Rättssäkra åtgärder och cookie-samtycke
Matomo (tidigare Piwik) är ett projekt med öppen källkod. Som ett alternativ till Google Analytics erbjuder Matomo webbanalysverktyg som används för att registrera dina besökares aktiviteter. Matomo använder cookies av olika slag för detta ändamål. För att göra Matomo GDPR-kompatibel är ett Matomo Cookie-samtycke väsentligt. Motsvarande information ska också lämnas i Matomos dataskyddsdeklaration. Detta väcker frågan om vad du som webbplatsoperatör generellt sett måste vara uppmärksam på om du vill driva Matomo i enlighet med GDPR.
Matomo: programvaran med öppen källkod i ett ögonkast
Matomo Analytics anses vara en stor konkurrent till marknadsledaren Google Analytics. Liksom den senare programvaran används Matomo även för att registrera besökarnas aktiviteter på din webbplats. Andra funktioner inkluderar statistik och referensanalys.
Matomo är baserat på PHP och använder en MySQL-databas. Den intuitiva hanteringen och de integritetsvänliga inställningsalternativen bidrar till analysverktygets popularitet. Matomo används på över en miljon webbplatser i mer än 200 länder.
Matomo annonserar redan att det, till skillnad från Google Analytics, inte kräver spårningssamtycke från webbplatsbesökare . Matomo lovar att göra denna GDPR-kompatibel och juridiskt säker. Matomo uppger på sin egen hemsida att informationen som samlas på detta sätt inte kommer att föras vidare och därmed förbli helt hos webbplatsens operatör. Som operatör har du möjlighet att bestämma var (i vilka data- och datorcenter) den data som används ska lagras och lagras. Det är också här som Matomo skiljer sig från Google Analytics, eftersom användarvillkoren föreskriver att uppgifterna lagras i ett ospecificerat Google-nätverk. I praktiken innebär det att Google Analytics även kan lagra data i länder som USA.
Gör Matomo GDPR-kompatibel: Vad du måste vara uppmärksam på
När det gäller att driva Matomo GDPR rättvist är det viktigt att alltid hålla ett öga på den aktuella rättsliga situationen . Dataskyddskraven tenderar att skärpas från en dom till en annan. Inom marknadsföring på nätet och bland webbplatsoperatörer växer därför oron för att allt färre användare kommer att gå med på användningen av spårnings- och analyscookies. Dessa verktyg är dock viktiga för att utföra analyser och optimeringar utifrån dem. Prestanda för varje sida beror på användningen av många cookies.
En speciell egenskap hos Matomos Analytics är den fullständiga datakontrollen. Du har möjligheten att spara data för att driva Matomo utan cookies och därmed utan besöksanalys. Detta väcker frågan om och under vilka förutsättningar Matomo, liksom Google Analytics, är beroende av användarens samtycke och vilka åtgärder som krävs för att säkerställa att användningen av Matomo är GDPR-kompatibel.
Hålla sig uppdaterad!
Prenumerera på nyhetsbrevEG-domstolens dom: Hur Matomo blir GDPR-kompatibel
För att göra Matomo GDPR rättvist måste även EG-domstolens dom om cookies från 2019 beaktas.
Tidigare, före GDPR, kunde verktyg som Google Analytics eller Matomo också användas utan samtycke, så länge som webbplatsoperatörer höll sig till vissa specifikationer (t.ex. AV-kontrakt och anonymisering av IP). Även med ikraftträdandet av GDPR hänvisade många webbplatsoperatörer till det så kallade ”legitima intresset” i enlighet med artikel 6 para. 1 lit. f GDPR.
EG-domstolens dom från 2019 (Az.: C-673/17) ger en mer explicit reglering om hanteringen av cookies: sedan dess har användarens uttryckliga samtycke krävts innan Matomo cookies, Google Analytics cookies eller annan information skapat. Det praktiska genomförandet ska ske via en dubbel opt-in. Det är inte lagligt att skapa cookies med Matomo innan användaren har samtyckt till detta. De enda undantagen från detta är tekniskt obligatoriska cookies. Allt som går utöver den väsentliga driften av webbplatsen kräver uttryckligt samtycke.
Du hittar stöd för att implementera detta krav i en Matomo-cookie-samtyckesbanner. Detta reglerar Matomo Cookie-samtycke genom att visa ett meddelande så snart besökare når din webbplats. Redan innan sidans innehåll laddas ombeds användarna att ge sitt samtycke via samtyckesbannern.
Dessutom erbjuder samordningsorganet för de tyska dataskyddsmyndigheterna (DSK) vägledning för telemedialeverantörer. Den förklarar vissa åtgärder och inställningar som bidrar till att webbplatsen fungerar enligt lag.
Ramar och standarder för hantering av Matomo cookies
För att göra Matomo GDPR-kompatibel måste vissa juridiska ramvillkor följas, med efterlevnad som du kommer att få stöd från olika ramverk. Det finns en standard eller ett ramverk för att hantera cookie-samtycke. Branschorganisationen IAB Europe (Interactive Advertising Bureau) har publicerat TCF (Transparency and Consent Framework) , som säkerställer laglig hantering av cookies. Standarden, som publicerades första gången 2018, finns nu tillgänglig i version 2.0. Moderna CMP:er (Consent Management Providers) som Consentmanager använder detta ramverk som grund och använder det för att erhålla samtycke för bearbetning av cookies.
Utgivarna av denna standard strävar efter att alltid göra informationen om status för användarens samtycke till behandlingen av cookies transparent. Informationen bör vara tillgänglig för alla som är involverade i leveranskedjan för Matomo-kakor (främst annonsörer och andra tjänsteleverantörer). De informeras om information om status för samtycke till Matomo-kakor.
Ett samtyckesverktyg för Matomo-kakor, som bygger på IAB-ramverket, avgör därför först om användaren överhuvudtaget har samtyckt till behandlingen av Matomo-kakor. I nästa steg kan Matomo Cookie Consent Tool identifiera vilka specifika cookies användare har samtyckt till. Detta inkluderar även information om typen och omfattningen av samtycke till användning av cookies.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Åtgärder för att använda Matomo GDPR-kompatibel
Olika åtgärder hjälper till att säkerställa att Matomo fungerar i enlighet med GDPR. Rättssäkerheten för programvara med öppen källkod kan upprätthållas om vissa principer iakttas.
Matomo utan cookies och utan opt-in
I Matomo hittar du inställningen för att avaktivera alla spårningscookies och därmed att använda Matomo utan cookies. På så sätt är Matomo oproblematisk för GDPR. Det är också möjligt att anpassa programvarans JavaScript-kod därefter. I båda fallen raderas de återstående Matomo-cookiesna nästa gång sidan öppnas.
Om inga Matomo-kakor samlas in, krävs inte längre uttryckligt samtycke via opt-in för att driva Matomo GDPR-kompatibel. Ändå kvarstår kravet på att informera dina besökare om användningen av verktyget. Du bör åtminstone göra detta i integritetspolicyn. När du använder vår samtyckeshanterare kan du även lista Matomo i den. Eftersom samtycke inte längre krävs om Matomo-kakor inte används, räcker det med klassificering i kategorin ”väsentlig”, för vilken det inte finns någon möjlighet att välja bort.
Matomos integritetspolicy
Varje gång du använder Matomo måste du följa GDPR, inklusive dina dataskyddsriktlinjer. GDPR är generellt tillämplig i alla fall där personuppgifter behandlas. Detta inkluderar redan sådana grundläggande saker som plats, namn eller till och med IP-adressen för dina besökare. Denna och annan information tjänar till att identifiera dina besökare eller är lämplig för identifierbarhet.
Närhelst du samlar in personuppgifter är Matomo GDPR-kompatibel. Behandlingen av dessa uppgifter kräver i allmänhet samtycke och samtycke från dina besökare. För att driva Matomo GDPR rättvist utan samtycke finns det bara ett undantag om databehandlingen är nödvändig för att fullgöra ett kontrakt med användaren.
I Matomos dataskyddsdeklaration måste du som webbplatsoperatör informera dina användare utförligt om insamling och behandling av personuppgifter. Detta transparenskrav baseras på artikel 13 GDPR .
Anpassningen av Matomo till den GDPR-kompatibla dataskyddsdeklarationen måste innehålla minst följande information: å ena sidan måste du tydligt uttrycka omfattningen av datainsamlingen och även ta upp den rättsliga grund som datainsamlingen bygger på. Vidare ska Matomos dataskyddsdeklaration ge information om lagringstiden. På samma sätt bör dataskyddsdeklarationen ge en indikation om de kriterier som ligger till grund för lagringsperioden. Även och i synnerhet ångerrätten och möjligheterna till dess genomförande måste vara föremål för dataskyddsförklaringen.
Anonymisering av IP
Vid anonymisering av personuppgifter gäller inte tillämpligheten av GDPR. Så om du anonymiserar IP-adressen är detta ett viktigt bidrag till dataskyddet. Uppgifterna anses vara anonyma om det inte längre är möjligt att identifiera besökaren på grund av borttagandet av den personliga referensen. En viktig förutsättning i sammanhanget är att anonymiseringen inte längre kan vändas (alternativt finns även pseudonymisering). När det gäller IP-adresser uppstår frågan vilken byte som ska anonymiseras för att säkerställa att besökare inte längre kan identifieras. I detta avseende rekommenderar utvecklarna att anonymisera IP-adressen på 2 eller 3 byte i Matomo för att uppfylla GDPR-kraven.
ta bort äldre data
För att kunna använda Matomo DSGVO rättvist är det även fördelaktigt att ta bort gammal data. Vissa integritetsförespråkare och tillsynsmyndigheter tror att äldre analysprofiler ofta skapades utan en laglig grund . Med det ska de raderas. Raderingen av gamla data eller befintliga analysprofiler är relativt enkelt i Matomo. I avsnittet ”Inställningar”, under fliken ”Sekretess”, hittar du alternativet ”Anonymisera data”. Här kan du även anonymisera gammal och redan insamlad spårningsdata. Du kan också ta bort eller ta bort äldre besöksloggar här.
Matomo-kakabannern och dess betydelse
Dina besökare måste också informeras om användningen av Matomo Analytics. En samtyckesbanner för Matomo cookie stödjer dig i detta. Så fort besöksdata ska registreras och lagras i form av cookies på slutenheterna blir det viktigt att inhämta samtycke. Informationen eller meddelandet samt samtycket ges via en sådan cookie-banner. Det är i detta sammanhang viktigt att det enligt EG-domstolen inte ska göras någon skillnad mellan personuppgifter och icke-personuppgifter. När det gäller att skydda dina användares integritet påverkas detta i grunden av lagring och återkallande av cookies. Detta gäller även icke-personliga uppgifter. Det enda undantaget är tekniskt nödvändiga cookies, utan vilka det inte är möjligt att driva webbplatsen. Dessa är så kallade samtyckesfria cookies.
Om du använder Matomo som operatör av webbplatsen uppstår frågan om du bara använder tekniskt nödvändiga cookies eller även sådana som inte är absolut nödvändiga. I det senare fallet är du beroende av att inhämta aktivt samtycke från användaren och att uttryckligen informera dina besökare om användningen av cookies. Detta inkluderar även omfattande information om cookiess funktion, varaktigheten av deras funktion och information om huruvida även tredje part har tillgång till cookies.
Det är fördelaktigt och vanligt på många webbplatser att gruppera de cookies som används. Dessa cookiegrupper ges sedan en kort beskrivning och var och en har sitt eget samtyckesalternativ. En bra Matomo Cookie Consent Provider erbjuder dessa alternativ integrerade i samtyckesbannern.
Consent Manager: Lösningar för lagligt kompatibel Matomo Cookie Consent Management
Som webbplatsoperatör är det mycket viktigt för dig att göra användningen av Matomo GDPR-kompatibel. Detta inkluderar även att vidta åtgärder för det rättssäkra Matomo Cookie-samtycket. Med en samtyckeshanteringslösning som Consentmanager kan du informera dina besökare utförligt om användningen av Matomo cookies. Dessutom kan du i samma steg be om ditt samtycke och samtycke till användningen av cookies. På Matomo tar ett verktyg för samtyckeshantering hänsyn till GDPR-överensstämmelse och kraven i EG-domstolens dom.
Dessutom har denna tekniska implementering av Matomo Cookie Management fördelen att den bidrar till en positiv användarupplevelse . Användare informeras omedelbart om användningen av Matomo-kakor när de besöker webbplatsen och tillfrågas om deras samtycke. Användarens krav på dataskydd tas på allvar. Beslutet om typ och omfattning av de tillåtna cookies är helt upp till besökaren.
De väsentliga faktorerna för den positiva användarupplevelsen är en lång vistelse , en hög acceptansgrad och en lägre avvisningsfrekvens . Ett bra verktyg för samtyckeshantering bidrar till att säkerställa en hög acceptansgrad och hålla avvisningsfrekvensen motsvarande låg. De övergripande målen för kundförvärv och kundlojalitet gynnas alltså av användningen av samtyckeshanteraren.
Med Consent Manager har du en realtidsöversikt över aktuella acceptansgrader och vistelsens längd. Detta gör det möjligt att dra slutsatser om din webbplats nuvarande prestanda och samtidigt avslöjar optimeringspotentialen.
Tack vare responsiv anpassning är samtyckeshanteraren lämplig för nästan alla enheter och operativsystem. Detta är särskilt viktigt eftersom kunder i allmänhet får tillgång till webbplatser med olika slutenheter. Att driva Matomo GDPR-kompatibelt är viktigt utanför Tysklands gränser om du har internationella besökare . Tack vare den internationella orienteringen och stödet från mer än 30 språk är samtyckeshanteraren lämplig för besökare från hela DSVGO-området och utanför. Matomo Cookie Consent Banner visas automatiskt på språket för användaren som går in på webbplatsen.
Vanliga frågor om Matomo och GDPR
Sedan EG-domstolens dom senast får cookies som inte är tekniskt nödvändiga endast ställas in med uttryckligt medgivande. Dessa cookies innehåller värdefull spårnings- och analysdata som många webbplatser förlitar sig på för att fungera bra. Med Consentmanager ger du dina kunder ett rättssäkert sätt att samtycka till behandlingen av dessa cookies.
GDPR gäller alla personuppgifter . Du behandlar ofta personuppgifter med Matomo. GDPR föreskriver att dataskyddsförklaringen indikerar detta. Namn, plats och IP-adress är redan personuppgifter eftersom de möjliggör identifiering.
När du använder Matomo måste GDPR följas samt EG-domstolens beslut om cookies. Det är viktigt om de bara är tekniskt väsentliga (”samtyckesfria”) eller andra cookies. Detta beror också på Matomo-inställningarna. Cookies som inte är tekniskt nödvändiga kräver aktivt samtycke för att använda dem . Användare måste också informeras om funktionen, funktionell varaktighet och åtkomst av tredje part.
