaften, Datenschutz und Consent

Es gibt unterschiedliche Nutzergruppen. Ein Teil der User ist hinsichtlich des Themas Datenschutz sensibilisiert und würde durch die Nutzung von Matomo positiv beeinflusst. Dies dürfte aber den geringeren Teil der Nutzer betreffen.

Ein relevanter Teil der Nutzer (je nach Zielgruppe und Region zwischen 35 – 60%) lehnt inzwischen Tracking bei Consent-Lösungen ab. Hier lohnt es sich Vergleichszahlen aus anderen Werkzeugen zum Vergleich dagegen zu legen (beispielsweise Klickzahlen aus Google AdSense und Einstiege durch Google AdSense im Vergleich).

Hinsichtlich Consent empfehle ich immer das kostenfreie und quelloffene klaro.js. Dies ist für Entwickler/Analysten einfach zu konfigurieren und lässt sich auch optisch an die Seite anpassen.

Fazit und Empfehlung

Persönlich würde ich auf Matomo als Lösung setzen. Auch wenn der Kostenfaktor hinsichtlich Analyse-Aufwand und ggfs. Hosting/Betrieb zu bedenken bleibt. Persönlich nutze ich Matomo und würde auf meiner eigenen Seite ungern zu Google Analytics greifen.

Ich kann verstehen, dass Google Analytics im ersten Moment (einfache Nutzung, vergleichsweise einfaches Reporting, kostenfreie Anwendung) charmant erscheint. Doch die Gefahren hinsichtlich Datenschutz und vor allem hinsichtlich der Frage, wie ein rechtssicherer Betrieb auch künftig sichergestellt werden kann.

Aktuell ist die Tendenz hinsichtlich Datenschutz eher so, dass die regulatorischen Anforderungen strenger werden.

Ich empfehle daher – trotz der Aufwände – Matomo und eine Reportinglösung, die Analyse und Handlungsempfehlung basierend auf den Daten einschließt.