Matomo Analytics und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Matomo ein – ob Self-hosted oder Cloud – verarbeitet er Website-Besuchsdaten zur Analyse und Optimierung. Die Datenschutz-Anforderungen unterscheiden sich deutlich: Bei Self-hosted Matomo ist der Betreiber selbst Verantwortlicher ohne Drittlandtransfer (falls Server in Deutschland/EU sitzt); bei Matomo Cloud ist InnoCraft Ltd (Wellington, Neuseeland) der Auftragsverarbeiter mit potenziellem Drittlandtransfer nach Neuseeland. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.

A. Zweck und Funktionsweise von Matomo Analytics

Matomo ist eine Open-Source-Web-Analytics-Plattform (ehemals Piwik) – eine Lösung zur Erfassung und Analyse von Website-Besuchsdaten. Sie wird von Betreibern eingesetzt, um Nutzer-Verhalten zu verstehen, Conversion-Raten zu messen und Website-Performance zu optimieren.

Integrationsfunktion: Der Betreiber bindet einen JavaScript-Tracking-Code in seine Website ein. Dieser Code erfasst beim Besuch ähnlich wie Google Analytics oder etracker:

• Besuchte Seiten (URLs)
• Verweildauer, Klicks, Scroll-Tiefe
• Conversion-Ereignisse (Kauf, Anfrage, Registrierung)
• Gerät-, Browser-, Standortinformationen

Besonderheit: Matomo ist die einzige Google Analytics-Alternative, die es als Open-Source gibt – und damit in zwei Varianten betrieben werden kann:

1. Matomo Self-Hosted: Betreiber installiert Matomo auf eigenem Server (z.B. in eigenem Rechenzentrum oder gemieteter Infrastruktur). Betreiber ist Verantwortlicher – nur sein eigener Server, keine Drittlandtransfers (falls Server in Deutschland/EU).

2. Matomo Cloud: Betreiber nutzt Matomo-Hosting von InnoCraft Ltd. InnoCraft ist Auftragsverarbeiter, Server sind in EU (Deutschland, Frankreich) – aber Mutterunternehmen sitzt in Neuseeland.

B. Pflichtangaben in der Datenschutzerklärung zu Matomo

Nach DSGVO muss der Betreiber je nach Variante unterschiedliche Informationen offenlegen:

Allgemein (beide Varianten):

• Zweck (Art. 13 Abs. 1 lit. c): Website-Analyse, Besuchermessung, Conversion-Tracking, Optimierung
• Empfänger (Art. 13 Abs. 1 lit. e):
  • Self-Hosted: Nur der Betreiber (Verantwortlicher)
  • Cloud: InnoCraft Ltd als Auftragsverarbeiter
• Speicherdauer (Art. 13 Abs. 2 lit. a): Konfigurierbar (typisch: 3-36 Monate)
• Opt-Out (wichtig): Matomo Opt-Out URL

Spezifisch Self-Hosted:

• Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) oder Einwilligung (Art. 6 Abs. 1 lit. a) – abhängig von Konfiguration
• Drittlandtransfer: Keiner (falls Server EU/Deutschland)

Spezifisch Cloud:

• Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) oder Einwilligung (Art. 6 Abs. 1 lit. a)
• Drittlandtransfer (Art. 13 Abs. 1 lit. f): Zu Neuseeland; Rechtmäßigung erforderlich (SCC oder ähnlich)

Hinweis: Toolspezifische Textbausteine sind problematisch. Besser: Themenorientierter Aufbau (Kapitel "Website-Analyse") mit klarer Unterscheidung Self-Hosted vs. Cloud.

C. Anbieter von Matomo: InnoCraft Ltd

(Relevant nur für Matomo Cloud; bei Self-Hosted ist der Betreiber selbst Verantwortlicher)

• Juristischer Name: InnoCraft Limited
• Sitz: 150 Willis Street, Wellington 6011, Neuseeland
• Sitzland: Neuseeland (Drittland, nicht im EWR)
• Privacy Policy: https://matomo.org/privacy-policy/
• DPF-Status: Matomo (InnoCraft) ist nicht unter dem Data Privacy Framework (DPF) zertifiziert. DPF-Zertifizierung würde Datentransfers USA↔EU regeln, aber Wellington ist nicht in der DPF-Liste.
• AVV/DPA: Verfügbar für Cloud-Kunden; DPA-Vorlage auf Matomo-Website unter https://matomo.org/
• Datenspeicherung Matomo Cloud: Server in EU (Deutschland, Frankreich); aber Konzernmutter in Neuseeland

D. Datenverarbeitung durch Matomo – Ablauf

D.1 Self-Hosted Matomo

D.2 Matomo Cloud

E. Erhobene Daten beim Einsatz von Matomo

Matomo erfasst ähnliche Datenarten wie andere Web-Analytics-Tools:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit/Zeitzone, Request-URL, HTTP-Referrer, HTTP-Status-Code, User-Agent
• Klickpfade: Besuchte Seiten in Reihenfolge, angeklickte Links, interne Suchbegriffe (falls Matomo-Suchtracking aktiviert)
• Endgeräte-Daten: Gerätetyp (Desktop/Tablet/Mobil), Betriebssystem, Displayauflösung, Plug-in-Informationen
• Browserinformationen: Browsername, Browserversion, User-Agent-String, Do-Not-Track-Einstellung
• Grobe Standortdaten: IP-basierter Standort (bis Stadt-Ebene; genauere Geolokalisation möglich aber datenschutzrelevant)
• Conversion-Ereignisse: Benutzerdefinierte Events (z.B. Kauf, Download, Kontaktanfrage, Video-Play)
• Interaktionsdaten: Scroll-Tiefe (falls aktiviert), Mausbewegungen (falls aktiviert), Verweildauer pro Seite
• Nutzerkonto-Daten: Falls Nutzer-ID-Tracking aktiviert: Benutzername, E-Mail-Adresse, anonymisierte User-ID
• Suchbegriffe: Bei internen Website-Suchen: Suchtext, Suchergebnisse, Klicks auf Suchergebnisse

Hinweis: Matomo ist sehr konfigurierbar – je nach Aktivierung können mehr oder weniger Daten erfasst werden.

F. Nutzungszwecke beim Einsatz von Matomo

Die Daten werden für folgende Zwecke verarbeitet:

• Funktionsbereitstellung: Erbringung des Analytics-Service (Reporting, Dashboards, API)
• Allgemeine Produktverbesserung: Optimierung häufig besuchter Inhalte, Performance-Verbesserung
• Allgemeines Marketing: Reichweitenanalyse, Traffic-Quellen-Attribution, Kampagnen-Messung
• Nutzerindividuelle Produktverbesserung: Personalisierung basierend auf User-Segmenten, Optimierung nach Nutzer-Verhalten
• Sicherheit und Missbrauchsschutz: Bot-Detektion, Spam-Filterung, Anomalie-Erkennung
• Geschäftsplanung und -steuerung: Datengrundlage für strategische Entscheidungen
• Compliance (nur Cloud): Matomo kann Rohdaten-Logs für Audit und Support bereitstellen

G. Rechtsgrundlagen für Matomo Analytics

G.1 Matomo Self-Hosted

Schritt 1 – Kategorisierung: Matomo Self-Hosted ist unter Kontrolle des Betreibers – der Betreiber ist Verantwortlicher.

Schritt 2 – Rechtsgrundlagen:

• Cookielose Anonymisierung möglich: Berechtigte Interessen Art. 6 Abs. 1 lit. f DSGVO (falls IP sofort anonymisiert wird)
• Mit Cookies: Einwilligung Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG oder Berechtigte Interessen (umstritten)

Hinweis: Bei Self-Hosted sollte der Betreiber Matomo so konfigurieren, dass keine oder anonymisierte Cookies gesetzt werden, um Einwilligung zu vermeiden.

G.2 Matomo Cloud

Schritt 1 – Kategorisierung: Matomo Cloud ist ein Auftragsverarbeitungs-Verhältnis (Art. 28 DSGVO). InnoCraft ist Auftragsverarbeiter.

Schritt 2 – Rechtsgrundlagen:

• Standard: Berechtigte Interessen Art. 6 Abs. 1 lit. f DSGVO (Betreiber hat Interesse an Website-Optimierung)
• Mit Tracking-Cookies: Einwilligung Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG

Drittlandtransfer zu Neuseeland:

• Status: Unklar. Matomo ist nicht unter DPF zertifiziert.
• Rechtmäßigung erforderlich: Prüfung ob SCC (Standard Contractual Clauses) oder ähnliche Mechanismen vorhanden sind
• Datenschutzfolgeabschätzung (DPIA) empfohlen, besonders wenn Conversion-Daten oder User-IDs verarbeitet werden

Einzelfallprüfung erforderlich: Betreiber sollte mit Matomo klären, wie Drittlandtransfer zu Neuseeland geregelt ist.

H. Besonderheiten und Hinweise zu Matomo

H.1 Self-Hosted

• Vollständige Kontrolle: Betreiber ist Verantwortlicher, nicht Matomo. Volle Kontrolle über Daten, Speicherort, Speicherdauer.
• Kein Drittlandtransfer: Falls Server in Deutschland/EU sitzt, keine Drittlandtransfers.
• Keine Auftragsverarbeitung nötig: Kein DPA mit Matomo erforderlich (Matomo ist nur Software).
• Technische Anforderungen: Betreiber muss Server bereitstellen, SSL-Zertifikat einrichten, Backups durchführen, Updates einspielen.
• Kostenmodell: Open-Source, kostenlos; nur Server-Infrastruktur kostet.
• Einwilligungsfreie Variante möglich: IP-Anonymisierung und Cookie-Deaktivierung ermöglichen berechtigte Interessen ohne Einwilligung.

H.2 Matomo Cloud

• Auftragsverarbeitung erforderlich: DPA mit InnoCraft abschließen (ist standardmäßig vorhanden).
• Drittlandtransfer unklar: Neuseeland sitzt außerhalb DPF. Betreiber sollte klären, wie Datenschutz gewährleistet ist. Evtl. Datenschutzfolgeabschätzung erforderlich.
• Server in EU: Matomo Cloud speichert in Deutschland/Frankreich (EU). Aber Konzernmutter sitzt in Neuseeland.
• Technische Einfachheit: Keine Server-Administration notwendig; Matomo betreut Infrastruktur.
• Kostenmodell: Abonnement-basiert (monatliche/jährliche Gebühren).
• Subprozessoren: Matomo kann mit Cloud-Infrastruktur-Anbietern arbeiten; Subprozessor-Liste im DPA.
• Rechenschaftspflicht: Betreiber muss dokumentieren, dass DPA abgeschlossen ist und dass Drittlandtransfer-Rechtmäßigung geprüft wurde.

I. FAQ zu Matomo Analytics

J. Fazit und Empfehlung zu Matomo Analytics

Zusammenfassung: Matomo ist eine europäischerfreundliche Analytics-Alternative zu Google Analytics – besonders die Self-Hosted-Variante, die dem Betreiber volle Kontrolle gibt und keinen Drittlandtransfer erfordert. Cloud-Variante ist bequemer, hat aber Drittlandtransfer zu Neuseeland.

Häufiger Fehler bei Self-Hosted: Betreiber installieren Matomo und setzen Standard-Cookies, ohne IP-Anonymisierung und Cookie-Deaktivierung zu konfigurieren. Das erfordert dann CMP-Banner und Einwilligung. Besser: Von Anfang an cookielose Konfiguration.

Häufiger Fehler bei Cloud: Betreiber nutzen Matomo Cloud, ohne zu prüfen, wie Drittlandtransfer zu Neuseeland rechtmäßig gewährleistet ist. DPIA sollte durchgeführt werden.

Best Practice:

1. Self-Hosted bevorzugen (wenn Sie technisch fit sind) → Volle Kontrolle, kein Drittlandtransfer
2. Cookielose Konfiguration → IP-Anonymisierung aktivieren, Cookies deaktivieren → Keine Einwilligung nötig
3. Speicherfrist kurz halten (3-6 Monate)
4. Transparente Datenschutzerklärung unterscheidet zwischen Self-Hosted und Cloud
5. Für Cloud: DPIA durchführen, Drittlandtransfer-Rechtmäßigkeit dokumentieren