Matomo ohne Cookies zu betreiben ist nicht schwierig. Man muss nicht einmal Cookies deaktivieren oder löschen. Das macht Matomo alles von allein, wenn man es richtig konfiguriert.
Die meisten Besucher werden von Cookie-Bannern genervt. Sie blockieren den Zugriff auf die Seite und schaffen eine unschöne Einstiegshürde. Unter bestimmten Voraussetzungen kann es aber entbehrlich sein, einen Cookie-Consent vorzuschalten. Trotzdem bleibt die Seite DSGVO-konform.
Welche Voraussetzungen das sind, was für eine cookie-freies Tracking spricht, und was dagegen,erfahren Sie in unserem Blog-Beitrag.
Im Sommer steht die endgültige Abschaltung von Google-Analytics bevor. Danach bietet Google einen Dienst GA4 an. Die Umstellung lässt viele Betreiber nachdenken, ob nicht Matomo eine einfachere und vor allem datenschutzfreundlichere Alternativen ist.
Liest man die verschiedenen juristischen Erwägungen zu diesem Thema, so wird klar: Will man seine Webseite ohne eine Cookie-Einwilligung betreiben, so führt an einem selbst gehosteten Matomo kaum ein Weg vorbei.
Für nicht notwendige Cookies muss der Website-Besucher ein aktives Opt-in wählen. Das ist der Kern des Urteils, das der Europäische Gerichtshof in einer wegweisenden Entscheidung gefällt hat. (EuGH, 1.10.2019 – C-673/17 “planet49”).
Das bedeutet: Will der Webseiten-Betreiber Cookies setzen, die nicht notwendig sind, so muss der Webseiten-Besucher diesen Cookies zustimmen. Und zwar, bevor er die Seite betritt. Das ist genau das nervige Cookie-Banner, dem man praktisch überall begegnet.
Unbedingt erforderliche Cookies sind von dem Urteil natürlich ausgenommen. Die darf der Webseitenbetreiber speichern, auch ohne Einwilligung des Nutzers. Dazu gehören z.B. Session-Cookies für Backend-Zugänge oder Warenkörbe. Genauso die Sprachauswahl, oder Cookies, die Cookie-Einwilligung speichern.
Kritisch wird es auf jeden Fall, wenn Cookies dazu genutzt werden, einen Besucher über mehrere Webseiten hinweg zu verfolgen. Diese benötigen in jedem Fall eine vorherige Zustimmung.
Auch Facebook-Pixel und Google-Cookies brauchen sicher einen Opt-In. Es ist ja gerade das Geschäftsmodell der großen Seiten, die Besucher über alle Kanäle zu verfolgen.
Betreibt man Matomo ohne Cookies, werden sich viele Analyse-Zahlen nicht verändern.
Dazu gehören zum Beispiel:
Wie viele Nutzer wann welche Seite aufgerufen haben
Welche Unterseiten sie angesteuert haben
von welchem Gerät (Device) der Aufruf erfolgte
von wo aus (ungefähr) der Aufruf erfolgte
Absprungraten
Einstiegsseiten
Kurz: Alle Daten, die man erfassen kann, ohne dass man über einen längeren Zeitraum hinweg eine Beziehung zwischen verschiedenen Besuchen herstellen muss.
Matomo hat ohne Cookies weniger Möglichkeiten, wiederkehrende User zu erkennen. Mehr dazu später.
Alle Statistiken, die wiederkehrende Besucher betreffen, sind daher verfälscht:
Die Anzahl der wiederkehrenden Besucher ist zu niedrig.
Die Anzahl der Erstbesucher zu hoch.
Probleme gibt es auch bei Conversion-Statistiken. Ein Beispiel-Szenario: Ein Website-Besucher kommt durch eine Anzeige auf die Seite, sieht sich um, aber macht sonst nichts. Nachdem er weiter im Netz herum geschaut hat, kehrt er nach ein paar Tagen zurück und kauft dann ein Produkt. In diesem Fall geht die Verbindung zur Anzeige verloren. Die Wirkung von Anzeigen wird durch cookiefreies Tracking also unterschätzt.
Aus denselben Gründen wird Matomo ohne Cookies auch die Wirkung von Newslettern zu niedrig einschätzen.
Ebenso werden alle Charts zu niedrige Zahlen zeigen, die mehrere Tage überspannen:
Tage seit letztem Besuch
Besuche nach Anzahl
Tage bis zur Conversion
Dieselben Probleme haben übrigens Matomo-Installationen mit Cookie-Banner: Auch hier fehlen alle diejenigen, die dem Setzen der Cookies widersprochen haben. Und auch diejenigen, deren Browser regelmäßig alle Cookies löscht.
Verwunderlicherweise werden die oben erwähnten Daten schlechter, aber sie entfallen nicht ganz. Der Trick dahinter heißt „Device Fingerprinting“. Das ist eine Technik, mit der Besucher anhand von Daten identifiziert werden, die ihr Computer freiwillig mitliefert. Dazu gehören Betriebssystem, Standort, Zeit-Zonen-Einstellungen, bevorzugte Sprache, installierte Plugins, Bildschirmauflösung usw. Über Javascript lassen sich weitere interne Prozessor-Details abfragen.
Diese Daten werden vom Webseiten-Besucher gewöhnlich kaum je geändert.
Matomo fasst diese Daten zu einer Kennung zusammen, die für 24 Stunden gültig bleibt und danach durch eine neue Kennung ersetzt wird. Bis zur Spanne von 24 Stunden können also wiederkehrende Besucher erkannt werden, obwohl Matomo die Cookies deaktivert hat.
Alle Zusammenhänge, die länger als 24h dauern sind aber spurenfrei entfernt.
Das cookie-banner-freie Tracking mit Matomo kommt für alle in Frage, die keine komplizierten Auswertungen brauchen. Die also nichts auswerten, was längere Zeitintervalle überspannt.
Als Faustregel könnte man sagen: Alle, die eher geringere Ansprüche an Matomo haben.
Wer schon Matomo installiert hat und nun überlegt, ob er die Cookiebanner deaktivieren kann, sollte sich kritisch fragen, ob er die oben erwähnten Auswertungen tatsächlich nutzt. Wenn nicht, kommt die cookie-freie Variante ernsthaft in Frage.
Die Umstellung von Matomo ist ganz einfach. Im Backend wählt man in den erweiterten Einstellungen die Option „Alle Tracking Cookies deaktivieren“. Das ändert die Anzeige des Java-Script Codes, den man in seine Website einbettet.
Schaut man sich die Varianten ohne Cookies und mit Cookies genauer an, so sieht man, dass eine einzige Zeile den Unterschied macht:
_paq.push(['disableCookies']);
Ist diese Zeile vorhanden, verwendet Matomo keine Cookies mehr. Und mehr noch: eventuell bereits vorhandene Cookies aus früheren Aufrufen werden gelöscht.
Wichtig ist, dass man nicht nur die Cookies deaktiviert, sondern auch die sonstigen Privatsphäre-Einstellungen anpasst. Besonders die IP-Adresse darf nicht vollständig erfasst werden. 2 oder 3 Bytes müssen maskiert werden. Dazu ruft man die Einstellungen auf, wählt „Privatsphäre“ und dann „Daten anonymisisierten“. Die Variante „2 byte maskieren“ ist voreingestellt.
Auch wenn man den User nicht um Einverständnis fragen muss, muss man ihm doch die Möglichkeit anbieten, eine Datenverarbeitung ganz und gar zu widersprechen.
Matomo hat auch hier die nötigen Schritte vorbereitet: Unter "Einstellungen" wählt man "Privatsphäre" und dann "Benutzer Opt-Out". Dort wird einem dann ein html-Schnipsel angezeigt, den man in seine eigene Seite einbauen kann. In TYPO3 erledigt man das ganz einfach mit dem Inhalts-Element "HTML" auf der Datenschutz-Seite.
Hat man das Schnipsel dort eingebettet, erscheint eine Checkbox auf der Datenschutz-Seite, mit der der Besucher jegliche Spuren in den Matomo-Reports unterbinden kann.
Übrigens beachtet Matomo sowieso die „do not-Track“-Einstellungen des Browsers.
Wenn Sie es bis hierher geschafft haben, sind die Cookies auf Ihrer Webseite deaktiviert. Am meisten werden sich Ihre Besucher freuen, die keine Einstiegshürden mehr überwinden müssen.
Wenn Sie Unterstützung im Zusammenhang mit TYPO3 oder Matomo benötigen, rufen Sie uns einfach unverbindlich an: 089 38 15 76 400