Mit dem DSGVO-Tool die Matomo-Tracking-Daten „säubern“
Heute möchte ich Ihnen ein Werkzeug in Matomo vorstellen, dessen Möglichkeiten die meisten Matomo-Anwender vermutlich nicht kennen oder nicht einsetzen. Es verbirgt sich unter dem Namen „DSGVO Hilfsmittel“ bzw. im englischsprachigen Matomo „GDPR-Tools“.
Dieses Werkzeug steht im eigentlich Sinn für die Unterstützung von zwei Anforderungen der DSGVO, nämlich dem Recht auf Auskunft und dem Recht auf Löschung von jenen personenbezogenen Daten, die Ihre Webseite beim Tracking erhoben hat.
Im ersten Teil meines Beitrages möchte ich Ihnen zeigen, wie Sie mit dem Tool den DSGVO-Anforderungen gerecht werden. Im zweiten Teil stelle ich Ihnen zudem Anwendungsfälle vor, bei denen Sie mit dem „DSGVO Hilfsmittel“ Ihre Matomo-Trackingdaten von ungewollten Besuchsdaten „säubern“ können.
Zugriff auf die „DSGVO Hilfsmittel“ haben in Matomo nur Anwender mit Rechten als Administrator, Hauptadministrator oder Superuser. Sie finden den Menüpunkt im Matomo-Administrationsbereich unter Privatsphäre.
Personenbezogenen Daten – Auskunft bzw. Löschung
Dieses Werkzeug „DSGVO Hilfsmittel“ in Matomo bezieht sich selbstverständlich nur auf die Tracking-Daten, die Matomo zu einem Besuch erfasst, verarbeitet und gespeichert hat. Daten aus Logfiles, E-Mailservern oder Datenbanken, die beim Besuch Ihrer Webseite ebenfalls anfallen können, müssen Sie anderweitig bearbeiten.
Ein Auskunfts- oder Löschungsersuchen eines Webseiten-Besuchers in Bezug auf Tracking-Daten in Matomo ist eher selten. Das liegt vermutlich daran, dass es für die meisten Besucher einer Webseite schwierig sein dürfte herauszufinden, mit welcher Information sie sich an einen Webseiten-Betreiber wenden sollen, um damit eine Tracking-Daten-Auskunft oder -Löschung zu verlangen.
In der Praxis sind am ehesten zwei Szenarien denkbar:
- Ein Besucher teilt Ihnen seine IP-Adresse für einen Zeitraum xy mit oder
- ein Besucher teilt Ihnen seine Benutzer-ID aus einem passwortgeschützten Bereich mit.
Mit einer dieser Angaben können Sie in den DSGVO-Tools den Besucher suchen und seiner Anfrage entsprechen. Die IP-Adresse müssen Sie dabei gemäß Ihrer Matomo-Einstellungen zur IP-Adressen-Anonymisierung ebenfalls anonymisiert eingeben, damit Sie Treffer erhalten.

Eingabe einer anonymisierten IP-Adresse in die DSGVO-Hilfsmittel.
Möglicherweise bekommen Sie durch die Anonymisierung auch Treffer von verschiedenen Besuchern, die alle unter diese gekürzte IP-Adresse fallen. Dann müssen Sie weitere Informationen abfragen, um den Besucher eindeutig zu identifizieren.
Die Benutzer-ID ist eine personenbezogene Kennung, die Sie beim Tracken mit Matomo verwenden können, wenn Sie einen Login-Bereich haben. Dies kann eine E-Mailadresse, ein Loginname oder eine interne technische ID sein. Webseiten ohne geschützten Bereich nutzen dies normalerweise nicht. Hier ein Screenshot aus dem Matomo-Demo-System von Benutzer-ID’s:

Benutzer-ID’s in Matomo können nach einem Login in einen geschützten Bereich getrackt werden.
Neben Benutzer-ID’s gibt es noch die Besucher-ID. Das ist eine ID, die ein mit Matomo getrackter Besucher nur ermitteln kann, wenn Ihre Webseite mit Cookies trackt. Diese ID findet sich im Matomo-Cookie _pk.id*. Den Cookie kann man beispielsweise in den Entwicklerwerkzeig-Einstellungen des Browsers einsehen, hier ein Screenshot aus dem Firefox:

Firefox Entwicklerwerkzeuge, die den Inhalt des Matomo-Cookies zur Ermittlung der ID des Besuchers zeigen können. Verwenden Sie nur den markierten vorderen Teil aus der Spalte „Wert“.

Nach der ID des Besuchers suchen. Die ID wird Matomo-Anwendern auch im Besuche-Log in den Profil-Details angezeigt-
Nach einer Suche haben Sie die Möglichkeit ausgewählte Treffer zu löschen oder die Daten zu exportieren. Die Löschung ist nur für den gesamten Besuch möglich. Sie können mit dem Tool nicht einzelne Daten aus dem Besuch herauslöschen. Der Export erfolgt im Format JSON, was ein spezielles Programm zur Anzeige erfordert.

Treffer nach einer Suche nach einem Besucher in den DSGVO-Tools können gelöscht oder exportiert (JSON) werden.
Matomo-Berichte von „Stördaten“ befreien
Desweiteren können Sie mit dem „DSGVO-Hilfsmittel“ auch andere Besuche löschen, die nicht auf ein DSGVO-Löschungsersuchen hin erfolgen.
Ich habe solche Besuche „Stördaten“ genannt, weil ich an Tracking-Daten denke, die Sie nicht in Ihren Live-Berichten haben möchten und die dort „stören“. Dies könnten sein:
- Ihre eigenen Zugriffe beim Testen, z.B. beim Arbeiten mit dem Matomo Tag Manager
- Interne Zugriffe, die vorher nicht ausgefiltert werden können
- Zugriffe von Software-Entwicklern Ihrer Webseite
- Besuche mit Trackingdaten, die durch Probieren oder Tests entstanden sind (z.B. unerwünschte Kampagnen, Ereignisse)
- Fehlerhaft getrackte Besuche (z.B.falsche Umsätze), wobei hier zu überlegen ist, ob das Löschen des gesamten Besuches nicht kritischer ist, als mit dem Tracking-Fehler zu leben.
- Besuche mit Referrer-Spam (siehe Wikipedia), z.B. Kampagnen-Parameter, die Sie lediglich auf eine andere Webseite aufmerksam machen sollen
Besuche finden, die Kampagnennamen verwendeten, die Sie nicht eingesetzt haben
- Besuche, die sich als normale Besucher tarnen, vom Verhalten her aber Maschinen sein müssen (z.B. mehrere Stunden Aufenthaltsdauer mit sehr ständigen Seitenabrufen) und Ihre Durchschnittsstatistiken damit komplett durcheinander bringen
Im Matomo Besuche-Log ein Besuch, der sich als normaler Besucher tarnt, aber massenhaft Zugriffe ausführte.
Besucher suchen, die sehr viele Interaktionen durchführen, um sie anschließend zu löschen (DSGVO Tools)
Beachten Sie bitte folgende Anmerkungen:
- Die DSGVO Hilfsmittel greifen auf alle getrackten Webseiten zu, auf die Sie Zugriff haben. Filtern Sie ggf. vorher auf eine bestimmte Webseite.
- Sie können nur Besuche finden, wenn dafür noch die Rohdaten in Matomo vorliegen. Ältere Rohdaten können in Matomo (Administration – Privatsphäre – Daten anonymisieren) auch regelmäßig gelöscht werden.
- Es werden maximal 400 Besuche durch die Suche zurückgegeben. Wiederholen Sie nach Löschungen ggf. Ihre Abfrage erneut, wenn es sich um eine große Menge an zu löschenden Besuchen handelt.
- Die ID des Besuchers können Sie auch im Besuche-Log in der Detail-Ansicht ermitteln, wenn Sie im Besuche-Log einen Eintrag gefunden haben, der gelöscht werden soll
ID des Besuchers ermitteln, um sie in den DSGVO-Tools zu suchen und zu löschen. Tipp: Beim Kopieren und Einfügen steht oftmals ein Leerzeichen am Anfang – entfernen Sie dieses.
- Die DSGVO-Tools können auch über die Matomo API aufgerufen werden (z.B. als regelmäßiger Job). Fragen Sie bei mir gerne an, wenn Sie hier Unterstützung benötigen.
- Die Suche in den DSGVO-Hilfsmitteln findet „live“ auf Ihrer Matomo-Datenbank statt. Wenn Sie mehrere Millionen Besuche bereits getrackt haben, kann die Abfrage langsam sein oder mglw. gar nicht beantwortet werden, weil ein Timeout auftritt. Dies hängt starkt davon ab, mit welchem Kriterium Sie suchen. Z.B. sind Kampagnenparameter oder Benutzerdefinierte Variablen sehr langsam, sofern Ihre Datenbank dafür nicht optimiert ist.
Bei schlechter Matomo Performance, langsamen Antwortzeiten, können Sie sich gerne an mich wenden, um Möglichkeiten zur Performance-Optimierung zu besprechen. - Ebenso können umfangreiche Löschungen zu einer umfangreichen Neugenerierung all Ihrer Berichte (einschließlich Segmenten und Custom Reports) führen, was mglw. je nach getrackter Datenmenge sehr viele Stunden dauern kann.
- Einschränkungen bei der Suche: man kann leider nicht nach Besuchern suchen, die ein bestimmtes Ereignis ausgelöst haben oder denen man eine benutzerdefinierte Dimension zugewiesen hat (interessanterweise werden die veralteten benutzerdefinierten Variablen jedoch unterstützt). Auch können nur Einstiegs- oder Ausstiegs-URL gesucht werden, nicht jedoch URL’s die im Laufe des Besuches aufgerufen wurden sind.
Wenn Sie überlegt und planvoll vorgehen, ist dieses Werkzeug eine wertvolle Ergänzung Ihrer Arbeit mit Matomo. Ich schätze es besonders, weil ich meine eigenen Zugriffe beim Arbeiten mit dem Matomo Tag Manager nach meinem Testenwieder löschen kann. Auch entferne ich gerne damit Besucher mit Extremwerten, die aller Wahrscheinlichkeit nach eigentlich Maschinen waren, und Durchschnittsstatistiken verfälschen würden (hier empfehle ich jedoch auch einen Blick auf die Spam Prevention zu werfen, die ich in einem anderen Blogartikel vorgestellt habe, um proaktiv zu handeln).
Schreibe einen Kommentar