DSGVO - Google Analytics vs. Matomo

Headerfoto

Die Einführung der DSGVO bedeutet mehr Schutz für personenbezogene Daten. Natürlich hat sich Google entsprechend darauf vorbereitet und setzt sämtliche Vorschriften der DSGVO bei seinem Analyse-Tool Google Analytics um – nur für Deutschland leider nicht.

Der Knackfall ist die IP-Adresse. In der Europäischen Union herrscht die Meinung vor, dass die IP-Adresse nicht zu den personenbezogenen Daten gehört, in Deutschland ist der Gesetzgeber anderer Meinung. Deswegen muss die IP-Adresse bei der Besucheranalyse anonymisiert werden. Google Analytics macht dies leider nicht von sich aus. Doch bis man soweit ist, muss man zuerst die Maßnahmen für Europa aktivieren:

  1. Vertrag zur Auftragdatenverarbeitung
    Der Vertrag muss heruntergeladen, eingeschickt und dann am besten ausgedruckt abgelegt werden.
  2. Die Zusatzvereinbarung bestätigen
    Dazu kann man im Google Analytics Konto unter dem Menüpunkt "Kontoeinstellungen -> Zusatz zur Datenverarbeitung" den Zusatz anzeigen und den Auftragsverarbeitungsvertrag bestätigen. Wichtig: Am Ende auf Speichern klicken!
  3. Aufbewahrungsdauer der Daten konfigurieren
    Unter dem Menüpunkt "Verwaltung -> Property" gibt es die Tracking-Informationen und dann Datenaufbewahrung. Hier kann die Dauer der Speicherung der Daten konfiguriert werden. Empfohlen werden 12-14 Monate, weniger ist natürlich immer besser.
  4. Altdaten löschen
    Da bisherige Daten nicht anonymisiert wurden, müssen diese nun gelöscht werden. Dazu unter "Verwaltung -> Property Einstellungen" die Funktion "In Papierkorb verschieben" auswählen. Die Daten werden dann nach 30 Tagen gelöscht.
  5. Das Plugin "AnonymizeIp" installieren und entsprechend im Quellcode anpassen
  6. Das Widerspruchsrecht in den Datenschutzhinweisen anpassen

Es ist also mit ziemlichen Aufwand verbunden, Google Analytics DSGVO-konform zu bekommen. Will man nun die erhobenen Daten auch noch sinnvoll für Conversions etc. nutzen, dann geht es richtig ans Eingemachte.

Die bekannteste Alternative für Google-Analytics ist Piwik, das jetzt Matomo heißt. Die Analysemöglichkeiten sind fast identisch zum Tool von Google, allerdings besteht hier die Möglichkeit, Matomo auf den eigenen Servern zu hosten, was wiederum aus Sicht der DSGVO einiges vereinfacht. Die Daten werden nicht an Dritte zur Verarbeitung übertragen, ein Vertrag zur Auftragsdatenverarbeitung ist daher nicht von Nöten. Aber auch bei Matomo muss ein Plugin installiert werden, um die IP-Adresse zu anonymisieren. Besonders gut gelungen finde ich, dass die Möglichkeit besteht, einen Widerspruchshaken direkt in die Datenschutzhinweise einzubauen, durch den der Besucher selbst entscheiden kann, ob er von Matomo erfasst werden möchte oder nicht.

Wer seine Seite DSGVO konform umsetzen möchte, sollte auf jeden Fall einen Blick auf Matomo werfen!