BfDI - Übersichtsseite Fachthemen - Der Einsatz des Webseiten-Analysetools Matomo Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Navigation und Service Springe direkt zu: Inhalt Hauptmenü Suche Servicemenü Presse Karriere Hilfe Impressum Datenschutz Kontakt English Gebärdensprache Leichte Sprache Hauptmenü Bürgerinnen und Bürger Unternavigationspunkte Bürgerinnen und Bürger Schließen Basiswissen ... zum Datenschutz ... die Betroffenenrechte ... für Beschäftigte ... für Kinder und Jugendliche Sozialverwaltung Elektronische Patientenakte Gesundheit und Soziales Ihre Rechte im Sozialdatenschutz eHealth Arbeitsverwaltung Renten- und Unfallversicherung Privatwirtschaft Digitale Dienste und Messengerdienste Telekommunikation Brief und Paket Auskunfteien Sicherheit Ihre Rechte – Unsere Aufgaben Nachrichtendienste Polizeien des Bundes Bekämpfung der Finanzkriminaltät Internationale Akteure Behördliche Informationssysteme Sicherheitsüberprüfungsrecht Informationsfreiheit Basiswissen Informationsfreiheit Wissenswertes zum IFG-Antrag Informationsfreiheitskonferenzen Allgemeine Verwaltung Finanzen und Steuern Meldewesen und Statistik Asyl und Migration Weitere Verwaltungstätigkeiten Technische Anwendungen Smartwatches für Kinder Mustertexte Fachthemen Unternavigationspunkte Fachthemen Schließen Gremienarbeit Datenschutzkonferenz EDSA Global Privacy Assembly G7 Roundtable Informationsfreiheitskonferenzen Berlin Group Weitere Gremien Basiswissen für die Datenverarbeitung Allgemeine Praxistipps Technische Anwendungen Internationale Datenübermittlung Digitale Dienste und Messengerdienste Einzelthemen Telekommunikation Energiewende De-Mail Einwilligungsverwaltung Postdienstleister Sicherheit Hintergründe und Neuigkeiten Internationales Wissen für die Praxis Zentrale Anlaufstelle Die BfDI Unternavigationspunkte Die BfDI Schließen Über Uns Die BfDI Organisation der Behörde Datenschutz-Garten Karriere Stellenangebote Arbeiten bei der BfDI Jobprofile Praktikum und Referendariat Karrieremessen Presse Pressemitteilungen Kurzmeldungen Social Media – Mastodon Pressebilder Konsultationsverfahren KI-Modelle und personenbezogene Daten Standardisierte Messenger-Überprüfung KI in Strafverfolgung und Gefahrenabwehr Anonymisierung unter der DSGVO Dokumente BfDI-Dokumentensuche Access for one - Access for all Reden & Beiträge Dokumente allgemein Kontrollberichte Rundschreiben der BfDI Parlamentsbrief Stellungnahmen Verhaltensregeln Datenbarometer Datenbarometer: Informationsfreiheit Datenbarometer: Elektronische Patientenakte (ePA) Datenbarometer: Cookie-Einwilligung Veranstaltungen ICIC 2025 Anmeldung Veranstaltung ReguLab Service Unternavigationspunkte Service Schließen Publikationen Aktueller Tätigkeitsbericht Tätigkeitsberichte Archiv Broschüren & Flyer Flyer in Leichter Sprache Pixi Bücher Unterrichtsmaterialien Anschriften und Links Landesbehörden Europäische Datenschutzbehörden Datenschutzbehörden weltweit Rundfunkdatenschutzbeauftragte Kirchliche Datenschutzbeauftragte Formulare Meldung Datenschutzbeauftragte Kontakt Kontaktfinder Presse PGP-Schlüssel Mediathek Pixi Videos Aufgezeichnete Veranstaltungen Gebärdensprache FAQ Newsletter Datenschutzforum Suche Ihre Sucheingabe Schließen Bürgerinnen und Bürger Basiswissen ... zum Datenschutz ... die Betroffenenrechte ... für Beschäftigte ... für Kinder und Jugendliche Sozialverwaltung Elektronische Patientenakte Gesundheit und Soziales Ihre Rechte im Sozialdatenschutz eHealth Arbeitsverwaltung Renten- und Unfallversicherung Privatwirtschaft Digitale Dienste und Messengerdienste Telekommunikation Brief und Paket Auskunfteien Sicherheit Ihre Rechte – Unsere Aufgaben Nachrichtendienste Polizeien des Bundes Bekämpfung der Finanzkriminaltät Internationale Akteure Behördliche Informationssysteme Sicherheitsüberprüfungsrecht Informationsfreiheit Basiswissen Informationsfreiheit Wissenswertes zum IFG-Antrag Informationsfreiheitskonferenzen Allgemeine Verwaltung Finanzen und Steuern Meldewesen und Statistik Asyl und Migration Weitere Verwaltungstätigkeiten Technische Anwendungen Smartwatches für Kinder Mustertexte Fachthemen Gremienarbeit Datenschutzkonferenz EDSA Global Privacy Assembly G7 Roundtable Informationsfreiheitskonferenzen Berlin Group Weitere Gremien Basiswissen für die Datenverarbeitung Allgemeine Praxistipps Technische Anwendungen Internationale Datenübermittlung Digitale Dienste und Messengerdienste Einzelthemen Telekommunikation Energiewende De-Mail Einwilligungsverwaltung Postdienstleister Sicherheit Hintergründe und Neuigkeiten Internationales Wissen für die Praxis Zentrale Anlaufstelle Die BfDI Über Uns Die BfDI Organisation der Behörde Datenschutz-Garten Karriere Stellenangebote Arbeiten bei der BfDI Jobprofile Praktikum und Referendariat Karrieremessen Presse Pressemitteilungen Kurzmeldungen Social Media – Mastodon Pressebilder Konsultationsverfahren KI-Modelle und personenbezogene Daten Standardisierte Messenger-Überprüfung KI in Strafverfolgung und Gefahrenabwehr Anonymisierung unter der DSGVO Dokumente BfDI-Dokumentensuche Access for one - Access for all Reden & Beiträge Dokumente allgemein Kontrollberichte Rundschreiben der BfDI Allgemeine Rundschreiben Rundschreiben Jobcenter Rundschreiben zum SÜG Parlamentsbrief Stellungnahmen Verhaltensregeln Datenbarometer Datenbarometer: Informationsfreiheit Datenbarometer: Elektronische Patientenakte (ePA) Datenbarometer: Cookie-Einwilligung Veranstaltungen ICIC 2025 Anmeldung Veranstaltung ReguLab Service Publikationen Aktueller Tätigkeitsbericht Tätigkeitsberichte Archiv Broschüren & Flyer Flyer in Leichter Sprache Pixi Bücher Unterrichtsmaterialien Folge 1 "Du und deine Daten" Folge 2 "Welche Dinge sind privat?" Folge 3 "Datensammlern auf der Spur" Folge 4 "Wer schützt meine Daten?" Folge 5 "Mehr Sicherheit im Internet" Folge 6 "Tipps für den Ernstfall" Anschriften und Links Landesbehörden Europäische Datenschutzbehörden Datenschutzbehörden weltweit Rundfunkdatenschutzbeauftragte Kirchliche Datenschutzbeauftragte Formulare Meldung Datenschutzbeauftragte Änderung erfolgreich Kontakt Kontaktfinder Presse Pressemitteilungen Kurzmeldungen Social Media – Mastodon Pressebilder PGP-Schlüssel Mediathek Pixi Videos Aufgezeichnete Veranstaltungen Gebärdensprache FAQ Newsletter Datenschutzforum Suche Warenkorb Presse Karriere Hilfe Impressum Datenschutz Kontakt English Gebärdensprache Leichte Sprache Sie sind hier: Fachthemen Der Einsatz des Webseiten-Analysetools Matomo Der Einsatz des Webseiten-Analysetools Matomo Bei Matomo handelt es sich um ein Web verhalten-Analyse tool , das zwar datensparsam konfiguriert werden kann, im Ergebnis aber dennoch grundsätzlich einer Einwilligung des Nutzenden bedarf. Da Matomo von vielen Bundesbehörden eingesetzt wird, werden hier die Erkenntnisse und meine grundlegende Haltung zusammengetragen. Quelle: ©Photomix-Company-pixabay Auf Basis der gesammelten Daten kann mit Matomo das Navigationsverhalten von Nutzenden erkannt und analysiert werden. Der vorrangige Zweck dieser Datenverarbeitung soll hierbei sein, die Struktur und Gestaltung des Webseitenangebotes zu verbessern. Typischerweise wird von Matomo entweder ein eindeutiges Merkmal zum Webseitenbesucher in einem Cookie ( z. B. das Cookie _pk_id) oder in einem Parameter ( z. B. die Parameter cid und uid gespeichert oder es wird ein Skript ( z. B. piwik.js oder matomo.js) ausgeliefert, um Informationen der Endeinrichtung zu erheben und an die Matomo-Instanz zu übermitteln. Der Dienst Matomo speichert mit dem Setzen des Cookies oder der Parameter Informationen auf der Endeinrichtung der nutzenden Person. Auch mit der Einbindung und der Auslieferung des Skript es oder eines Bildes werden durch den Dienst Informationen auf der Endeinrichtung der nutzenden Person gespeichert bzw. auf Informationen zugegriffen, die bereits in der Endeinrichtung gespeichert waren. Dieser Zugriff auf die Informationen bzw. diese Speicherung von Informationen auf dem Endgerät der Nutzenden eröffnen den Anwendungsbereich von § 25 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz ( TDDDG ). Die Speicherung von Informationen bzw. der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert waren, durch den Dienst Matomo ist technisch nicht unbedingt erforderlich, um den vom Nutzenden ausdrücklich gewünschten digitalen Dienst zu erbringen, und ist somit gemäß § 25 Absatz 1 TDDDG einwilligungsbedürftig. Die IP -Adresse wird bei der Übermittlung an den Server als unveränderter Klartext übermittelt und liegt in den Serverlogs der Matomo-Instanz als unveränderter Klartext vor. Auf dem Server werden die IP -Adresse und weiterer Merkmale der Endeinrichtung von Matomo verarbeitet (maskiert, zusammengeführt, ge hasht etc. ). Diese Verarbeitungen sind grundsätzlich geeignet um die Anforderungen zur Datenminimierung und „ privacy by design “ aus Art. 5 lit. c) und e) sowie Art. 25 Datenschutz-Grundverordnung ( DSGVO ) zu erfüllen. Der Server verarbeitet die bereitgestellten Daten und erstellt Profile von Endeinrichtungen, um deren Bewegungen auf der Webseite zu verfolgen. Mit dem vorliegenden Datensatz kann Matomo die Endeinrichtung temporär wiedererkennen. Dies gilt unabhängig davon, welches eindeutige Merkmal zur Wiedererkennung (config_id, uid, _pk_id, cid oder anderen Merkmale) verwendet wird. Der Datensatz lässt sich demnach einer konkreten Endeinrichtung zuordnen. Die vollständigen IP -Adressen mit Zusatzinformationen liegen in den Serverlogs sowohl auf der Matomo-Instanz als auch auf dem Webserver vor. Es ist technisch mit überschaubarem Aufwand möglich, die Daten aus Matomo mit den Daten aus den Serverlogs in Abgleich zu bringen. Damit lässt sich der Personenbezug wiederherstellen. Ob diese Rückführung tatsächlich vom Verantwortlichen oder einem Dritten umgesetzt wird, ist hierbei aus meiner Sicht nicht relevant. Entscheidend ist bereits die technische Möglichkeit des Abgleichs. Auch mit der Maskierung der IP -Adresse oder anderen Maßnahmen werden die Daten von Matomo in der Regel lediglich pseudonymisiert, jedoch nicht anonymisiert verarbeitet. Sendet ein Client eine Webseitenanfrage an einen Webserver , so werden sowohl die Anfrage als auch die Rückmeldung typischerweise im Serverlog gespeichert. In den Log -Dateien werden unter anderem sowohl die IP -Adresse des Clients als auch Information aus dem HTTP - Header gespeichert. Diese Daten waren zuvor in der Endeinrichtung vorgehalten, so dass deren Übertragung an den Webserver im Regelfall als Zugriff im Sinne des § 25 Abs. 1 TDDDG zu werten ist. Da die Bereitstellung der Web seite ohne diese Übertragung aber technisch nicht möglich wäre, greift für diesen Vorgang die Ausnahme des § 25 Abs 2 Nr. 2 TDDDG (Siehe hierzu auch die " Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten" (OH Digitale Dienste) Version 1.2, Rn. 21). HTTP - Header -Felder (oft ungenau HTTP - Header ) sind Bestandteile des Hypertext Transfer Protocol ( HTTP )-Protokoll headers und übermitteln die für die Übertragung von Dateien über HTTP wichtigen Parameter und Argumente, z. B. gewünschte Sprache oder Zeichensatz sowie oft Informationen über den Client . Oft wird „ HTTP - Header “ synonym genutzt, besitzt allerdings die Mehrdeutigkeit zwischen einem einzelnen Feld des Headerblocks und dem ganzen Headerblock . Technisch können diese Daten gut verwertet werden. Für Matomo existiert auch eine Lösung, diese Log -Daten in den Analyse-Datenbestand zu überführen. Da aber auch die Analyse der Log datei immer die Verarbeitung der IP -Adresse voraussetzt, liegen hier im Zentrum der Verarbeitung personenbezogene Daten. Die Daten in den Log -Dateien werden originär zum Zwecke der Diensterbringung und Dienstabsicherung verarbeitet. Werden die Daten aber für die Zwecke der Reichweitenmessung oder Optimierung des Webseitenangebotes verwendet, wird regelmäßig eine Zweckänderung vorliegen. Für eine Zweckänderung sind die Vorgaben des Art. 6 Abs. 4 DSGVO und § 23 Bundesdatenschutzgesetz ( BDSG ) zu beachten. Zudem muss für die neue Verarbeitung wiederum eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegen. Die Zweckänderung ist durch den Verantwortlichen nachvollziehbar zu prüfen und zu dokumentieren. Es ist außerdem darauf zu achten, dass die Daten nach der Zweckerfüllung gelöscht werden. Die hier dargestellten Sachverhalte und Wertungen sind analog auch auf andere gleichartige Dienste übertragbar. Die meiner Aufsicht unterstehenden Stellen sind aufgefordert, ihre Webseitenangebote zyklisch zu prüfen und zeitnah in einen rechtskonformen Zustand zu überführen. Weitere Informationen zum Thema Cookies und andere Tracking-Technologien Digitale Dienste und Zuständigkeiten Kontaktfinder Hier finden Sie in wenigen Klicks heraus, wer für Ihre Anfrage oder Beschwerde zum Datenschutz zuständig ist. Öffentliche Stellen Unter den Begriff der öffentlichen Stelle fallen nicht nur die klassischen Verwaltungsbehörden, sondern auch Gerichte, Parlamente oder öffentliche Stiftungen. Hierzu zählen auch die Sozialversicherungen, wie z.B. die Krankenkassen. Unternehmen Privatunternehmen werden meist von den Landesbehörden beaufsichtigt, es gibt jedoch einige Ausnahmen. In diese Kategorie fallen auch privatrechtliche Organisationen wie Vereine und Verbände. Presse, Rundfunk, Kirche In diesen Bereichen gelten besondere Zuständigkeiten. Kirchen und öffentlich-rechtlicher Rundfunk verfügen z. B. über eigene Datenschutzbeauftragte. Auch für andere Organisationen sind die Aufsichtsbehörden des Bundes und der Länder nicht zuständig. Fußbereich Graurheindorfer Straße 153 53117 Bonn Telefon:  +49 (0)228-997799-0 E-Mail:  poststelle@bfdi.bund.de Unternavigation aller Website-Bereiche Bürgerinnen und Bürger Basiswissen Allgemeine Verwaltung Privatwirtschaft Sicherheit Sozialverwaltung Technische Anwendungen Informationsfreiheit Mustertexte Themen Gremienarbeit Basiswissen für die Datenverarbeitung Einzelthemen Zentrale Anlaufstelle Die BfDI Über Uns Karriere Dokumente Datenschutz-Garten Konsultationsverfahren Presse Service Publikationen Anschriften und Links Kontakt FAQ Veranstaltungen Mediathek Newsletter Aktuelle Informationen Pressemitteilungen Kurzmeldungen Social Media – Mastodon RSS-Newsfeed - Allgemein Forum Datenschutzforum Impressum Datenschutz Barrierefreiheit © BfDI