Ein Cookie weniger: Matomo cookiefrei betreiben. | Foto: Mike FlinznerEin Cookie weniger: Matomo cookiefrei betreiben. | Foto: Mike Flinzner

Tracking ohne Cookies: Wie du Matomo cookiefrei nutzt und ob das eine gute Idee ist [UPDATE]

Dieser Artikel wurde zuerst veröffentlicht am 09.12.2019 und zuletzt aktualisiert am 15.06.2020.

 

BITTE BEACHTEN: Ich bin keine Juristin und dieser Artikel ist keine Rechtsberatung! Er basiert auf praktischen Erfahrungen und viel Recherche zum Thema, kann jedoch keine individuelle rechtliche Beratung ersetzen. Für die Vollständigkeit oder Richtigkeit der Inhalte kann ich keine Haftung übernehmen.

Matomo ohne Cookies zu betreiben, ist ganz einfach. Ich erkläre dir in diesem Artikel, wie du die Cookies in Matomo deaktivierst. Und dann sprechen wir darüber, ob das eine gute Idee ist und was dann statt dessen auf deiner Website passiert.

Wie kann ich Cookies in Matomo deaktivieren?

Das geht tatsächlich ganz leicht, denn du musst dafür nur eine einzige Codezeile in deinem Tracking-Code ergänzen.

Wie das konkret geht, kommt wiederum darauf an, wie du Matomo in deine Website eingebaut hast. Was du am allerwenigsten dafür bemühen musst, ist dein Matomo-Dashboard. Denn darin kannst du die Cookies NICHT abschalten.

Cookies in Matomo deaktivieren ist leichter als Kaffeekochen. Und geht schneller. #matomo #cookies #cookiefrei Klick um zu Tweeten

1. NICHT im Matomo-Dashboard. Auch wenn es so aussieht.

Hier und da liest man den Hinweis, man brauche in Matomo nur unter „Erweiterte Einstellungen“ die Cookies deaktivieren. Das ist ein fataler Fehler, denn wenn man das tut – oder das, was danach aussieht – passiert rein gar nichts.

Ja, es gibt in der Matomo-Administration eine Checkbox „Alle Tracking-Cookies deaktivieren“. Die ist allerdings maximal gut versteckt: Wenn man über das Zahnrad-Symbol die Matomo-Administration aufruft und dort unter „Messgrößen“ den Eintrag „Tracking-Code“ wählt, gibt es unter der Überschrift „Erweitert“ einen kleinen, unscheinbaren Link „anzeigen“.

 

Matomo: Erweiterte Tracking-Einstellungen aktivieren

 

Sobald der aktiviert ist, erscheint die genannte Checkbox. Und wenn man sie anklickt, bekommt sie ein schönes grünes Häkchen. Das verändert aber einzig und allein eines: Die Anzeige des JavaScript-Tracking-Codes im darunterliegenden Fenster.

Das Häkchen verändert nur die Anzeige des Tracking-Codes. Mehr nicht.

Eigentlich nicht verkehrt, dass diese Box so gut versteckt ist, denn wer das Häkchen setzt, verändert nur die Anzeige des Codes – mehr nicht.

Wer also glaubt, mit dem Setzen des Häkchens alles erledigt zu haben, irrt. Das merkt man zum Beispiel, wenn man die Tracking-Code-Seite verlässt und dann noch einmal aufruft. Dann ist das Häkchen nämlich wieder verschwunden.

Zum Deaktivieren von Cookies in Matomo brauchst du alles, nur nicht das Matomo-Dashboard. #matomo #cookies #cookiefrei Klick um zu Tweeten

Um die Änderungen auch auf der betroffenen Website umzusetzen, muss aktiv der dort untergebrachte Code verändert werden. Und das geht entweder manuell oder zum Beispiel, auf WordPress-Seiten, über das für die Matomo-Einbindung verwendete Plugin. Für andere Content-Management-Systeme mag es noch andere Möglichkeiten geben, ich erkläre dir hier, wie es manuell oder mit den zwei gängigsten Matomo-Plugins für WordPress funktioniert.

2. Tracking-Code manuell anpassen

Wenn du den Matomo-Tracking-Code manuell in deine Website eingebaut hast oder irgendeine Lösung nutzt, in der du direkten Zugriff auf den Tracking-Code selbst hast, schnapp dir einfach den Code und kopiere VOR der Zeile

_paq.push(['trackPageView']);

die folgende Zeile hinein:

_paq.push(['disableCookies']);

Das war’s schon. Ehrlich.

3. Matomo in WordPress mit den Plugins WP-Matomo oder Matomo Analytics

Wenn du Matomo über das Plugin WP-Matomo (früher WP-Piwik) in deine WordPress-Seite eingebunden oder das Analytics-Tool sogar direkt über das Plugin Matomo Analytics installiert hast, ist die Umstellung bei Nutzung der Option „Standard-Tracking“ sogar mit nur einem Klick erledigt.

Cookies deaktivieren über das Plugin WP-Matomo

Zum Deaktivieren von Cookies musst du in den WordPress-Plugins WP-Matomo oder Matomo Analytics nur ein einziges Häkchen setzen.

Matomo funktioniert auch ohne Cookies. Aber macht es auch Sinn?

Einfach in den Plugin-Einstellungen unter dem Reiter „Tracking aktivieren“ im unteren Drittel ein Häkchen hinter „Cookies deaktivieren“ setzen, speichern – fertig! Das Plugin setzt die erforderliche Codezeile dann von selbst in den Tracking-Code.

Verwendest du das Plugin WP-Matomo mit der Option „Manuelle Eingabe“, gibt es diese Checkbox in deinen Einstellungen nicht. Dann musst du deinen Tracking-Code ebenfalls manuell ergänzen. Wie das geht, kannst du oben nachlesen.

4. Matomo in WordPress mit dem Plugin Matomo Tracking

Nutzt du zum Einbinden des Tracking-Codes das Plugin Matomo Tracking, funktioniert das Deaktivieren von Cookies genauso einfach, nur andersherum. Hier musst du das standardmäßig gesetzte Häkchen hinter „Enable cookies“ entfernen, um Matomo cookiefrei laufen zu lassen.

Cookies deaktivieren über das Plugin Matomo Tracking.

Um mithilfe des Plugins Matomo Tracking cookiefrei zu tracken, einfach das Häkchen hinter „Enable cookies“ entfernen und die Einstellungen speichern.

Ein Klick und fertig? Matomo cookiefrei zu setzen, ist eine Sache von zwei Minuten. Wenn man weiß, wie. #cookies #cookiefrei #matomo Klick um zu Tweeten

 

5. Achtung, Cache!

Falls du für deine WordPress-Website ein Caching-Plugin nutzt, solltest du nach der Umstellung unbedingt noch den Cache leeren. Sonst kann es passieren, dass du weiterhin Seiten mit dem alten Tracking-Code auslieferst. Und die setzen dann immer noch Cookies.

Wie erkenne ich, ob alles geklappt hat?

Am oben erläuterten Matomo-Dashboard-Häkchen siehst du schon: Es kann hilfreich sein, wenn man den Erfolg seiner Maßnahmen auch überprüfen kann. Wie findest du also heraus, ob du alles richtig gemacht hast und Matomo nun tatsächlich keine Cookies mehr setzt? Denn im Unterschied zu ihren leckeren analogen Namensvettern kann man digitale Cookies auf den ersten Blick nicht sehen.

Bei der Überprüfung deines Cookie-Status kann dir zum Beispiel dein Browser helfen. Du musst dich nur ein bisschen tiefer in seine Funktionen hineingraben. Der Chrome-Browser beispielsweise hat im Menü (findest du in der Regel hinter den drei Punkten ganz rechts neben der Adresszeile) unter „Weitere Tools“ die „Entwicklertools“ versteckt (Strg + Shift + I öffnet sie direkt). Darin findest du unter dem Reiter „Application“ in der linken Menüspalte den Eintrag „Cookies“. Darunter ist deine eigene Domain und ggf. – wenn du Third-Party-Cookies anderer Anbieter nutzt – sämtliche Domains aller weiteren Anbieter gelistet, die auf deiner Website Cookies setzen.
Ähnliche Funktionen hat auch die Developer Edition des Firefox Browsers.

Wenn du im Chrome in der linken Menüspalte deine Domain anklickst, werden möglicherweise rechts trotzdem noch Matomo-Cookies angezeigt. Das liegt im Zweifel daran, dass sie bereits vor dem Umstellen auf cookiefreies Tracking gesetzt wurden. Lade die entsprechende Seite dann noch einmal neu und schau, ob die Cookies verschwinden. Denn wenn du erfolgreich umgestellt hast, wird nicht nur das Setzen von Tracking-Cookies für die Zukunft verhindert, vorhandene Matomo-Tracking-Cookies werden auch gelöscht.

Wenn du nicht sicher bist, ob das, was du da siehst, Matomo-Cookies sind, hilft diese Liste aller von Matomo gesetzten Cookies. Als erster Tipp: Sie fangen (fast) immer mit _pk an (weil Matomo ja früher Piwik hieß). Mit Ausnahme von MATOMO_SESSID. Dieses Session-Cookie setzt Matomo auf der Seite, auf der du den Opt-out-Code eingebaut hast (also in der Regel in deiner Datenschutzerklärung), um das manuelle Opt-out aus dem Tracking (oder erneutes Opt-in) zu verarbeiten. Und wenn der Nutzer oder die Nutzerin sich für ein Opt-out entscheidet, setzt Matomo ein weiteres Cookie (_pk_ignore), um zu speichern, dass kein Tracking erfolgen soll.

Cookiefreies Tracking mit Matomo bedeutet nicht, dass Matomo keine Cookies setzt. #cookies #matomo #cookiefrei Klick um zu Tweeten

Moment mal, Matomo setzt Cookies, um das Tracking zu verhindern?

Ja, genau. An diesem Beispiel sieht man wunderbar, dass Cookie nicht gleich Cookie ist und bei weitem nicht alle Cookies als datensammelnde Tracking-Monster angesehen werden sollten. Deshalb darf auch ein weiteres Cookie bei cookiefreiem Tracking trotzdem bleiben: Der _pk_testcookie wird nämlich ausschließlich dafür verwendet, die Information zu speichern, ob der verwendete Browser in den Browsereinstellungen bereits das Setzen von Cookies untersagt oder nicht. Außerdem ist es ein reines Session-Cookie, das nach dem Schließen des Browsers wieder gelöscht wird. Merkwürdigerweise taucht das _pk_testcookie auf manchen cookiefrei getrackten Websites auf und auf anderen nicht – selbst bei sonst gänzlich identisch konfigurierten Matomo-Installationen. Wenn du einen Grund dafür weißt, freue ich mich über einen entsprechenden Hinweis, ich habe bislang keine Unterschiede finden können, die das erklären würden.

Nicht alle Cookies sind datensammelnde Tracking-Monster. Und nicht nur Cookies sammeln Daten. Klick um zu Tweeten

Aber wie gesagt: Da Session-Cookies, die sonst keine weiteren Daten speichern, auch datenschutzrechtlich kein Problem darstellen, darfst du dieses Cookie wohl gefahrlos ignorieren.

Ist ein Matomo ohne Cookies eine gute Idee?

Wenn ich Matomo ohne Cookies betreibe und auch sonst keine Cookies auf der Website habe, brauche ich also kein Cookie-Banner, oder?

Die kurze Antwort und gute Nachricht: Seit Juni 2020 und der Matomo-Version 3.13.6 nicht mehr, wie es scheint.

Wenn dich die genaueren Hintergründe interessieren, lies hier weiter.

Fangen wir mit der rechtlichen Einordnung an:

Matomo ohne Cookies – aus rechtlicher Sicht

Das EuGH hat in seinem vieldiskutierten Urteil vom 01. Oktober 2019 entschieden, dass für jedes Cookie, das nicht für den Betrieb einer Website nötig ist, eine aktive, explizite Einwilligung einzuholen ist. Und zwar, BEVOR das Cookie gesetzt wird. Ein lapidares Cookie-Banner, das Nutzer*innen darüber informiert, dass Cookies gesetzt werden, und bei Weiternutzung der Website ein Einverständnis voraussetzt, reicht nicht aus. Der BGH hat diese Entscheidung am 28.05.2020 für Deutschland bestätigt.

Die meisten Interpretationen dieser Urteile schließen auch Tracking-Cookies, also auch die von Matomo gesetzten Cookies, in diese Einwilligungspflicht mit ein.

An anderer Stelle wird die Frage der Einwilligung bei Tracking-Cookies von der Art der Cookies abhängig gemacht und vor allem zwischen First- und Third-Party-Cookies unterschieden.

Bislang kommen nämlich etwa die Datenschutzbehörden in Baden-Württemberg zu der Einschätzung, dass ein selbstgehosteter (!) Analytics-Dienst (Matomo ist hier als Beispiel explizit genannt), der keine Daten an Dritte schickt und lediglich anonymisierte/pseudonymisierte Benutzerdaten erfasst, keiner Einwilligung durch den Nutzer bedarf. Voraussetzung dafür ist allerdings, dass Matomo mit „datenschutzfreundlichen Voreinstellungen“ betrieben wird.

Nun kann man sich trefflich darüber streiten, wie genau „datenschutzfreundliche Voreinstellungen“ sich definieren. Und – im Rückgriff auf das EuGH-Urteil – was für Cookies für den Betrieb einer Website nötig sind. Ist die Analyse des Besucherverhaltens auf der eigenen Website, um diese auf Basis dieser Daten entsprechend zu optimieren, „erforderlich“? Diese Frage wird im Zweifel noch das ein oder andere Gericht beschäftigen, bevor wir dazu eine allgemein akzeptierte Einschätzung vorliegen haben.

Die IP-Adressen beim Tracking zu anonymisieren, sollte inzwischen selbstverständliche Praxis sein. Darüber hinaus lässt sich in Matomo, wie oben gesehen, auch der Einsatz von Tracking-Cookies deaktivieren. Und seit der Matomo-Version 3.13.6 vom 5. Juni 2020 kann man das auch endlich als besonders datenschutzfreundlich interpretieren – denn Matomo hat nun auch die Ersatz-Methode des Device Fingerprinting anonymisiert und zeitlich begrenzt. Wodurch es nicht dazu genutzt werden kann, einzelne Nutzer über mehrere Websites und längere Zeit hinweg zu verfolgen.

Was ist Device Fingerprinting?

Beim Aufruf einer Website werden automatisch Informationen über den Browser, das genutzte Betriebssystem und auch etwaige Do-Not-Track-Einstellungen abgerufen. Darüber hinaus lassen sich über JavaScript aber auch noch weitere Anfragen an den Browser stellen – zum Beispiel zu Standort-, Zeit- und Audio-Einstellungen, Bildschirmauflösung oder auch installierten Browser-Plugins. Daraus ergibt sich ein eindeutiger Geräte-Fingerabdruck, mit dem sich Besucher eindeutig identifizieren lassen.

Die Europäische Kommission bewertet beide Verfahren aus Datenschutzsicht grundsätzlich gleich. Matomo hat nun aber seine Fingerprinting-Mechanismen so konfiguriert, dass die Daten anonymisiert und außerdem alle 24 Stunden nach dem Zufallsprinzip verändert werden.

Matomo funktioniert auch ohne Tracking-Cookies. Aber auch ohne Einwilligung? #cookies #matomo #tracking #consent Klick um zu Tweeten

Brauche ich also auch ohne Cookies ein Cookie-Banner?

Der in Deutschland gängige Begriff des Cookie-Banners kann ein wenig in die Irre führen. Bezieht man ihn ausschließlich auf (nicht-funktionale) Cookies, wäre ja an dieser Stelle klar: Keine Cookies, kein Banner. Das Thema Device Fingerprinting zeigt aber, dass es auch technische Methoden abseits der Cookies gibt, für die man gegebenenfalls eine Einwilligung und damit ein „Cookie“-Banner – oder besser Einwilligungsbanner braucht.

Für Matomo gilt das aber nun nicht mehr. Zumindest laut Einschätzung von Matomo selbst ist mit der in Version 3.13.6 umgesetzten Änderung für den Einsatz von Matomo im cookiefreien Betrieb kein Einwilligungs-Banner mehr nötig. Und auch IT-Rechtsanwalt Thomas Schwenke kommt zu dem Ergebnis, dass man wohl beim Einsatz von Matomo ohne Cookies recht bedenkenlos auf einen Opt-in verzichten kann.

Matomo ohne Cookies aus Analytics-Sicht

Bleibt noch die Frage: Wie beeinflusst cookiefreies Tracking die Analytics-Daten?

Was man bei einem Umstieg auf cookieloses Tracking häufig feststellt, ist ein Rückgang der wiederkehrenden Besuche. Das ist nicht verwunderlich, denn ohne Cookies fällt es Matomo deutlich schwerer zu erkennen, ob ein Benutzer vorher schon einmal auf der Seite war. Wie Matomo selbst erläutert, ist das anhand der IP-Adresse oder anderer Kennzeichen in einigen Fällen trotzdem möglich, die Angaben sind aber deutlich ungenauer.

Auch andere an das Erfassen wiederkehrender Besuche gekoppelten Daten werden beim cookielosen Tracking nicht ausgeliefert, etwa die Tage seit dem letzten Besuch oder die Anzahl der Besuche bis zur Konversion beim Conversion Tracking.

Darüber hinaus zeigen sich die größten Ungenauigkeiten in der Zuordnung von Besucherquellen zu Konversionszielen oder Verkäufen. Wenn du Matomo für Conversion-Statistiken nutzt, um beispielsweise festzustellen, ob ein Newsletter die Empfänger zum Kauf eines Produktes oder zu einer anderen als Conversion/als Ziel festgelegten Aktion animiert, kann der Verzicht auf Cookies die Ergebnisse verfälschen. Denn wenn der Kauf nicht im direkten Zusammenhang mit dem Klick auf den Newsletterlink passiert, sondern zum Beispiel ein paar Stunden später über erneutes manuelles Eingeben der URL, kann Matomo ohne Cookies nicht mehr zuordnen, dass der Besucher vorher über den Newsletter gekommen ist und dieser möglicherweise der auslösende Faktor war.

Also: Weg mit dem Banner?

Matomo cookiefrei zu betreiben, ist also nach den erneuten Datenschutz-Anpassungen eine durchaus praxistaugliche Lösung fürs Tracking – sofern man nicht auf sehr genaue Analytics-Daten angewiesen ist oder spezielle E-Commerce- oder User-ID-Funktionen von Matomo nutzt, die wiederum mit Kundendaten verknüpft bzw. als personenbezogene Daten eingestuft werden.

Einfach die Cookies deaktivieren und damit auch das nervige Cookie-Banner loswerden. Prima.

Das gilt natürlich nur dann, wenn du nicht für andere Dienste doch noch Cookies einsetzt. Wenn doch, denk daran: Ein Cookie-Banner ist nur dann sinnvoll, wenn es auch eine aktive Entscheidungsmöglichkeit bietet. Ein reines Info-Banner mit einem einzigen „Ja, ok“-Button kannst du dir auch gleich sparen.

Und wenn nicht: Dann bist du dein Cookie-Banner endlich los. Darüber freuen sich deine Nutzer*innen vermutlich noch mehr als du.

Schluss mit dem Gekrümel: Matomo funktioniert auch cookiefrei. #matomo #analytics #cookies Klick um zu Tweeten

 

Blogartikel wie diesen nie wieder verpassen?

Mit dem contentIQ-Newsletter bleibst du immer auf dem Laufenden!

Bitte beachte vor dem Abonnieren die weiteren Informationen zum Newsletter sowie die Datenschutzhinweise.

 

 

 

KF/ciq

Übrigens: Ich freue mich über deine Fragen und Kommentare. Bitte beachte dabei aber, dass ich als Nicht-Juristin zu Rechtsfragen keine Einzelfallberatung durchführen kann und darf. Konkrete Fragen solltest du deshalb bitte mit einem spezialisierten Rechtsanwalt klären. Gerne nehme ich interessante allgemeine Fragestellungen als Anregungen für zukünftige Artikel oder Artikel-Aktualisierungen auf.

Dr. Katja Flinzner
7 Kommentare
  1. Avatar
    Tanja Richter sagte:

    Vielen Dank für diesen Beitrag! Er hat mir klar gemacht, wie ich mit dem MATOMO_SESSION-Cookie umgehen kann, der mich echt verunsichert hatte. Und jetzt lasse ich mir meine Kekse schmecken.
    Liebe Grüße
    Tanja

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Danke, das freut mich! Nein, wegen des MATOMO_SESSION-Cookies braucht man sich wirklich keine grauen Haare wachsen zu lassen ;-).

      Antworten
  2. Avatar
    Laurens sagte:

    Das Papier der Europäischen Kommission ist ja schon ein bisschen älter. Gibt es gerade aktuelle Gerichtsverhandlung, die über die Frage erörtern, ob Device Fingerprinting mit Cookies gleichzusetzen sind?

    Antworten
    • Dr. Katja Flinzner
      Dr. Katja Flinzner sagte:

      Hallo Laurens,

      von einer aktuellen Gerichtsverhandlung wüsste ich gerade nichts. Eine echte Antwort auf diese Frage werden wir wohl auch erst mit der ePrivacy-Verordnung bekommen.

      Liebe Grüße
      Katja

      Antworten
  3. Avatar
    Ralf sagte:

    Liebe Frau Flinzner,
    ihre Blogartikel haben mir bei der Umstellung von Google Analytics zu Matomo sehr weitergeholfen. Von der Einrichtung über technische Hintergründe, Fallstricke, bis hin zur rechtlichen Einschätzung einfach alles dabei. Top strukturiert und genau die Dinge und Hintergründe erklärt über die man beim Umstieg stolpert.
    Ganz herzliches Dankeschön für diese tollen, hochqualitativen Beiträge.
    Ralf

    Antworten

Trackbacks & Pingbacks

  1. […] würde z. B. keinen Unterschied machen, ob die Webanalysesoftware Matomo mit oder ohne Cookies (und stattdessen mit Fingerprinting), betrieben […]

Hinterlasse ein Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.