Matomo Datenschutzerklärung: DSGVO-konforme Einbindung

Matomo und Datenschutz: Warum Matomo die DSGVO-freundliche Alternative ist

Die Wahl des richtigen Webanalyse-Tools ist eine der wichtigsten Datenschutzentscheidungen für Website-Betreiber. Matomo (ehemals Piwik) gilt als die datenschutzfreundlichste Alternative zu Google Analytics. Doch auch bei Matomo müssen bestimmte Datenschutzanforderungen erfüllt werden. In diesem vollständigen Leitfaden erfahren Sie, wie Sie Matomo DSGVO-konform einsetzen, welche Angaben Ihre Datenschutzerklärung enthalten muss und wie Sie Matomo sogar ohne Cookie-Consent nutzen können.

Warum Matomo statt Google Analytics?

Seit dem Schrems-II-Urteil des EuGH und den darauf folgenden Entscheidungen europäischer Datenschutzaufsichtsbehörden ist Google Analytics in vielen EU-Ländern kritisch bewertet worden. Die österreichische Datenschutzbehörde, die französische CNIL und die italienische Garante haben den Einsatz von Google Analytics ohne ausreichende Schutzmaßnahmen als DSGVO-widrig eingestuft. Matomo bietet hier wichtige Vorteile:

• Daten bleiben in der EU: Bei Matomo Self-Hosted liegen alle Daten auf Ihrem eigenen Server – kein Drittlandtransfer nötig
• Vollständige Datenkontrolle: Sie sind alleiniger Verantwortlicher für die erhobenen Daten
• Open Source: Der Quellcode ist einsehbar und überprüfbar
• Keine Datenweitergabe: Anders als bei Google werden Ihre Daten nicht für Werbezwecke genutzt
• IP-Anonymisierung: Standardmäßig integriert und konfigurierbar
• Cookie-freies Tracking möglich: Matomo kann ohne Cookies betrieben werden
• Opt-Out standardmäßig integriert: Nutzer können das Tracking einfach deaktivieren

Gerade für Unternehmen in datenschutzsensiblen Branchen – etwa im Gesundheitswesen, bei Rechtsanwälten oder Finanzdienstleistern – ist Matomo die empfehlenswerte Wahl.

Matomo ohne Cookie-Consent nutzen: Ist das möglich?

Ja, unter bestimmten Voraussetzungen kann Matomo ohne vorherige Cookie-Einwilligung eingesetzt werden. Das ist einer der größten Vorteile gegenüber Google Analytics. Dazu müssen folgende Bedingungen erfüllt sein:

Cookie-freies Tracking aktivieren

Seit Matomo 4.x können Sie das sogenannte „Cookieless Tracking“ aktivieren. Dabei werden keine Cookies auf dem Gerät des Nutzers gesetzt. Stattdessen wird ein „Fingerprint“ aus der IP-Adresse (anonymisiert), dem User-Agent und der akzeptierten Sprache generiert, der täglich wechselt. So werden wiederkehrende Besucher innerhalb eines Tages erkannt, ohne dass persistente Daten auf dem Endgerät gespeichert werden.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Wenn Matomo ohne Cookies eingesetzt wird und die IP-Adresse anonymisiert wird, kann die Webanalyse auf das berechtigte Interesse des Website-Betreibers gestützt werden (Art. 6 Abs. 1 lit. f DSGVO). Die französische Datenschutzaufsichtsbehörde CNIL hat dies ausdrücklich bestätigt und Matomo als eines der wenigen Tools empfohlen, die ohne Consent-Banner genutzt werden können. Wichtig ist dabei, dass Sie eine sorgfältige Interessenabwägung dokumentieren und in Ihrer Datenschutzerklärung transparent über die Datenverarbeitung informieren.

Voraussetzungen für cookie-freies Matomo ohne Consent

• Cookie-freies Tracking ist in den Matomo-Einstellungen aktiviert
• IP-Anonymisierung ist aktiviert (mindestens 2 Bytes)
• Keine Cross-Domain-Tracking-Funktionalität
• Keine Verknüpfung mit anderen Datenquellen
• Ein Opt-Out-Mechanismus ist implementiert
• Die Datenschutzerklärung informiert vollständig über die Verarbeitung
• Eine dokumentierte Interessenabwägung liegt vor

IP-Anonymisierung in Matomo konfigurieren

Die IP-Anonymisierung ist eine der wichtigsten Datenschutzeinstellungen in Matomo. So konfigurieren Sie sie korrekt:

Einstellungen in Matomo

Navigieren Sie zu Administration → Datenschutz → Daten anonymisieren. Dort finden Sie folgende Optionen:

• 1 Byte maskieren: Die letzte Stelle der IP-Adresse wird durch 0 ersetzt (z.B. 192.168.1.0). Dies gilt als Minimum.
• 2 Bytes maskieren: Die letzten zwei Stellen werden ersetzt (z.B. 192.168.0.0). Dies wird von den meisten Datenschutzaufsichtsbehörden empfohlen und ist die Standardeinstellung.
• 3 Bytes maskieren: Nur noch das erste Byte bleibt (z.B. 192.0.0.0). Höchstes Anonymisierungsniveau, aber eingeschränkte Geolokalisierung.

Empfehlung: Wählen Sie mindestens 2 Bytes Anonymisierung. Bei besonders sensiblen Websites (Gesundheit, Recht) empfehlen sich 3 Bytes. Aktivieren Sie außerdem die Option „Rohe IP-Adresse auch in der Datenbank nicht speichern“, um sicherzustellen, dass die vollständige IP-Adresse zu keinem Zeitpunkt gespeichert wird.

Weitere Anonymisierungsoptionen

Zusätzlich zur IP-Anonymisierung bietet Matomo weitere Datenschutzfunktionen:

• User-ID anonymisieren: Falls Sie die User-ID-Funktion nutzen
• Order-ID anonymisieren: Für E-Commerce-Tracking
• Standortdaten vergröbern: Nur Stadt oder Region statt genauer Koordinaten speichern
• Alte Daten automatisch löschen: Definieren Sie eine maximale Speicherdauer für Rohdaten (empfohlen: 6–12 Monate)

Matomo Datenschutzerklärung: Pflichtangaben und Textvorlage

Unabhängig davon, ob Sie Matomo mit oder ohne Cookies einsetzen, muss Ihre Datenschutzerklärung folgende Angaben zu Matomo enthalten:

Pflichtangaben nach Art. 13 DSGVO

• Name und Beschreibung des Tools (Matomo, Open-Source-Webanalysedienst)
• Zweck der Verarbeitung (Analyse des Nutzerverhaltens zur Optimierung der Website)
• Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO bei cookie-freiem Tracking, Art. 6 Abs. 1 lit. a DSGVO bei Cookie-Nutzung)
• Art der erhobenen Daten (anonymisierte IP-Adresse, besuchte Seiten, Verweildauer, Referrer, etc.)
• Hosting-Informationen (Self-Hosted oder Matomo Cloud)
• Speicherdauer der Daten
• Hinweis auf den Opt-Out-Mechanismus
• Information ob Cookies gesetzt werden oder nicht

Textbaustein für die Datenschutzerklärung (cookie-freies Tracking)

Der folgende Textbaustein kann als Vorlage für Ihre Datenschutzerklärung dienen, wenn Sie Matomo ohne Cookies einsetzen:

„Wir nutzen auf unserer Website Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Nutzerzugriffe. Matomo wird auf unserem eigenen Server gehostet; Ihre Daten verlassen nicht unsere Infrastruktur und werden nicht an Dritte weitergegeben.

Matomo ist so konfiguriert, dass keine Cookies auf Ihrem Endgerät gesetzt werden. Ihre IP-Adresse wird vor der Speicherung anonymisiert (2-Byte-Maskierung), sodass kein Rückschluss auf Ihre Person möglich ist. Die Rechtsgrundlage für die Verarbeitung ist unser berechtigtes Interesse an der statistischen Analyse der Websitenutzung zur Optimierung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO).

Folgende Daten werden erhoben: anonymisierte IP-Adresse, aufgerufene Seiten, Referrer-URL, Zeitpunkt des Zugriffs, verwendeter Browser und Betriebssystem. Die erhobenen Daten werden nach [X Monaten] automatisch gelöscht.

Sie können der Datenerfassung durch Matomo widersprechen, indem Sie den folgenden Opt-Out-Mechanismus nutzen: [Opt-Out-iframe]“

Opt-Out-Iframe korrekt einbinden

Matomo bietet einen integrierten Opt-Out-Mechanismus, den Sie als iframe in Ihre Datenschutzerklärung einbinden können:

Den iframe-Code finden Sie in Ihrer Matomo-Installation unter Administration → Datenschutz → Nutzer-Opt-Out. Dort können Sie auch das Design (Schriftart, Farbe, Hintergrund) an Ihre Website anpassen. Der iframe kommuniziert direkt mit Ihrer Matomo-Installation und setzt – sofern der Nutzer das Tracking ablehnt – einen Opt-Out-Cookie.

Alternativ können Sie auch die Matomo JavaScript-API nutzen, um einen individuellen Opt-Out-Mechanismus zu implementieren. Dies ist besonders sinnvoll, wenn Sie das Design vollständig kontrollieren möchten oder wenn der iframe aus Content-Security-Policy-Gründen nicht funktioniert.

Matomo Cloud vs. Self-Hosted: Datenschutzunterschiede

Bei der Wahl zwischen Matomo Cloud und der selbstgehosteten Variante gibt es wichtige Datenschutzunterschiede:

Matomo Self-Hosted

• Datenhoheit: Volle Kontrolle über alle Daten auf Ihrem eigenen Server
• Kein Drittlandtransfer: Daten bleiben auf Ihrem Server in Deutschland/EU
• Kein Auftragsverarbeiter: Kein AV-Vertrag erforderlich (außer mit Ihrem Hosting-Provider)
• Kostenlos: Die Software ist Open Source und kostenfrei
• Wartungsaufwand: Updates, Sicherheitspatches und Backup müssen selbst verwaltet werden
• CNIL-Empfehlung: Nur die Self-Hosted-Variante wurde von der CNIL als consent-frei eingestuft

Matomo Cloud

• Hosting: Daten werden auf Matomo-Servern in der EU (Deutschland und Frankreich) gespeichert
• Auftragsverarbeitung: Es handelt sich um eine Auftragsverarbeitung – ein AV-Vertrag nach Art. 28 DSGVO ist erforderlich (wird von Matomo bereitgestellt)
• Datenschutz-Bewertung: Die CNIL hat die Cloud-Variante nicht explizit als consent-frei eingestuft – hier ist ein Cookie-Banner sicherheitshalber empfehlenswert
• Komfort: Kein eigener Server nötig, automatische Updates
• Kosten: Ab 19 € pro Monat

Aus Datenschutzperspektive ist die Self-Hosted-Variante klar zu bevorzugen, da Sie die volle Datenkontrolle behalten und keinen Auftragsverarbeitungsvertrag benötigen. Allerdings erfordert sie technisches Know-how für Installation und Wartung.

Cookie-Consent-Integration: Complianz, Borlabs und andere Tools

Wenn Sie Matomo mit Cookies einsetzen möchten (etwa für genaueres Tracking wiederkehrender Besucher), benötigen Sie eine Cookie-Einwilligung. Die Integration mit gängigen Consent-Management-Plattformen (CMP) funktioniert wie folgt:

Complianz Integration

Complianz erkennt Matomo automatisch und kategorisiert es als „Statistik“-Cookie. In den Complianz-Einstellungen können Sie festlegen, ob Matomo erst nach Consent geladen wird oder ob es als „funktional notwendig“ (bei cookie-freiem Tracking) eingestuft wird. Bei cookie-freiem Matomo können Sie in Complianz die Kategorie auf „Statistik (anonym)“ setzen und die vorherige Einwilligung deaktivieren.

Borlabs Cookie Integration

In Borlabs Cookie erstellen Sie einen neuen Eintrag in der Kategorie „Statistiken“. Tragen Sie den Matomo-Tracking-Code als „Opt-in Code“ ein und wählen Sie „Skript“ als Code-Typ. Bei cookie-freiem Tracking können Sie Matomo stattdessen in die Kategorie „Zentral“ einstufen, da keine Einwilligung erforderlich ist. Beachten Sie jedoch, dass diese Einstufung eine dokumentierte Interessenabwägung erfordert.

Matomo Tag Manager

Alternativ bietet Matomo einen eigenen Tag Manager, der ähnlich wie der Google Tag Manager funktioniert. Damit können Sie verschiedene Tracking-Trigger definieren und das Tracking erst nach Consent-Erteilung starten. Der Matomo Tag Manager ist datenschutzfreundlicher als der Google Tag Manager, da keine Daten an Drittanbieter übermittelt werden.

Matomo DSGVO-konform einrichten: Schritt-für-Schritt-Checkliste

Folgen Sie dieser Checkliste, um Matomo vollständig DSGVO-konform zu konfigurieren:

1. IP-Anonymisierung aktivieren: Mindestens 2 Bytes maskieren
2. Cookie-freies Tracking prüfen: Wenn möglich, Cookies deaktivieren
3. Datenlöschung konfigurieren: Automatische Löschung nach 6–12 Monaten
4. Do Not Track respektieren: In den Datenschutz-Einstellungen aktivieren
5. Opt-Out einbinden: Iframe oder JavaScript-API in die Datenschutzerklärung integrieren
6. Datenschutzerklärung aktualisieren: Alle Pflichtangaben zu Matomo aufnehmen
7. Interessenabwägung dokumentieren: Bei cookie-freiem Tracking auf Basis von Art. 6 Abs. 1 lit. f DSGVO
8. Cookie-Banner konfigurieren: Falls Cookies gesetzt werden
9. AV-Vertrag abschließen: Nur bei Matomo Cloud erforderlich
10. Verarbeitungsverzeichnis aktualisieren: Matomo als Verarbeitungstätigkeit aufnehmen

Häufig gestellte Fragen zu Matomo und Datenschutz

Ist Matomo DSGVO-konform?

Ja, Matomo kann DSGVO-konform eingesetzt werden – bei korrekter Konfiguration sogar ohne Cookie-Consent. Die französische CNIL hat Matomo als eines der wenigen Webanalyse-Tools empfohlen, das bei entsprechender Konfiguration ohne Einwilligung genutzt werden kann. Wichtig ist die korrekte Einrichtung (IP-Anonymisierung, cookie-freies Tracking, Opt-Out).

Brauche ich für Matomo einen Cookie-Banner?

Bei cookie-freiem Tracking: in der Regel nein. Wenn Sie Matomo ohne Cookies und mit IP-Anonymisierung einsetzen, können Sie sich auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen. Bei Tracking mit Cookies ist eine vorherige Einwilligung erforderlich, da § 25 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) dies verlangt.

Wo werden die Daten bei Matomo Self-Hosted gespeichert?

Bei der selbstgehosteten Variante werden alle Daten in Ihrer eigenen MySQL-Datenbank auf Ihrem Server gespeichert. Wenn Ihr Server in Deutschland oder der EU steht, findet kein Drittlandtransfer statt. Sie haben die volle Kontrolle über alle erhobenen Daten.

Kann Matomo Google Analytics ersetzen?

Für die meisten Anwendungsfälle: ja. Matomo bietet vergleichbare Funktionen wie Google Analytics, einschließlich Echtzeit-Berichte, E-Commerce-Tracking, Heatmaps, Session Recordings und A/B-Testing. Bei sehr großen Datenmengen kann die Performance der Self-Hosted-Variante eine Herausforderung sein. Matomo bietet jedoch keine Integration mit Google Ads – für Werbetreibende, die Google Ads nutzen, kann das ein Nachteil sein.

Was kostet Matomo?

Matomo Self-Hosted (On-Premise) ist vollständig kostenlos. Für die Cloud-Variante beginnen die Preise bei 19 € pro Monat (für bis zu 50.000 Seitenaufrufe). Premium-Plugins wie Heatmaps, Session Recordings oder A/B-Testing kosten zusätzlich, sind aber für die meisten Websites nicht erforderlich.

Matomo vs. Google Analytics 4: Datenschutz-Vergleich 2026

Um die Datenschutzvorteile von Matomo besser einordnen zu können, hier ein detaillierter Vergleich mit Google Analytics 4 (GA4):

• Datenhoheit: Matomo Self-Hosted = volle Kontrolle auf eigenem Server. GA4 = Daten liegen auf Google-Servern, inklusive Transfer in die USA.
• Cookie-Consent: Matomo = ohne Cookies einsetzbar, kein Consent nötig. GA4 = setzt zwingend Cookies, Consent erforderlich.
• Auftragsverarbeitung: Matomo Self-Hosted = kein AV-Vertrag nötig. GA4 = Google ist Auftragsverarbeiter, AV-Vertrag erforderlich (Google behält sich aber eigene Nutzungsrechte vor).
• IP-Anonymisierung: Matomo = konfigurierbar (1–3 Bytes). GA4 = IP-Adressen werden laut Google nicht gespeichert, aber zur Geolokalisierung verarbeitet.
• Datenweitergabe: Matomo = keine Weitergabe an Dritte. GA4 = Google nutzt aggregierte Daten für eigene Zwecke (Benchmarks, Google Signals).
• Drittlandtransfer: Matomo Self-Hosted = kein Transfer. GA4 = Transfer in die USA, aktuell über EU-US Data Privacy Framework abgesichert.
• Datenlöschung: Matomo = vollständig konfigurierbar. GA4 = automatische Löschung nach 2 oder 14 Monaten, aber aggregierte Daten bleiben erhalten.
• Aufsichtsbehörden: Matomo = von CNIL empfohlen. GA4 = von mehreren EU-Aufsichtsbehörden als problematisch eingestuft.

Matomo richtig konfigurieren: Erweiterte Datenschutzeinstellungen

Über die Grundkonfiguration hinaus bietet Matomo weitere Datenschutzfunktionen, die Sie kennen sollten:

Do Not Track (DNT) respektieren

Matomo kann das Do-Not-Track-Signal des Browsers respektieren. Wenn ein Nutzer in seinem Browser DNT aktiviert hat, wird sein Besuch nicht erfasst. Aktivieren Sie diese Funktion unter Administration → Datenschutz → Nutzer-Opt-Out. Hinweis: Seit 2019 unterstützen viele Browser DNT nicht mehr standardmäßig, aber aus Datenschutzperspektive ist die Aktivierung trotzdem empfehlenswert.

Consent-Management per JavaScript-API

Wenn Sie Matomo mit Cookies einsetzen und einen Cookie-Banner verwenden, können Sie die Matomo JavaScript-API für ein granulares Consent-Management nutzen. Die wichtigsten Funktionen sind: _paq.push([‚requireConsent‘]) zum Blockieren des Trackings bis zur Einwilligung, _paq.push([’setConsentGiven‘]) zum Aktivieren nach Einwilligung und _paq.push([‚forgetConsentGiven‘]) zum Widerruf der Einwilligung. Diese API-Aufrufe lassen sich nahtlos in Ihr bestehendes Consent-Management-System integrieren.

Datenaufbewahrung und automatische Löschung

Eine klare Löschstrategie ist aus DSGVO-Sicht wichtig. Matomo bietet unter Administration → Datenschutz → Daten löschen folgende Optionen: Alte Besucherlogs automatisch löschen (empfohlen: nach 6 Monaten), alte Berichte automatisch löschen (empfohlen: nach 12–24 Monaten) und regelmäßiges Löschen alter Daten als Cronjob einrichten. Dokumentieren Sie Ihre Löschfristen im Verarbeitungsverzeichnis und in der Datenschutzerklärung.

Fazit: Matomo – die datenschutzkonforme Wahl für Ihre Webanalyse

Matomo ist die beste Wahl für Unternehmen, die Datenschutz ernst nehmen und gleichzeitig aussagekräftige Webanalysen benötigen. Richtig konfiguriert, können Sie Matomo sogar ohne Cookie-Banner einsetzen – ein enormer Vorteil gegenüber Google Analytics und anderen Tracking-Tools. Wichtig ist jedoch die korrekte technische Einrichtung und eine vollständige Datenschutzerklärung.

Als erfahrener Datenschutz-Auditor überprüft DATUREX Ihre Webanalyse-Konfiguration auf DSGVO-Konformität. Wir helfen Ihnen bei der Matomo-Einrichtung, erstellen die passende Datenschutzerklärung und dokumentieren die erforderliche Interessenabwägung.

Lassen Sie Ihre Webanalyse vom Datenschutzexperten prüfen. DATUREX – Ihr externer externer Datenschutzbeauftragter in Dresden und ganz Sachsen – unterstützt Sie bei der DSGVO-konformen Einrichtung von Matomo. Kontaktieren Sie uns jetzt für eine unverbindliche Beratung.