Der Einsatz des Webseiten-Analysetools Matomo

Auf Basis der gesammelten Daten kann mit Matomo das Navigationsverhalten von Nutzenden erkannt und analysiert werden. Der vorrangige Zweck dieser Datenverarbeitung soll hierbei sein, die Struktur und Gestaltung des Webseitenangebotes zu verbessern.

Typischerweise wird von Matomo entweder ein eindeutiges Merkmal zum Webseitenbesucher in einem Cookie (z. B. das Cookie _pk_id) oder in einem Parameter (z. B. die Parameter cid und uid gespeichert oder es wird ein Skript (z. B. piwik.js oder matomo.js) ausgeliefert, um Informationen der Endeinrichtung zu erheben und an die Matomo-Instanz zu übermitteln. Der Dienst Matomo speichert mit dem Setzen des Cookies oder der Parameter Informationen auf der Endeinrichtung der nutzenden Person. Auch mit der Einbindung und der Auslieferung des Skriptes oder eines Bildes werden durch den Dienst Informationen auf der Endeinrichtung der nutzenden Person gespeichert bzw. auf Informationen zugegriffen, die bereits in der Endeinrichtung gespeichert waren. Dieser Zugriff auf die Informationen bzw. diese Speicherung von Informationen auf dem Endgerät der Nutzenden eröffnen den Anwendungsbereich von § 25 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Die Speicherung von Informationen bzw. der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert waren, durch den Dienst Matomo ist technisch nicht unbedingt erforderlich, um den vom Nutzenden ausdrücklich gewünschten digitalen Dienst zu erbringen, und ist somit gemäß § 25 Absatz 1 TDDDG einwilligungsbedürftig.

Die IP-Adresse wird bei der Übermittlung an den Server als unveränderter Klartext übermittelt und liegt in den Serverlogs der Matomo-Instanz als unveränderter Klartext vor. Auf dem Server werden die IP-Adresse und weiterer Merkmale der Endeinrichtung von Matomo verarbeitet (maskiert, zusammengeführt, gehasht etc.). Diese Verarbeitungen sind grundsätzlich geeignet um die Anforderungen zur Datenminimierung und „privacy by design“ aus Art. 5 lit. c) und e) sowie Art. 25 Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Der Server verarbeitet die bereitgestellten Daten und erstellt Profile von Endeinrichtungen, um deren Bewegungen auf der Webseite zu verfolgen. Mit dem vorliegenden Datensatz kann Matomo die Endeinrichtung temporär wiedererkennen. Dies gilt unabhängig davon, welches eindeutige Merkmal zur Wiedererkennung (config_id, uid, _pk_id, cid oder anderen Merkmale) verwendet wird. Der Datensatz lässt sich demnach einer konkreten Endeinrichtung zuordnen. Die vollständigen IP-Adressen mit Zusatzinformationen liegen in den Serverlogs sowohl auf der Matomo-Instanz als auch auf dem Webserver vor. Es ist technisch mit überschaubarem Aufwand möglich, die Daten aus Matomo mit den Daten aus den Serverlogs in Abgleich zu bringen. Damit lässt sich der Personenbezug wiederherstellen. Ob diese Rückführung tatsächlich vom Verantwortlichen oder einem Dritten umgesetzt wird, ist hierbei aus meiner Sicht nicht relevant. Entscheidend ist bereits die technische Möglichkeit des Abgleichs. Auch mit der Maskierung der IP-Adresse oder anderen Maßnahmen werden die Daten von Matomo in der Regel lediglich pseudonymisiert, jedoch nicht anonymisiert verarbeitet.

Sendet ein Client eine Webseitenanfrage an einen Webserver, so werden sowohl die Anfrage als auch die Rückmeldung typischerweise im Serverlog gespeichert. In den Log-Dateien werden unter anderem die IP-Adresse des Clients als auch Information aus dem http-header gespeichert. [HTTP-Header-Felder (oft ungenau HTTP-Header) sind Bestandteile des Hypertext Transfer Protocol (HTTP)-Protokollheaders und übermitteln die für die Übertragung von Dateien über HTTP wichtigen Parameter und Argumente, z. B. gewünschte Sprache oder Zeichensatz sowie oft Informationen über den Client. Oft wird „HTTP-Header“ synonym genutzt, besitzt allerdings die Mehrdeutigkeit zwischen einem einzelnen Feld des Headerblocks und dem ganzen Headerblock.] Diese Daten waren zuvor in der Endeinrichtung vorgehalten. Da die Daten durch den Nutzenden aktiv übersandt wurden, sieht die Datenschutzkonferenz (DSK) die Verwendung von diesen Daten regelmäßig nicht als Zugriff im Sinn des § 25 TDDDG an. Diese Einstufung gilt jedoch insbesondere dann nicht, wenn Daten vom Client an einen Server übermittelt werden, der Webseitenanbieter die Übermittlung veranlasst hat und die Übermittlung der Daten nicht zum Ausspielen des vom Nutzenden ausdrücklich gewünschten Dienstes zwingend erforderlich sind.

Technisch können diese Daten also gut verwertet werden. Für Matomo existiert auch eine Lösung, diese Log-Daten in den Analyse-Datenbestand zu überführen. Da aber auch die Analyse der Logdatei immer die Verarbeitung der IP-Adresse voraussetzt, liegen hier im Zentrum der Verarbeitung personenbezogene Daten. Die Daten in den Log-Dateien werden originär zum Zwecke der Diensterbringung und Dienstabsicherung verarbeitet. Werden die Daten aber für die Zwecke der Reichweitenmessung oder Optimierung des Webseitenangebotes verwendet, wird regelmäßig eine Zweckänderung vorliegen. Für eine Zweckänderung sind die Vorgaben des Art. 6 Abs. 4 DSGVO und § 23 Bundesdatenschutzgesetz (BDSG) zu beachten. Zudem muss für die neue Verarbeitung wiederum eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegen. Die Zweckänderung ist durch den Verantwortlichen nachvollziehbar zu prüfen und zu dokumentieren. Es ist außerdem darauf zu achten, dass die Daten nach der Zweckerfüllung gelöscht werden.

Die hier dargestellten Sachverhalte und Wertungen sind analog auch auf andere gleichartige Dienste übertragbar.

Die meiner Aufsicht unterstehenden Stellen sind aufgefordert, ihre Webseitenangebote zyklisch zu prüfen und zeitnah in einen rechtskonformen Zustand zu überführen.