Matomo datenschutzkonform betreiben – so geht’s ohne Cookie-Banner

Veröffentlicht am·Lesezeit: 20 Minuten
Julian Köhn

Mal ehrlich – Cookie-Banner nerven. Sowohl Website-Besucher als auch dich als Verantwortlichen (sei es als Datenschutzbeauftragter, Informationssicherheitsbeauftragter oder Entwickler) stören die ständig aufpoppenden Einwilligungsabfragen. Sie beeinträchtigen die User Experience und kosten Conversion-Rate. Gleichzeitig sind Web-Analyse-Daten aber wertvoll. Du möchtest nicht darauf verzichten, die Nutzung deiner Website zu verstehen – und Datenschutz sowie gesetzliche Vorgaben willst du natürlich einhalten. Die gute Nachricht: Es gibt einen Weg, Analytics datenschutzfreundlich umzusetzen, oft sogar ohne Cookie-Banner. In diesem Artikel zeige ich dir Schritt für Schritt, wie du Matomo – die Open-Source-Webanalyse und bekannte Google-Analytics-Alternative – so konfigurierst, dass sie ohne Einwilligungsbanner auskommt, und was du speziell in Deutschland beachten musst.

Wir sprechen dich dabei direkt an, denn das Thema betrifft dich persönlich in deiner Rolle: Als DSB oder ISB willst du gesetzeskonforme Tracking-Lösungen etablieren. Als Entwickler möchtest du technische Maßnahmen verstehen, um Privacy by Design umzusetzen. Am Ende erfährst du außerdem, wie du mit Kopexa den sicheren Matomo-Einsatz dokumentierst und nachweist, um gegenüber Auditoren jederzeit gewappnet zu sein.

Matomo ohne Cookie Banner
Setze Matomo ohne Cookie Banner ein.

Cookie-Banner sind ein Produkt der Rechtslage in der EU. Hintergrund sind das Datenschutzrecht (DSGVO) und spezielle Regelungen wie die ePrivacy-Richtlinie, die in Deutschland durch das TTDSG (§25) umgesetzt wurde. Während die DSGVO den Umgang mit personenbezogenen Daten regelt, schützt das TTDSG die Privatsphäre auf dem Endgerät – unabhängig davon, ob die gelesenen/gespeicherten Daten personenbezogen sind. Im Klartext: Schon das Speichern oder Auslesen von Informationen auf dem Gerät des Nutzers (z.B. durch Cookies oder Fingerprinting) bedarf einer Einwilligung, sofern es nicht „technisch notwendig“ für den Dienst ist. Tracking- und Analysedienste wie Google Analytics oder auch Matomo gelten nicht als technisch notwendig, daher braucht ihr Einsatz grundsätzlich eine vorherige informierte Einwilligung des Nutzers (Opt-in), z.B. via Cookie-Banner. Spätestens seit dem EuGH-Urteil Planet49 (2019) ist klar, dass nicht essenzielle Cookies nur mit Einwilligung gesetzt werden dürfen – die Geburt der heute allgegenwärtigen Cookie-Consent-Banner.

Ausnahmen bestätigen die Regel: In einigen EU-Ländern gibt es für anonymisierte Reichweitenmessung Ausnahmen von der Einwilligungspflicht. Zum Beispiel hat die französische Datenschutzbehörde CNIL bestimmte Bedingungen definiert, unter denen Webanalyse-Cookies einwilligungsfrei gesetzt werden dürfen. Erfüllt ein Tool alle Auflagen – u.a. IP-Anonymisierung, keine Personalisierung, keine Weitergabe der Daten, kurzer Speicherzeitraum, Opt-out-Möglichkeit – darf es ohne Banner eingesetzt werden. Tatsächlich hat die CNIL bestätigt, dass Matomo so konfiguriert werden kann, dass es unter diese Ausnahmeregel fällt. Auch in Italien, Spanien, den Niederlanden und anderen Ländern existieren ähnliche “Consent Exemption” Richtlinien für rein statistische, anonyme First-Party-Analytics.

Deutschland hingegen legt die Messlatte hoch an. Die deutschen Aufsichtsbehörden (Datenschutzkonferenz) haben in einer Orientierungshilfe klargestellt, dass nur völlig anonyme und rein interne Reichweitenmessungen ohne Einwilligung zulässig sind. Konkret heißt das: Es dürfen ausschließlich anonyme Statistiken ohne Profilbildung erstellt werden, kein Nutzer über mehrere Websites hinweg verfolgt werden und keine Weitergabe an Dritte erfolgen. Matomo erfüllt diese Voraussetzungen grundsätzlich am ehesten, wenn es datenschutzfreundlich konfiguriert wird – dazu gleich mehr. Allerdings warnen die deutschen Behörden, dass schon der Einsatz des Matomo-Standard-Trackers als JavaScript einen Zugriff auf das Endgerät darstellen kann (etwa das Auslesen von Bildschirmauflösung oder Gerätedaten) und damit unter §25 TTDSG fällt. So hat der Bundesdatenschutzbeauftragte (BfDI) in einem Prüfbericht 2023 einer Bundesbehörde den Matomo-Einsatz ohne Banner untersagt, weil das Tracking-Skript ohne Einwilligung z.B. die Bildschirmgröße ausgelesen hat – ein Verstoß gegen §25 TTDSG. Die Behörde wurde aufgefordert, entweder unverzüglich eine rechtskonforme Lösung umzusetzen oder Matomo abzuschalten.

Fazit: In Deutschland ist man mit Einwilligung auf der sicheren Seite. Wer ohne Banner tracken will, muss Matomo so restriktiv einstellen, dass keinerlei speicher- oder auslesepflichtige Aktionen am Endgerät stattfinden – oder auf eine andere Technik ausweichen.

Matomo als datenschutzfreundliche Alternative#

Matomo (früher Piwik) hat sich einen Namen gemacht als datenschutzfreundliche Web-Analytics-Plattform. Im Gegensatz zu Google Analytics hostest du (oder dein Dienstleister) Matomo selbst – somit gehört dir zu 100% die Datenhoheit. Alle Daten bleiben bei dir und können auf Servern in der EU gespeichert werden (z.B. On-Premise Hosting in Deutschland), was internationalen Datentransfer und Cloud-Risiken minimiert. Matomo ist Open-Source, der Code wurde von der Community geprüft und auf Sicherheits- sowie Datenschutzaspekte hin optimiert. Die Software wurde mit Privacy by Design im Hinterkopf entwickelt und kann so konfiguriert werden, dass sie selbst die strengsten Datenschutzgesetze einhält (GDPR/DSGVO, HIPAA, CCPA, LGPD, PECR etc.).

Ein wichtiger Unterschied zu Google: Matomo kann – richtig eingestellt – ohne Nutzer-Einwilligung betrieben werden. Google Analytics hingegen erfordert in Europa immer ein Opt-in, da Google die gesammelten Daten auch für eigene Zwecke (Profiling, Werbezwecke) nutzt. Zahlreiche Datenschutzbehörden haben Google Analytics daher als nicht GDPR-konform beurteilt (Österreichs DSB, die französische CNIL und andere erklärten den GA-Einsatz 2022 für rechtswidrig). Die Folge: Viele Organisationen – darunter öffentliche Stellen und Unternehmen in der EU – suchen nach Alternativen. Matomo wird hier oft empfohlen, weil es keine Daten an Dritte übermittelt, keine heimlichen Tracker von Werbenetzwerken enthält und sich vollständig anonymisieren lässt. So wirbt Matomo selbst damit, dass man damit „GDPR-compliant web analytics“ betreiben und die lästigen Cookie-Banner loswerden kann. Selbst die Europäische Kommission nutzt Matomo auf ihrer Website (statt GA) – ein starkes Signal pro Datenschutz.

Für dich bedeutet das: Mit Matomo kannst du Web-Analytics in eigener Kontrolle durchführen und dabei die Privatsphäre der Nutzer respektieren. Im nächsten Abschnitt schauen wir uns an, wie genau du Matomo konfigurieren musst, um tatsächlich ohne Einwilligungsbanner auszukommen – denn von Haus aus setzt auch Matomo erst einmal Cookies und sammelt Daten, die als personenbezogen gelten könnten.

Bevor wir ins Praktische einsteigen, lass uns kurz die Rechtslage sortieren, damit du einschätzen kannst, ob und wann du wirklich kein Banner brauchst. Grundsätzlich gilt EU-weit: Wenn dein Tracking auch nur irgendetwas auf dem User-Gerät speichert oder ausliest, brauchst du eine Einwilligung, außer es ist unbedingt erforderlich für den Service. In der Praxis heißt das: Verwendest du Cookies oder ähnliche Identifier fürs Tracking, kommst du um eine Opt-in-Lösung nicht herum. Wenn du jedoch gar nichts auf dem Endgerät speicherst (Stichwort cookie-less tracking) und zudem darauf achtest, keine persönlichen Daten der Nutzer zu verarbeiten, kannst du in einigen Ländern legal ohne vorheriges Opt-in tracken. Wichtig: Transparenz und Opt-out bleiben Pflicht – d.h. du brauchst nach wie vor eine Datenschutzerklärung mit vollständiger Info und eine Möglichkeit für Besucher, der Analyse zu widersprechen.

In Ländern wie Frankreich, Italien, Spanien, Niederlande: Dort erlauben die Behörden ausdrücklich Tracking ohne Consent, solange strenge Bedingungen eingehalten werden. Beispielsweise hat die CNIL ein Programm, in dem Tools wie Matomo bei Einhaltung aller Auflagen von der Consent-Pflicht ausgenommen sind. Zu den Auflagen gehören: IP-Adressen werden anonymisiert, es werden keine eindeutig wiedererkennbaren IDs gespeichert (weder in Cookies noch sonstwo), keine Daten werden für andere Zwecke (Werbung, Profiling) genutzt, es gibt nur aggregierte Berichte, und die Nutzer werden informiert und können opt-outen. In Frankreich darf Matomo unter diesen Bedingungen sogar mit einem kurzen Analytics-Cookie betrieben werden, solange dessen Lebensdauer auf 13 Monate begrenzt ist und die Daten nach spätestens 25 Monaten gelöscht werden. Kurzum: In vielen EU-Ländern kannst du mit einem anonymisierten Matomo + Hinweis in der Datenschutzerklärung auf das nervige Banner verzichten.

In Deutschland ist die Situation strenger und leider etwas uneinheitlich interpretiert. Die konservative Haltung (BfDI und einige Landes-Datenschützer) sagt: Ohne Einwilligung geht es nur mit rein serverseitiger Analyse, z.B. über Logfiles, da hierbei kein §25 TTDSG (kein Endgeräte-Zugriff) greift. Sobald du JavaScript auf der Seite nutzt, das Daten über den Browser sammelt – selbst wenn keine Cookies gesetzt werden – sehen sie einen Endgerätezugriff und pochen auf Consent. Das heißt, streng genommen müsstest du in Deutschland auch bei einem “cookie-losen” Matomo-Tracking ein Banner zeigen, solange der Tracker im Browser läuft.

Allerdings gibt es auch die Auffassung der DSK (Zusammenschluss der Landes-Datenschutzbehörden), dass anonymisierte, lokal betriebene Reichweitenmessung zulässig sein kann, sofern wirklich keine personenbezogenen Profile entstehen und nichts an Dritte geht. Die DSK nennt nicht explizit Matomo, aber beschreibt im Prinzip genau unser Setup: Nur anonyme Statistiken, nur First-Party und idealerweise mittels Server-Log-Analyse. In der Praxis handhaben es viele deutsche Websites inzwischen so: Sie setzen Matomo ohne Cookies, mit IP-Anonymisierung etc. ein, blenden kein Banner ein, informieren aber in der Datenschutzerklärung. Das ist eine Art Grauzone – risikobewusste Organisationen holen sich dazu eine juristische Einschätzung ein. Denn wenn eine Behörde es prüft, kann es Diskussionen geben, ob wirklich kein TTDSG-relevanter Zugriff erfolgt.

Unser Tipp: Willst du in Deutschland 100% sicher gehen, verzichte auf clientseitiges Tracking und nutze Matomo stattdessen als Logfile-Analysator. Matomo bietet eine Log-Analytics-Funktion, die Webserver-Logs (mit anonymisierten IPs) auswertet. Dabei wird nichts im Browser des Nutzers ausgeführt, womit §25 TTDSG außen vor bleibt. Du erhältst dann zwar nicht ganz so umfangreiche Daten (keine Screen-Auflösung, keine Klick-Events etc.), aber Basis-Statistiken über Seitenaufrufe, Referrer usw. sind drin – und das komplett ohne Bannerpflicht in DE. Wenn du hingegen den normalen Matomo JS-Tracker einsetzt, solltest du strengste Privacy-Einstellungen wählen (siehe unten) und zumindest ein Opt-out anbieten. Beachte: Die Rechtslage entwickelt sich weiter, halte dich über aktuelle Behördengutachten und Urteile am besten auf dem Laufenden. Im Zweifel konsultiere deinen Datenschutz-legal Advisor – das empfiehlt übrigens auch Matomo selbst so.

Kommen wir zum praktischen Teil: Wie konfiguriere ich Matomo so, dass es datenschutzkonform ist und (möglichst) kein Cookie-Banner erfordert? Matomo bringt von Haus aus zahlreiche Privacy-Einstellungen mit, du musst sie nur aktivieren. Hier eine Schritt-für-Schritt-Anleitung, was du tun solltest:

  1. Matomo-Cookies deaktivieren: Standardmäßig verwendet Matomo First-Party-Cookies, um wiederkehrende Besucher wiederzuerkennen und bestimmte Infos (Besuchs-ID, Session) zu speichern. Diese Cookies sind nicht „essenziell“ und würden eine Einwilligung erfordern. Du solltest sie daher abschalten. Glücklicherweise geht das sehr einfach: Füge in den Tracking-Code vor dem Aufruf von trackPageView den Befehl disableCookies ein. Wenn du Matomo via Tag Manager oder WordPress nutzt, gibt es dort entsprechende Checkboxen “Disable cookies”. Danach setzt Matomo keine Analytics-Cookies mehr – damit werden keine personenbezogenen Daten mehr in Cookies gespeichert. Beachte: Matomo legt evtl. noch notwendige Cookies für seine eigene Funktion an, z.B. einen Session-Nonce für das Opt-out-Formular oder einen Testcookie, der sofort wieder gelöscht wird. Diese gelten als technisch erforderlich und sind zulässig. Wichtiger ist: Deine Besucher erhalten keine Tracking-Cookies mehr, die sie identifizieren könnten.
  2. IP-Adressen anonymisieren: Die IP-Adresse des Nutzers gilt in der EU als personenbezogenes Datum, denn sie lässt (theoretisch) Rückschlüsse auf die Person zu. Matomo bietet eine eingebaute Funktion zur IP-Anonymisierung. Aktiviere sie in den Privacy-Einstellungen von Matomo und stelle ein, dass mindestens 2 Bytes der IP maskiert werden (besser 3 Bytes, oder sogar die ganze IP). Konkret würde z.B. aus 192.168.100.123 dann 192.168.xxx.xxx. Damit ist die gespeicherte IP nicht mehr eindeutig zuzuordnen. Wichtig: Diese Einstellung ist Pflicht, wenn du in Europa datenschutzkonform tracken willst. Ohne IP-Anonymisierung könntest du kein „berechtigtes Interesse“ am Tracking geltend machen, da du volle personenbezogene Daten hättest. Mit Anonymisierung wird das Risiko stark reduziert.
  3. Referrer und URL-Parameter anonymisieren: Oft werden beim Wechsel von einer Seite zur anderen im Referrer-URL oder in Tracking-Parametern persönliche Daten übertragen, z.B. ein Nutzername, eine Kundennummer oder Ähnliches (man denke an Facebook-Click-IDs, Session-Token in URLs oder persönliche Seitennamen). Matomo hat die Option, Referrer-URLs um Parameter zu bereinigen bzw. gar nicht erst als Klartext zu speichern. Aktiviere „Anonymise Referrer“ – damit stellst du sicher, dass z.B. facebook.com/profile.php?user=johndoe nicht in Matomo als solcher auftaucht (denn johndoe wäre identifizierend). Ebenso solltest du prüfen, welche URL-Parameter deine Seite nutzt (z.B. utm_campaign etc.) und ob da evtl. Infos drin sind, die man als personenbezogen werten könnte. Falls ja, filtere sie aus. Tipp: In Matomo 4+ kannst du bestimmte Parameter global ausschließen. Außerdem: Vermeide generell, Personennamen oder E-Mail-Adressen in Seiten-URLs oder Titeln anzuzeigen, die Matomo trackt – denn sonst müsstest du diese ebenfalls rausfiltern.
  4. Keine personenbezogenen Daten in benutzerdefinierten Dimensionen/Ereignissen speichern: Matomo erlaubt es dir, Custom Dimensions, benutzerdefinierte Variablen und Events zu tracken (z.B. „Klick auf Button X“ oder „Benutzer hat Formular abgeschickt“). Hier heißt es aufpassen: Trage niemals Klarnamen, E-Mails, Telefonnummern o.ä. als Event-Daten ein! Matomo speichert, was du ihm schickst. Per Default zeichnet Matomo solche persönlichen Dinge nicht auf – aber sobald du selbst Ereignisse definierst, trägst du die Verantwortung. Beispiel: Du willst tracken, welcher User sich registriert hat, und sendest dafür dessen UserID oder Mail als Event – das wäre ein klares No-Go ohne Consent. Halte dich an anonyme Events (z.B. nur „Event registriert“ ohne Identifikator). So stellst du sicher, dass in der Matomo-Datenbank keine Daten liegen, die auf einzelne Personen rückführbar sind.
  5. User ID und geräteübergreifendes Tracking deaktivieren: Matomo bietet ein Feature, um eingeloggte Benutzer mit einer konsistenten User-ID zu verfolgen (für Cross-Device-Tracking oder um Online/Offline zu verknüpfen). Diese User-ID-Funktion muss aus bleiben, wenn du ohne Einwilligung arbeitest. Eine User-ID ist per Definition ein personenbezogenes Datum (selbst wenn es nur eine Kundennummer o.ä. ist, es identifiziert ja eine Person). Also: Nicht aktivieren. Gleiches gilt für Features wie Ecommerce-Tracking, bei denen Bestell-IDs erfasst werden – diese könnten über die Bestellhistorie zu Personen führen und gelten daher auch als personal (Order-ID = personenbezogen)g. Zusammengefasst: Kein Feature verwenden, das einzelne Personen erkennbar macht, solange du keine Opt-in-Einwilligung einholst.
  6. „Besucherkontexte“ einschränken (Besuchs-Log, Profile deaktivieren): In Matomo gibt es die Möglichkeit, einzelne Besucher-Sitzungen detailliert anzusehen (Visit Log) oder sogar Besucherprofile zu erstellen, die alle Aktionen einer Person über Zeit zeigen. Für ein einwilligungsfreies, anonymes Tracking solltest du diese Live-Profiling-Features abschalten. In den Matomo-Einstellungen kannst du z.B. das “Besucher-Log” und “Besucherprofile” deaktivieren. Dann werden solche Daten gar nicht erst in der UI angezeigt, was signalisiert: Du willst nur aggregierte Statistiken, kein individuelles Verhalten nachverfolgen. Damit erfüllst du auch eine der CNIL-Bedingungen (nur anonyme, aggregierte Auswertung).
  7. Daten-Aufbewahrung begrenzen: Speichere Analytics-Daten nicht länger als nötig. Eine kurze Retention-Frist minimiert das Risiko, über historische Daten doch Personenbezüge herzustellen. Die CNIL fordert max. 25 Monate Speicherzeit für Analytics-Daten. Du kannst in Matomo einstellen, dass alte Rohdaten nach z.B. 6, 12 oder 24 Monaten automatisch gelöscht werden. Damit zeigst du, dass du Datenminimierung ernst nimmst – und die Statistik bleibt trotzdem langfristig aussagekräftig genug (aggregierte Berichte können trotz Löschung der Rohdaten erhalten bleiben, falls konfiguriert). Die deutschen Behörden raten ebenfalls zur regelmäßigen Löschung historischer Tracking-Daten. Richte also am besten einen Automatismus ein: “Lösche Besucher-Logs nach X Tagen”.
  8. Keine Weiterverarbeitung für andere Zwecke: Stelle sicher (und dokumentiere es), dass die erhobenen Analytics-Daten nur zur Reichweitenmessung dienen und nicht plötzlich für Marketing, Profilbildung oder gar Weitergabe an Werbepartner genutzt werden. In dem Moment, wo du die Daten z.B. in ein Data Warehouse speist und mit CRM-Daten zusammenführst, wärst du wieder in der personalisierten Welt – dann bräuchtest du eine Einwilligung. Also: Nur First-Party Analytics, kein “Daten-Sharing”. Das sollte selbstverständlich sein, wird aber der Vollständigkeit halber erwähnt.
  9. Nur First-Party, keine Drittanbieter: Vermeide es, Matomo-Daten mit anderen Websites zusammenzuführen oder Nutzer über verschiedene Domains zu tracken. Wenn du mehrere Websites hast, die unabhängig sind, führe für jede eine eigene Matomo-Instanz ein oder tracke sie getrennt. Cross-Site-Tracking (selbst innerhalb deiner Firma über unterschiedliche Angebote hinweg) würde bedeuten, dass du wieder umfassendere Profile erstellst – das fällt aus der Einwilligungsausnahme heraus. Also: ein Nutzer wird nur auf einer Website verfolgt, nicht über diverse Sites.
  10. Opt-out-Möglichkeit anbieten: Auch wenn du keine vorherige Einwilligung einholst, musst du den Besuchern eine einfache Möglichkeit geben, der Erfassung zu widersprechen. Matomo stellt dafür ein praktisches Opt-out-Widget bereit. Binde dieses in deiner Datenschutzerklärung oder einer speziellen Opt-out-Seite ein. Damit können Nutzer per Klick ein Opt-out-Cookie setzen, welches Matomo veranlasst, ihre Besuche zukünftig nicht zu zählen. Das Opt-out-Cookie ist übrigens essentiell (weil es ja gerade dem Schutz des Nutzers dient), darf also gesetzt werden. Wichtig ist: Weise in deiner Privacy Policy deutlich auf diese Widerspruchsmöglichkeit hin. So erfüllst du die Transparenz- und Widerspruchspflicht der DSGVO und vieler Länderregelungen.
  11. Transparenz: Datenschutzerklärung aktualisieren: Last but not least – du musst Matomo in deiner Datenschutzerklärung offenlegen. Schreibe rein, welche Daten du erhebst (z.B. gekürzte IP, Gerätedaten, Zeitpunkt, Seitenaufrufe), zu welchem Zweck (Reichweitenmessung zur Webseiten-Optimierung), auf welcher Rechtsgrundlage du das tust (hier wird oft berechtigtes Interesse nach Art. 6 Abs.1 lit. f DSGVO angeführt – mit der Argumentation der anonymen, nutzerschonenden Auswertung;

    in Frankreich wäre es die Ausnahme nach ePrivacy Art. 5(3) etc.), und dass keine Weitergabe an Dritte erfolgt. Erkläre auch, dass du keine Cookies/Tracker setzt, die der Einwilligung bedürfen, und beschreibe die Opt-out Möglichkeit. Diese Info gehört für volle Transparenz in deine Datenschutzerklärung – auch wenn kein Banner da ist. Nur weil der Nutzer nicht klicken muss, heißt es nicht, dass man ihn im Dunkeln lassen darf 😉.

Wenn du all diese Maßnahmen umsetzt, betreibst du Matomo im Grunde auf einem “Privacy by Default”-Level. Du sammelst nur noch anonymisierte Daten, erzeugst statistische Auswertungen und vermeidest jede unnötige Identifikation. Das reduziert das Datenschutzrisiko enorm. Matomo selbst bezeichnet diese Betriebsart als “Consent-free Tracking Mode”, in dem keine persönlichen Daten verarbeitet werden und der daher in vielen Ländern keine vorherige Einwilligung erfordert.

Wichtig

Die Umstellung auf diese datenschutzfreundliche Konfiguration hat funktionale Folgen: Gewisse Komfort-Funktionen von Matomo leiden etwas darunter. Zum Beispiel wirst du nicht mehr genau erkennen können, wie viele einzelne Personen deine Website besuchen – denn ohne Cookies und ohne User-ID kann Matomo zwei Besuche derselben Person nicht sicher einander zuordnen. Es zählt statt „Unique Visitors“ im Grunde nur noch „Visits“. Dadurch werden Metriken wie “eindeutige Besucher” ungenau, ebenso Kennzahlen wie „Durchschnittliche Besuche pro Besucher“ oder „Tage seit letztem Besuch“. Du kannst also nur noch zuverlässig sagen, wie oft deine Seiten besucht wurden, aber nicht, ob 100 Besuche von 100 verschiedenen Leuten stammen oder vielleicht nur von 50 Leuten, die je 2x kamen. Für viele Zwecke (v.a. trend- und contentbezogene Analysen) ist das jedoch ausreichend. Es ist der Preis für die Privatsphäre – und der ist aus Sicht des Datenschutzes sinnvoll. Andere Tools wie Google Analytics 4 gehen übrigens einen ähnlichen Weg mit ihrem “Consent Mode”, der dann aber Modellierungen nutzen muss, um Datenlücken zu füllen. Bei Matomo hast du den Vorteil, dass alle echten Hits erfasst werden (kein Opt-out-Datenverlust), nur die Wiedererkennung fehlt.

Vorteile: Bessere User Experience und weniger Datenverlust#

Warum das alles? Lohnt sich der Aufwand? Ja! Wenn du Matomo so betreibst, profitierst du von mehreren handfesten Vorteilen:

  • Keine nervigen Banner mehr: Deine Besucher werden nicht gleich beim Einstieg mit “Wir verwenden Cookies, stimmen Sie zu?” belästigt. Das verbessert die User Experience enorm – gerade mobile Nutzer danken es dir. Niemand klickt gern erst “Alle akzeptieren” weg, bevor er Content sieht. Ohne Banner können Nutzer barrierefreier und entspannter surfen. Und sind wir ehrlich: Es zeigt auch Respekt vor deinen Besuchern, wenn du ihre Privatsphäre von vornherein schützt statt sie vor die Wahl zu stellen, getrackt zu werden oder die Seite verlassen zu müssen.
  • Weniger Abbruch, mehr Daten: Studien und Erfahrungswerte zeigen, dass Cookie-Banner einen beträchtlichen Teil der Nutzer dazu bringen, Tracking abzulehnen oder die Seite sofort zu verlassen. Mit einem einwilligungsfreien Matomo-Setup entfällt dieses “Opt-out vor dem ersten Klick”. Du verlierst nicht 30-50% deiner Analytics-Daten durch Ablehnung, sondern kannst nahezu alle Besuche zählen. Selbst wenn deine Stats nicht jeden Besucher eindeutig identifizieren, hast du unterm Strich ein volleres Bild vom Traffic als mit einem Opt-in-Tool, wo teilweise über die Hälfte der Nutzer gar nicht getrackt wird. Deine Marketing- und Content-Entscheidungen können also auf einer breiteren Datengrundlage erfolgen.
  • Compliance by Design: Indem du proaktiv die Datenmenge begrenzt und alles anonymisierst, reduzierst du das rechtliche Risiko drastisch. Du zeigst Aufsichtsbehörden und Nutzern gegenüber, dass du Datenschutz ernst nimmst und technisch umgesetzt hast (nicht nur auf dem Papier). Sollte doch mal jemand nachfragen (Audits, Anfragen), kannst du guten Gewissens erklären: „Wir erheben keine personenbezogenen Tracking-Daten, verzichten auf Cookies, halten alle Vorgaben ein.“ Das entspannt die Lage – gerade in Zeiten, wo Google Analytics in der Kritik steht, bietest du eine vertrauenswürdige Alternative.
  • Keine Drittland-Datenübermittlung: Mit eigenem Matomo-Hosting (z.B. auf einem deutschen Server) umschiffst du das ganze Thema Schrems II und Privacy Shield. Die Daten deiner Website-Besucher bleiben in der EU. Du brauchst keine Standardvertragsklauseln mit einem US-Provider abzuschließen, kein Kopfzerbrechen wegen amerikanischer Behördenzugriffe. Insbesondere für öffentliche Stellen, Behörden oder sensible Branchen ist das ein Must-have. Und selbst für normale Unternehmen ist es ein Pluspunkt, wenn in der Datenschutzerklärung stehen kann: “Wir verwenden Matomo in Eigenbetrieb, die Daten werden nicht an Dritte weitergegeben” – das schafft Vertrauen.
  • Mehr Performance und weniger “Cookie-Fatigue”: Ein Nebeneffekt: Ohne Cookie-Banner hast du eine schnellere Ladezeit (kein Consent-Manager-Skript, weniger Overhead) und deine Nutzer haben nicht dieses latente Misstrauen („Wieder so ein Tracking-Banner“). Die Stimmung gegenüber deinem Webauftritt verbessert sich subtil, was sich in längerer Verweildauer oder mehr Interaktionen auszahlen kann. Einige Verantwortliche argumentieren sogar, dass das Fehlen eines Banners die Wahrnehmung der Marke verbessert, weil man nicht mit den negativ belegten Cookie-Popups assoziiert wird.

Natürlich ist nicht alles eitel Sonnenschein – man muss sich der Grenzen bewusst sein. Wie erwähnt, erhältst du etwas weniger granulare Daten (Unique Visitors etc. ungenau). Manche Advanced Features von Matomo (Heatmaps, Session Recordings) kannst du ohne Consent nicht rechtens einsetzen, da sie persönliche Daten (z.B. detaillierte Mausbewegungen, evt. Texteingaben) beinhalten – die haben wir deshalb außen vor gelassen. Solltest du solche Funktionen benötigen, müsstest du doch wieder eine Einwilligung einholen bevor du sie aktivierst. Das heißt, in diesem Artikel gehen wir vom Anwendungsfall “normale Webstatistiken” aus – dafür ist das beschriebene Setup ideal.

Kopexa: Wie du Matomo absicherst und den Nachweis erbringst#

Nachdem du nun weißt, wie du Matomo technisch datenschutzkonform betreibst, stellt sich die nächste Frage: Wie überprüfst und dokumentierst du das? Gerade als DSB oder ISB möchtest du nicht nur darauf vertrauen, dass alles stimmt – du willst es belegen können. Hier kommt Kopexa ins Spiel. Kopexa ist eine Compliance-Plattform, die IT-Sicherheit und Datenschutz-Frameworks (wie ISO 27001, TISAX, DSGVO, NIS2 etc.) in einer Lösung integriert. Mit Kopexa kannst du Assets, Risiken, Controls und Nachweise an einem Ort verwalten – ideal, um z.B. den Einsatz von Matomo absichern und beweisen zu können.

Stell dir vor, du hast in Kopexa dein Website-Analytics-System (Matomo) als Asset angelegt. Du kannst nun die relevanten Datenschutz- und Sicherheitskontrollen zuordnen – etwa Anforderungen aus der DSGVO (z.B. Art. 25 „Datenschutz durch Technikgestaltung“ oder Art. 32 „Sicherheit der Verarbeitung“) oder aus einem Security-Framework. Kopexa liefert viele Standards out-of-the-box mit, darunter ein DSGVO-Kontrollkatalog. Du kannst nun für dein Matomo-Asset festhalten, wie die einzelnen Kontrollen technisch umgesetzt sind. Hier kommt der Begriff “Komponentendefinition” ins Spiel: Kopexa nutzt Konzepte aus OSCAL (Open Security Controls Assessment Language), einem offenen Standard der NIST, um genau solche Implementierungsdetails sauber zu dokumentieren. In einer Komponentendefinition beschreibst du zum Beispiel, welche Sicherheits- oder Datenschutzmaßnahmen eine Software-Komponente erfüllt. Für Matomo könnte das heißen: Kontrolle X (z.B. „Es werden keine Tracking-Cookies gesetzt“) – Implementierung: In Matomo ist disableCookies aktiviert, Stand Konfiguration vom [Datum]. Oder Kontrolle Y („IP-Adressen werden anonymisiert“) – Implementierung: Matomo maskiert IP um 2 Bytes, Einstellung aktiviert am [Datum]. So eine Komponentendefinition dient als Nachweis-Dokumentation, wie Matomo die Anforderungen unterstützt.

Der Clou: Kopexa sammelt und versioniert Nachweise automatisch für dich. Du kannst z.B. Screenshots deiner Matomo-Einstellungen, Auszüge aus der config-Datei oder Reports anhängen – Kopexa speichert diese revisionssicher ab. Jede Änderung an der Konfiguration kann als neue Version dokumentiert werden. Zudem könntest du regelmäßige Überprüfungen automatisieren: Kopexa lässt sich in CI/CD-Pipelines integrieren, sodass z.B. ein Skript monatlich prüft, ob Matomo irgendwelche Cookies setzt (via Browser-Scan) – das Ergebnis (Bericht “Keine Cookies gefunden”) könnte direkt als Evidence hochgeladen werden. Klingt futuristisch? Durchaus, aber Kopexa ist dafür ausgelegt, Integrationen zu nutzen und Nachweise zu prüfen. Damit bist du jederzeit audit-ready: Kommt ein Auditor oder deine Geschäftsführung fragt nach, kannst du mit ein paar Klicks einen Report ziehen: Matomo-Analytics – alle technischen und organisatorischen Maßnahmen – Nachweise inklusive. Das erspart dir manuelle Excel-Listen und nervöses Zusammensuchen kurz vor dem Audit.

Kurz gesagt: Kopexa hilft dir, deinen datenschutzfreundlichen Matomo-Einsatz systematisch abzusichern. Du behältst den Überblick, welche Anforderungen erfüllt sind, und kannst es gegenüber Dritten belegen. Das ist “Compliance ohne Bullshit”, wie wir bei Kopexa sagen 😉 – weniger Papierkram, mehr tatsächliche Sicherheit. Gerade in Kombination mit einem Tool wie Matomo, das Privacy by Design ermöglicht, zeigt Kopexa seine Stärke: Die technische und dokumentarische Absicherung gehen Hand in Hand.

Fazit#

Ein Tracking-Tool ohne Cookie-Banner datenschutzkonform betreiben – das ist möglich und in Zeiten strenger Datenschutzgesetze ein echter Wettbewerbsvorteil. Mit Matomo hast du eine erprobte Lösung an der Hand, die sich bei korrekter Konfiguration voll auf Privatsphäre fokussiert. Du respektierst die Rechte deiner Nutzer, vermeidest rechtliche Risiken und genießt dennoch wertvolle Einblicke in das Verhalten auf deiner Website. Die technischen Maßnahmen – von Cookie-Deaktivierung über IP-Masking bis Opt-out – sind keine Hexerei, aber erfordern etwas Sorgfalt und Know-how. Dieser Aufwand lohnt sich: Deine Nutzer erleben eine bessere UX, du verlierst weniger Daten durch Opt-outs und du handelst im Sinne des Privacy by Design, was langfristig Vertrauen schafft.

Mit einem Tool wie Kopexa an deiner Seite kannst du zudem sicherstellen, dass kein wichtiger Schritt vergessen wird und du jederzeit den Nachweis über deine datenschutzrechtlichen Vorkehrungen erbringen kannst. Das gibt Ruhe nach innen (im Team, gegenüber dem Management) und außen (gegenüber Auditoren oder Aufsichtsbehörden).

Am Ende stehen alle Beteiligten als Gewinner da: Deine Besucher, weil ihre Privatsphäre gewahrt bleibt. Du und dein Team, weil ihr die benötigten Analytics-Daten bekommt, ohne ständig “auf Zustimmungen zu schielen”. Und nicht zuletzt dein Unternehmen oder deine Organisation, die DSGVO-konform agiert, ohne Innovation und Insight einzubüßen.

Du hast Fragen oder eigene Erfahrungen mit Matomo & Datenschutz? Lass es uns gerne wissen – und wenn du Unterstützung bei der Umsetzung suchst, stehen wir (und Kopexa 😉) mit Rat und Tat zur Seite. In diesem Sinne: Viel Erfolg beim datenschutzsicheren Tracking – es fühlt sich doch gleich viel besser an, wenn Webanalyse ohne schlechtes Gewissen möglich ist!

Quellen:

Die Quellen umfassen offizielle Dokumentationen (Matomo FAQ/Guides), Rechtsquellen und Blogbeiträge von Experten, unter anderem: Matomo-Dokumentation zur einwilligungsfreien Nutzung, Orientierungshilfe der DSK zum TTDSG, BfDI-Prüfbericht BMFSFJ 2023, sowie Matomo Privacy-Features und CNIL-Richtlinien. Diese Belege unterstreichen die empfohlenen Maßnahmen und Rechtsauffassungen.

Matomo datenschutzkonform betreiben – so geht’s ohne Cookie-Banner | Kopexa