Wie bekommen wir Matomo mit dem TTDSG in Einklang?

Was ist Matomo?

Matomo hieß vor 2018 Piwik und ist ein Web-Analysetool. Seine Hauptfunktion ist, Bewegungen auf Websites zu analysieren, um aufgrund der gewonnen Erkenntnisse die Website optimieren zu können.

Was ist datenschutzrechtlich zu beachten?

Das Tool kann

ganz ohne die Erhebung personenbezogener Daten eingesetzt werden (Privacy-Einstellungen), indem, dass die letzten Ziffern der IP-Adresse anonymisiert wird.

• auch komplett ohne Cookies eingesetzt werden (in der Privacy-Einstellung „alle Tracking-Cookies deaktivieren“). (Achtung: Matomo nutzt in der Standardeinstellung Cookies. In diesem Fall muss also in jedem Fall ein Cookie-Banner mit Einwilligungsmöglichkeit verwendet werden.)

Werden diese Punkte eingehalten, braucht man – rein datenschutzrechtlich gesehen – keine Einwilligung (und damit keinen Banner!)

Und: ein Hinweis in der Datenschutzerklärung dürfte optional sein.

Was aber ist TTDSG-rechtlich zu beachten?

Es gibt § 25 TTDSG, wonach die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

--> gilt also vor allem für Cookies! Allerdings soll nach dem Willen des Gesetzgebers und wohl auch nach dem Wortlaut des § 25 TTDSG die Einwilligungspflicht nicht nur für Cookies gelten, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.

Damit wäre eine Einwilligungspflicht für Matomo relevant, da auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ ein bestimmtes Nutzerverhalten nachvollzogen werden kann.

Device Fingerprinting: Vom Nutzer nicht zu erkennende Technologien, die vom verwendeten Endgerät spezifische Informationen (z.B. Gerätetyp, das Betriebssystem) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.

Es ist fraglich, ob bei diesem Device Fingerprinting so auf Geräte-Informationen zugegriffen wird, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden kann.

Es gibt keine Urteile dazu! Mehr dazu finden Sie hier.

Stand: 30.03.2022

Schützt das Geschäftsgeheimnisgesetz (GeschGehG) personenbezogene Daten?  

Nein, nicht ausdrücklich. Aber manchmal indirekt:

Ein Geschäftsgeheimnis im Sinne dieses Gesetzes ist

eine Information

  1. a) die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist
    und daher von wirtschaftlichem Wert ist und
  2. b) die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
  3. c) bei der ein berechtigtes Interesse an der Geheimhaltung besteht;

--> Hier der Gesetzestext

Das Geschäftsgeheimnisgesetz schützt Informationen von wirtschaftlichem Wert --> Art. 14 GG

Die DSGVO schützt die informationelle Selbstbestimmung von Personen --> Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG

Stand: 09.03.2022