Rechtliche Fragen zur Open-Source-Software „Matomo“

· · · · | Allgemein

  1. Was ist Matomo?

 

Die Open-Source Software Matomo ist der größte Konkurrent zum Website-Analyse Tool Google Analytics („GA“), welches zum US-amerikanischen Technologiekonzern Alphabet gehört. Beide Softwares dienen dem Erfassen von Aktivitäten auf Websites durch bspw. Besucher- oder Referenzanalysen und Statistiken von Websitebesuchen.[1]

Im Vergleich zu GA wirbt Matomo nach eigenen Angaben auf ihrer Website damit, dass es für die Nutzung des Dienstes keiner „Tracking“-Zustimmung durch den Besucher der Website bedürfe. Weiters verbleiben die gesammelten Daten, im Unterschied zu GA, gänzlich beim Betreiber der Website und werden nicht weitergeben, wenn dieser das nicht möchte. Die Betreiber haben die Möglichkeit selbst festzulegen, in welchen geografischen Datenzentren die gesammelten Daten gespeichert werden sollen. Dies ist ein weiterer wichtiger Unterschied zu GA, welche in deren Benutzungsbestimmungen festlegen, dass die Daten im „Google Netzwerk“ gespeichert werden.[2] Das bedeutet, dass die über GA gesammelten Daten auch in Ländern wie den USA gespeichert werden, in welchen Behörden selbst ohne richterlichen Beschluss auf Daten von ausländischen Nutzern zugreifen können.[3]

 

  1. Ist der User über die Verwendung von Matomo durch sog. Cookie Banner zu informieren?

 

Der Betreiber einer Internetseite („Diensteanbieter“) hat seine Nutzer über die Verwendung von Matomo als Analyse Tool zu informieren und deren Einwilligung einzuholen, wenn Daten der Besucher teilweise oder vollautomatisiert erfasst und in Form von Cookies auf den Endgeräten der User gespeichert werden sollen. Diese Information und Einwilligung erfolgt in der Praxis idR über einen „Cookie Banner“.

 

Der EuGH definiert Cookies in der Entscheidung C-673/17 („Planet 49“) als Textdateien, die vom Anbieter einer Website auf dem Computer des Nutzers gespeichert werden und bei erneutem Aufruf derselben Website durch den Nutzer wieder abgerufen werden können.[4]

 

Aus dem Schutz der Grundfreiheiten, die von der ePrivacy-Richtline 2002/58 gewährleistet werden sollen, leitet der EuGH ab, dass eine Einwilligung durch den Nutzer zur Speicherung von Cookies zu erfolgen hat, um ungewollte Eingriffe in dessen Privatsphäre zu verhindern.[5] Dabei ist nach Ansicht des EuGH nicht zwischen zwischen personenbezogenen und nicht personenbezogenen Daten zu unterscheiden.[6] Der Schutz der Privatsphäre ist durch das Abspeichern und Wiederaufrufen von Cookies jedenfalls betroffen, selbst wenn diese nicht-personenbezogene Daten speichern.

 

Einen Ausnahmefall, in dem keine Zustimmung durch den Nutzer eingeholt werden muss, sieht der EuGH in Art 5 Abs 3 letzter Satz ePrivacy-RL. Sind die Cookies technisch unbedingt erforderlich, um überhaupt die vom Nutzer gewünschten Dienste durchführen zu können, so bedarf es keiner Zustimmung durch den Nutzer (sog. einwilligungsfreie Cookies).

 

Unter solche einwilligungsfreien Cookies fallen wohl häufig Cookies, welche die Einwilligung zur Benutzung von Cookies speichern oder die Sprachauswahl auf internationalen Internetseiten.[7]

 

Bei der Verwendung von Matomo durch einen Diensteanbieter ist daher zu fragen, ob bloß technisch unbedingt erforderliche („einwilligungsfreie“) Cookies oder auch darüber hinausgehende Cookies verwendet werden. Dies kann auch von den Einstellungen abhängen, die bei der Verwendung von Matomo gewählt werden können. Im zweiten Fall ist die aktive Zustimmung des Nutzers der Website einzuholen und es ist über die Cookies zu informieren. Dabei müssen auch Angaben zur Funktion, Funktionsdauer und dazu, ob Dritte Zugriff auf die Cookies erhalten können, gemacht werden.

 

Denkbar ist es, die verwendeten Cookies in Gruppen einzuteilen, welche dann mit einer kurzen Beschreibung und jeweils mit einer Einwilligung versehen sind.[8]

 

  1. Wird die aktive Zustimmung des Nutzers zum Sammeln der Daten benötigt oder reicht eine Opt-Out Funktion?

 

Bei dem Opt-Out Verfahren wird dem Benutzer einer Website ein bereits voreingestelltes Kästchen dargestellt und dieser muss, wenn er die Speicherung seiner Daten unterbinden möchte, das Kästchen abwählen.[9] Dieser Möglichkeit hat der EuGH in der Entscheidung C-673/17 eine klare Absage erteilt. Dazu führt das Gericht aus, dass eine Zustimmung durch ein aktives Ankreuzen oder Anklicken erforderlich ist („opt-in“).[10]

 

Dieser Ansicht des EuGH folgt auch der deutsche BGH und hält in der Entscheidung I ZR 7/16 fest, dass die Privatsphäre des Nutzers soweit geschützt ist, als ein Eingriff nur erlaubt sei, wenn die betroffene Person tatsächlich eingewilligt hat. Zusätzlich führt das dt. Höchstgericht aus, dass eine Einwilligung unabhängig davon zu erfolgen hat, ob die erhobenen Daten personenbezogen oder nicht personenbezogen sind. Das ergibt sich nach Ansicht des Gerichts, wie bereits unter Punkt 2. angesprochen, aus den unterschiedlichen Regelungsgegenständen der ePrivacy-RL einerseits und der DSGVO andererseits. Während erstere dem Schutz der Privatsphäre von natürlichen Personen Rechnung trägt, verfolgt die DSGVO das Ziel, personenbezogene Daten und deren Verarbeitung zu schützen.[11]

 

  1. Muss Matomo in der Datenschutzerklärung der Website angeführt werden?

 

Ergänzend zu den bisher beschriebenen Zustimmungs- und Informationspflichten bei der Setzung von Cookies müssen die datenschutzrechtlichen Vorgaben der DSGVO beachtet werden. Die DSGVO ist bei der Verarbeitung von personenbezogenen Daten anwendbar. Als personenbezogen iSd Art 4 Z 1 DSGVO gelten alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

 

Unter diesen weiten Begriff der personenbezogenen Daten fallen etwa Namen, Standort oder auch (bloß) die IP-Adresse eines Nutzers, weil sie dessen Identifizierung ermöglicht („Identifizierbarkeit“).

 

Sofern Matomo daher personenbezogene Daten wie die IP-Adresse des Nutzers speichert und verarbeitet, ist die DSGVO anwendbar. Für die Verarbeitung dieser Daten ist die Zustimmung des Nutzers erforderlich, außer es liegt eine der ausdrücklichen Ausnahmen der DSGVO vor, etwa wenn die Datenverarbeitung zur Erfüllung des Vertrags mit dem Nutzer erforderlich ist. Dies wird bei Matomo aber eher nicht der Fall sein.

 

Es ist daher auch nach der DSGVO die (aktiv zu erteilende) Zustimmung des Nutzers zur Speicherung und Verarbeitung seiner personenbezogenen Daten erforderlich. Dies kann praktisch so gelöst werden, dass die Zustimmung zur Setzung von Cookies im Rahmen eines Cookie-Banners mit der Zustimmungserklärung nach der DSGVO verbunden wird.

 

Darüber hinaus trifft den Verantwortlichen die Pflicht der betroffenen Person in einer transparenten Weise die in Art 13 f DSGVO genannten Informationen zu erteilen, wenn Daten durch den Websitebesuch verarbeitet werden sollen.

 

Vor dem Hintergrund des weiten Verständnisses von personenbezogenen Daten nach der DSGVO ist es empfehlenswert, bei der Verwendung von Matomo als Analyse Tool auf dessen Einsatz in der Datenschutzerklärung hinzuweisen, wenn personenbezogene Daten wie die IP-Adresse der Nutzer von Matomo verarbeitet und gespeichert werden.

 

Nur wenn die Verarbeitung personenbezogener Daten durch entsprechende Einstellungen bei der Implementierung von Matomo zweifelsfrei ausgeschlossen werden kann, können Zustimmung und Informationserteilung nach der DSGVO entfallen.

 

Ferner muss auf die Verwendung von Matomo hingewiesen werden, wenn die Daten nicht direkt auf firmeneigenen Servern, sondern über betriebsfremde Hostrechner erfasst werden. Dabei kann es sich nämlich um die Weitergabe von Daten durch das Analyse Tool an Dritte handeln, worüber der Nutzer einer Website ebenfalls zu informieren ist.

 

Beispiele von Websites, welche Matomo verwenden und in ihrer Datenschutzerklärung anführen:

 

  1. Wenn die Daten im Unternehmen gespeichert werden, gibt es spezielle Dinge zu beachten?

 

Für die Verarbeitung von personenbezogenen Daten ist nach der DSGVO für den Verantwortlichen vor allem Art 24 DSGVO von Bedeutung. Diese allgemeine Verpflichtung folgt einem risikobasierten Ansatz bei der Beurteilung, welche Pflichten den Verantwortlichen bei der Verarbeitung von Daten treffen.[12]

 

Jene Person, welche die Daten verarbeitet trifft dabei die Pflicht das Risiko, welches sich aus Eintrittswahrscheinlichkeit und Schadensschwere ergibt, abzuschätzen und diesem durch entsprechende Maßnahmen vorzubeugen.[13]

 

Die Schadensschwere ergibt sich dabei aus Art und Form des verletzten Rechtsgutes, wobei in ErwGr 75 sowohl materielle als auch immaterielle Schäden erfasst sind. So werden in ErwGr 75 demonstrativ folgende Schäden aufgezählt[14]:

 

  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • Rufschädigung
  • Verlust der Kontrolle über die eigene Person betreffende Daten

 

In diesem Zusammenhang trifft den Verantwortlichen die Pflicht alle Maßnahmen zu setzen, damit das Ziel einer DSGVO-konformen Datenerfassung erfüllt werden kann. Der Begriff der Maßnahme ist dabei ebenfalls weit zu verstehen und erfasst neben etwaigen baulichen Maßnahmen auch Schulungen für die Mitarbeiter oder die Implementierung von Sicherheitskonzepten.[15] Letztere Maßnahme ergibt sich genauer aus Art 32 DSGVO, der verlangt, dass der Verantwortliche ein dem Stand der Technik entsprechendes Sicherheitskonzept zur Verwahrung der Daten erstellt, implementiert und laufend aktualisiert.

 

Weiters trifft den Verantwortlichen gemäß Art 5 Abs 2 DSGVO die Pflicht alles nachzuweisen, dass er die datenschutzrechtlichen Pflichten erfüllt hat ( Rechenschaftspflicht).[16]

 

Die implementierten Maßnahmen zur Sicherung der Daten sind laufend zu überprüfen und bei Bedarf zu aktualisieren, wenn Anzeichen sichtbar werden, dass die Maßnahmen nicht mehr als ausreichend erscheinen.[17]

 

Ferner ist der Unternehmer verpflichtet, bei der Verletzung der Pflichten oder bei unbefugtem Entwenden von Daten (Data Breach), dies der Datenschutzbehörde zu melden und die betroffenen Personen davon zu informieren, wenn der Datendiebstahl ein hohes Risiko für die persönlichen Rechte oder Freiheiten der Person mit sich bringt[18] (z.B. wenn der Verstoß Diskriminierung oder den Identitätsdiebstahl einer natürlichen Person nach sich ziehen kann).[19]

 

  1. Bis auf welches Byte muss die IP anonymisiert werden (1, 2, 3)? Muss sie das überhaupt?

 

IP-Adressen gelten, wie auch andere erhobene Daten, dann als personenbezogen, wenn es irgendeinem Dritten nach allgemeinem Ermessen möglich ist eine Identifizierung einer natürlichen Person durchzuführen.[20] Dies wird bei einer IP-Adresse grundsätzlich bejaht.[21] Werden personenbezogene Daten allerdings anonymisiert, so findet die DSGVO grundsätzlich keine Anwendung.[22]

 

Als anonym gelten Daten dann, wenn die Identifizierung einer betroffenen Person aufgrund des Entfernens des Personenbezuges nicht mehr möglich ist. Als weiters wichtiges Merkmal gilt, dass die Handlung der Anonymisierung unumkehrbar ist, da es sich sonst allenfalls um eine Pseudonymisierung handeln kann. Die Anforderungen an die Anonymisierung sind dabei so hoch, dass auch keine Rückschlüsse zwischen Datensätzen durch selten vorkommende Merkmale gezogen werden dürfen.[23]

Bei der Bewertung der Aussage der Anonymisierung kann auf die k-Anonymität zugegriffen werden. Diese besagt, dass es für jeden beliebigen Datensatz mindestens k–1 weitere Datensätze gibt, welche von diesem nicht unterscheidbar ist.

 

Im Umkehrschluss gilt eine Liste von Daten dann nicht mehr als anonym, wenn es zumindest einem Dritten möglich ist, eine Person in einer Liste direkt anhand einer Eigenschaft identifizieren zu können. Mit Bezug auf IP-Adressen wird empfohlen, neben der k-Anonymisierung weitere Maßnahmen zur Anonymisierung zu treffen. In diesem Zusammenhang ist es nämlich mit hoher Sicherheit möglich, dass zumindest ein Dritter (bspw. Internetprovider oder Behörden) die IP-Adresse bzw. die natürliche Person dahinter identifizieren kann.[24]

 

Bei der Verwendung von Matomo wird nach eigenen Angaben auf deren Website eine Anonymisierung von 2 oder 3 Bytes empfohlen.[25] Aufgrund der strengen Anforderungen des DSGVO ist im Zweifel eine Anonymisierung von 3 Bytes zu empfehlen.

 

  1. Schlussbemerkungen

 

Auch bei der Verwendung von Matomo sind die rechtlichen Anforderungen bei der Setzung von Cookies und der Verarbeitung personenbezogener Daten grundsätzlich zu beachten. Allerdings kann bei der Verwendung von Matomo eine Reihe von Vorkehrungen (bspw. Anonymisierung sämtlicher personenbezogener Daten, Erfassung der Daten ausschließlich zu Messung der Performance der eigenen Website und Deaktivieren von Cookies) von Seiten des Betreibers einer Website getroffen werden. Es bedarf dabei stets einer Beurteilung im Einzelfall, welche Einstellungen getroffen werden müssen, um ggf. Zustimmungs- und Informationspflichten nicht nachkommen zu müssen.

 

Abzuwarten bleibt, wie sich die geplante (bisher aber noch nicht realisierte) ePrivacy-Verordnung auf die angesprochenen Rechtsfolgen auswirken wird.

 

Ihr Ansprechpartner: Mag. Dr. Florian Linder

 

[1] Matomo. https://matomo.org/. [Stand 27.7.2020].

[2] Why should you consider a Google Analytics alternative. https://matomo.org/google-analytics-alternative/. [Stand 27.7.2020].

[3] Hegemann, Was das EuGH-Urteil für Ihre Daten bedeutet. Die Zeit-Online. Im Internet unter: https://www.zeit.de/digital/datenschutz/2020-07/eu-us-privacy-shield-usa-daten-uebertragung-unternehmen-facebook#worum-geht-es. [Stand 27.7.2020].

[4] EuGH 1.10.2019, Rs C-673/17, Planet 49 Rn 31.

[5] EuGH 1.10.2019, Rs C-673/17, Planet 49 Rn 70.

[6] EuGH 1.10.2019, Rs C-673/17, Planet 49 Rn 71.

[7] Schwenke, Neues EuGH-Urteil: Cookie-Einwilligung-Banner und Detailinformationen sind im Onlinemarketing Pflicht. Im Internet unter: https://datenschutz-generator.de/eugh-cookie-einwilligung-banner-detailinformationen-pflicht/. [Stand 27.7.2020].

[8] Dürager, Der EuGH zur Zulässigkeit des Setzens von Cookies – eine endlose Geschichte …, jusIT 2019/89 (243).

[9] Steinrötter, Anforderungen an die Einwilligung des Internetnutzers beim Setzen und Auslesen von Cookies, GPR 2020, 106 (108).

[10] EuGH 1.10.2019, Rs C-673/17, Planet 49 Rn 45.

[11] BGH 28.5.2020, I ZR 7/16 Rz 61.

[12] Hötzendorfer/Kastelitz/Tschohl in Knyrim, DatKomm Art 24 DSGVO Rz 16.

[13] Hötzendorfer/Kastelitz/Tschohl in Knyrim, DatKomm Art 24 DSGVO Rz 19.

[14] Hötzendorfer/Kastelitz/Tschohl in Knyrim, DatKomm Art 24 DSGVO Rz 21.

[15] Hötzendorfer/Kastelitz/Tschohl in Knyrim, DatKomm Art 24 DSGVO Rz 25 f.

[16] Hötzendorfer/Kastelitz/Tschohl in Knyrim, DatKomm Art 24 DSGVO Rz 8 ff, 35.

[17] Hötzendorfer/Kastelitz/Tschohl in Knyrim, DatKomm Art 24 DSGVO Rz 38.

[18] König/Schaupp in Knyrim, DatKomm Art 34 DSGVO Rz 12.

[19] König/Schaupp in Knyrim, DatKomm Art 34 DSGVO 17.

[20] DSB-D123.224/0004-DSB/2018.

[21] Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 15.

[22] Sonntag, Technische Grenzen der Anonymisierung, jusIT 2018/54 (137).

[23] Geuer/Wollmann, Verarbeitung von pseudonymen Daten mit besonderem Fokus auf Art 26 und 28 DS-GVO, jusIT 2020/6 (20 f).

[24] Sonntag, Technische Grenzen der Anonymisierung, jusIT 2018/54 (141 f).

[25] How do I use Matomo Analytics without consent or cookie banner? Im Internet unter: https://matomo.org/faq/new-to-piwik/how-do-i-use-matomo-analytics-without-consent-or-cookie-banner/. [Stand 27.7.2020]