Tracking in Matomo ohne Cookies möglich, aber sinnvoll?

Der nachfolgende Artikel betrachtet die fachlichen Konsequenzen eines Besucher-Trackings ohne Cookies von einer mit der Open Source Lösung Matomo getrackten Seite.

Zum Hintergrund

Gerichtsurteile, sowie erwartete Bestrebungen von Gesetzgebern die aktive Einwilligung in die Verwendung von Cookies beim Besucher abzuholen, bevor bereits ein Cookie gesetzt wird, erfordern neue Formen der Analyse der Webseiten-Nutzung von Besuchern.

Diese intensiv geführten Diskussionen haben zur Folge, dass mir bekannte (Online-) Marketing-Verantwortliche besorgt darüber sind, dass die Besucher ihrer betreuten Webseite nicht in Tracking-Cookies einwilligen und damit

  • (gemessene) Besucherzahlen drastisch sinken,
  • Analysen über Benutzerverhalten kaum Aussagekraft besitzen
  • der Erfolg von Online-Werbebudgets mittels Kampagnen oder
  • die Messbarkeit von Zielerreichungen einer Webseite nicht mehr ausreichend nachweisbar sind.

Ist daher ein Tracking ohne Cookies eine Alternative?

Matomo Unterstützung benötigt? Ich helfe Ihnen gerne.

Jetzt informieren

Matomo ohne Cookies

Matomo verwendet im Standard Cookies, um Besucher zu identifizieren. Zum einen, während ein Besucher gerade aktiv in der Webseite unterwegs ist und zum anderen, wenn ein Besucher später nach mehr als 30 Minuten auf die Webseite zurückkehrt.

Es gibt folgende zwei (mir) bekannte Ansätze, Matomo zu verwenden und dabei auf Cookies zu verzichten:

  1. Deaktivieren von Cookies in Matomo: Verwendung eines Fingerprinting-Verfahren
  2. Verzicht auf Verpixelung und damit auch Cookies: Analyse des Besucherverhaltens anhand von Server-Logfiles in Matomo

Beide Varianten haben Einschränkungen für die Webanalyse zur Folge, die ich nun erläutern möchte:

Matomo ohne Cookies und nur mit Fingerprinting – Variante 1

Fingerprinting (hier ist ein technischer Fingerabdruck gemeint) ist die Technologie von Matomo, um einen Besucher zu identifizieren und damit von anderen Besuchern zu unterscheiden. Diese Technologie wird sowohl mit als auch ohne Cookies von Matomo angewendet.

Ich beschreibe in Variante 1 den Ansatz, Fingerprinting ohne Cookies zu verden. Variante 2  zeigt (weiter unten) einen Ansatz komplett auf Fingerprinting zu verzichten.

Was passiert beim Fingerprinting?

Im Browser des Besuchers wird beim Seitenaufruf der getrackten Webseite ein JavaScript-Code von Matomo ausgeführt. Dieser Code ermittelt u.a. verschiedene technische Eigenschaften des Besucher-Browsers/ -Gerätes und sendet diese an Matomo. Herangezogen werden dabei Informationen über Betriebssystem, Browser, Browser Erweiterungen, die (anonymisierte) IP-Adresse und die Browser-Sprache.

Ferner werden individuelle Eigenschaften der Matomo-Installation und der getrackten Webseite mathematisch in die Fingerabdruck-Ermittlung hinzugezogen, um zu verhindern, dass ein Fingerabdruck bei verschiedenen Matomo-Installationen oder verschiedenen Webseiten identisch ist. Somit wirkt Matomo einer übergreifenden Besucherprofil-Erstellung im Internet, wie sie Cloud-basierte Werbeplattformen praktizieren, entgegen.

Besucht man also zwei Webseiten, die von Matomo getrennt getrackt werden, so ist der „persönliche“ Fingerprint nie identisch, sondern verschieden.

Es wird aus dem Fingerprint eine Besucher-ID berechnet, die beim Tracking mit Cookies beim ersten Besuch in einem Cookie (der 13 Monate lang gültig ist) abgespeichert wird. Ab diesem Zeitpunkt identifiziert Matomo den Besucher anhand dieses Cookies.

Technische Nachteile vom Fingerprinting ohne Cookies

Beim Tracking ohne Cookies kann dieses Abspeichern im Cookie nicht erfolgen und die Identifizierung eines Besuchers erfolgt von Matomo laufend anhand der errechneten Besucher-ID (also dem Fingerabdruck).

Matomo vergleicht dabei den technischen Fingerabdruck des Besuchers mit den zuvor von allen Besuchern gespeicherten Fingerprints. Der Vergleich erfolgt jedoch nur für die Fingerprints aus den vergangenen 30 Minuten (Standardwert, der konfigurativ jedoch änderbar ist). Weiter in die Vergangenheit schaut Matomo hier nicht, so dass wiederkehrende Besucher nicht ermittelt werden können.

Update: Matomo hat in Version 3.13.6 (erschienen am 05.06.2020) die Erzeugung des Fingerabdrucks um eine Zufallsberechnung ergänzt. Alle 24h ändert sich die Berechnung des Fingerprints, so dass wiederkehrende Besucher nicht mal mehr bei Analyse der Matomo-Datenbank erkannt werden könnten, falls sich jemand diese Mühe machen würde.

Webanalyse-Folgen bei Fingerprinting-Ansatz ohne Cookies

  1. Matomo misst wiederkehrende Personen so, als wären es jeweils neue Besuche, da keine Wiedererkennung möglich ist. Dies wirkt sich auf folgende Berichte in Matomo aus:
    • Besuche nach Besuchsanzahl (Engagement-Statistik)
    • Besuche nach Tage seit letztem Besuch (Engagement-Statistik)
    • Besuche bis zur Konversion (Ziele-Statistik)
    • Tage bis zur Konversion (Ziele-Statistik)
  1. Die Zuordnung einer Zielerreichung zu einem Kanal (Kampagne, Webseite, Suchmaschine) wird ungenauer, da der (6 Monate lang gültige Referrer) Cookie fehlt, in dem Matomo speichert, woher der Besucher initial kam. Dies wirkt sich in der Kanalstatistik dann falsch aus, wenn der Besucher mehrfach die Seite besucht, bevor er einen Abschluss (Konversion) tätigt. Ruft er beim Konvertierungsbesuch die Seiten-Adresse direkt auf, wird das Ziel nicht dem Kanal zugeordnet, über den man den Kunden eigentlich gewonnen hat.
  2. Die konkrete Auswirkung auf die Höhe der gemessenen Zahlen beim Tracken ohne Cookies sind nur ungefähr prognostizierbar. Sowohl in die eine als auch andere Richtung wird es Veränderungen geben:
    • Die Anzahl eindeutiger, neuer Besucher wird steigen, weil
      • Fingerprinting bis auf eine Ausnahme (rund um den Tageswechsel) kein Wiedererkennen von früheren Besuchern ermöglicht
      • Nutzer erfasst werden, die Cookies pauschal im Browser geblockt haben (vermutlich weniger als 1% aller Internet-Nutzer)
      • Anti-Tracking-Erweiterungen in Browsern ausgehebelt werden, die auf technisches Tracking-Cookie-Blockieren abzielen (die Größenordnung dürfte im niederen einstelligen Prozent-Bereich liegen)
      • Die zuvor genannten beiden Punkte sind hierbei mehr ein Vorteil als ein Nachteil
    • Eindeutige Seitenaufrufe werden steigen, aufgrund der steigenden Anzahl vermeintlich eindeutiger Besucher
    • Die Anzahl wiederkehrender Besucher wird sinken
    • Konversionsraten bei Zielerreichungen bezogen auf eindeutige Besucher werden sinken
    • Sämtliche Engagement-Statistiken verschlechtern sich
Artikelempfehlung:  Spamzugriffe aus Matomo Statistiken heraushalten

Fingerprinting und die Tracking-Einwilligung

Update 25.01.2022:
Den ursprünglichen Text in diesem Abschnitt habe ich nach einer Vielzahl von Veränderungen sowohl in der Rechtssprechung als auch deren Interpretation entfernt.

Aktuell möchte ich folgende Hinweise geben:

Am 01.12.2021 trat in Deutschland das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) in Kraft. Das TTDSG hat auch Auswirkungen auf den Einsatz von Cookies und ähnlichen Technologien. Allerdings macht das Gesetz zur pseudonymisierten Reichweitenmessung mit oder ohne Cookies, wie mit Matomo, keine Aussagen. Zeitlich nachgelagert äußerte sich am 20.12.2021 die deutsche Datenschutzkonferenz. Sie veröffentlichte eine Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (PDF, 33 Seiten). Darin wird es allerdings explizit abgelehnt die Reichweitenmessung aufgrund ihrer nicht-eindeutig definierten Kriterien, also was mit ihr im Einzelfall gemacht werden kann und welche Daten dabei erhoben werden, pauschal als eine Ausnahme für Einwilligungspflichten beim Besuch von Webseiten zu benennen. D.h. auch für eine eventuelle Einwilligungspflicht bei Einsatz von Matomo gibt es keine Aussage.

Der Rechtsanwalt Dr. Thomas Schwenke äußert sich in seiner Interpretation dieser oben erwähnten Orientierungshilfe auf der Webseite Datenschutz-Generator.de so, dass Matomo ohne Cookies (bei Pseudonymisierung – also mindestens halber IP-Adresse) keine Einwilligungspflicht erfordere.

Älteres Update 24.09.2021: Meine Analyse der Webseiten der deutschen Bundesländer und der Bundesregierung ergab, dass keine der Webseiten eine Einwilligung in die Matomo- oder andere Webanalyse-Software-Nutzung einholen, wenn ohne Cookies gearbeitet wird. Allerdings holen auch dann sieben Bundesländer keine Einwilligung ein, wenn sie mit Cookies zur Webanalyse arbeiten.

Mein Fazit zum Tracking mit Fingerprinting

An dieser Stelle veröffentliche ich ein neues Fazit (24.09.2021, 25.01.2022) und ersetze das vorherige.

Nach über zwei Jahren, in denen die Interpretationen von Gerichtsurteil und DSGVO „gelebte“ Praxis geworden sind, ist es erforderlich das Tracking ohne Cookies mit Fingerprinting in Matomo unter aktuellen Gesichtspunkten zu bewerten:

  1. Das TTDSG äußert sich nicht konkret. Die Datenschutzbehörden können jedoch dahingehend interpretiert werden, dass beim Einsatz von Matomo ohne Cookies keine Einwilligungspflicht besteht, sofern (die schon länger vorgeschriebene) Pseudonymisierung erfolgt.
  2. Wen die erwähnten Ungenauigkeiten der Messergebnisse nicht stören, kann pauschal auf Cookies verzichten.

Bild zur Newsletter-Anmeldung

Besucherverhalten auf Basis von Server-Logfiles in Matomo analysieren – Variante 2

Diese Variante ist ein Ansatz, bei dem auf Fingerprinting und Cookies verzichtet wird. Im Browser des Besuchers einer Webseite findet keinerlei Datenaustausch mit Matomo statt.

Stattdessen werden die Logdateien der Webseite, die vom Webservers der Webseite laufend geschrieben werden, in regelmäßigen Zeitabständen in Matomo eingelesen.

Matomo Logfileanalyse

Anfragen des Browsers beim Aufruf einer Webseite gehen (1) immer an einen Webserver und werden dort normalerweise in Logfiles protokolliert. Diese Logfiles können zu einem späteren Zeitpunkt an Matomo übertragen (2) werden. Adblocker oder andere Private-Methoden des Browsers können hier nicht greifen. Einen Vergleich dieses Ansatzes mit dem herkömmlichen Tracking-Ansatz habe ich näher in einem weiteren Artikel untersucht.

Diese Art von Tracking entspricht dem Vorgehen aus der Frühzeit des Internets von vor 20 Jahren, bevor die Verpixelung von Webseiten sich etabliert hat. Für diesen Oldschool-Ansatz bekannte Tools sind Webalizer oder Awstats.

Artikelempfehlung:  Preview-/ Debug-Panel des Matomo Tag Manager dauerhaft anzeigen

Was enthalten diese Logdateien?

Diese sogenannten Access-Logdateien speichern jede Anfrage an den Webserver einer Webseite. D.h. jede Seite, aber auch jedes Bild, jede Datei, jede CSS- oder Javascript-Datei wird dort als ein Eintrag abgelegt. Dabei werden auch Informationen über den Besucher protokolliert.

Ein Beispiel wäre folgender Eintrag:

62.214.0.0 – – [09/Jul/2019:15:25:24 +0200] „GET /neues.html HTTP/1.1“ 200 8711 „https://www.beispiel.de/start.html“ „Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36“

Wie funktioniert die Analyse?

Matomo kann aus den Einträgen der Logfiles Statistiken zu folgenden Punkten erzeugen:

  • Besucher-Anzahl
  • Seitenaufrufe
  • Downloads
  • Keywords
  • Herkunftsseiten
  • Browser
  • Geräte
  • Betriebssystem

Dies ist möglich, weil die Einträge die (anonymisierte) IP-Adresse, die Seiten-URL, den Referrer (Herkunftsseite), Browser und Betriebssystem enthalten können, wie obiges Beispiel zeigt.

Kann ein Besucher diese Analyse verhindern?

Ein Opt-out oder auch ein Opt-in eines einzelnen Besuchers in diese Form der Webanalyse ist nicht ohne weiteres möglich, da entweder alle oder keine Anfragen an die Webseite in dem Logfile gespeichert werden. Rein theoretisch wäre es jedoch mit entsprechendem Programmieraufwand denkbar, die Aufrufe bspw. eines Besuchers mit einem Opt-Out durch einen URL-Parameter zu kennzeichnen und beim Matomo-Import der Logfiles zu ignorieren.

Anti-Tracking-Maßnahmen des Browsers (Adblocker, Do-Not-Track-Header, Privacy-Plugins etc.) gehen bei dem Ansatz ins Leere, d.h. auch Zugriffe dieser Browsers sind dort protokolliert.

Webanalyse-Folgen bei Logfile-Imports

  1. Matomo kann wiederkehrende Besucher nicht erkennen (siehe Unterpunkte vom Fingerprinting Tracking)
  2. Benutzer-Vorgänge, die Aktionen innerhalb einer geladenen Seite ausführen, sind nicht messbar oder verfälschen die Zahlen
    • Matomo-Ereignisse, Inhaltsansichten, -impressionen sind nicht messbar
    • Dynamisches Nachladen von HTML-Elementen (Ajax-Technologie) könnten als Seitenaufrufe gezählt werden (je nach URL der Fragmente)
  3. Ziele bzw. Zielerreichungen können nur ausgelöst/ erkannt werden, wenn sie auf der Eindeutigkeit der URL basieren (Vergleich Blogbeitrag Definieren von Zielen)
  4. Klicks auf ausgehende Links sind von Matomo nicht erkennbar
  5. Zuordnung einer Zielerreichung zu einem Kanal sind ungenauer (siehe Punkt vom Fingerprinting)

Ein Pluspunkt dieser Messweise ist, dass die ermittelte Höhe der Seitenaufrufe realer sein wird, weil wie erwähnt Antitracking-Maßnahmen des Browsers nicht greifen. Einen Vergleich dieser Messergebnisse zum Cookie-basierten Tracking habe ich einem weiteren Beitrag dargestellt..

Logfileanalyse und die Tracking-Einwilligung

Nach derzeitigem Wissensstand ist mir nicht bekannt, dass in diese Form von Webanalyse (sogenannte Reichweitenmessung) eine Einwilligung des Webseiten-Besuchers erfolgen muss. Sie muss jedoch in der Datenschutzerklärung der Webseite erwähnt sein. Wichtig ist, dass die IP-Adressen anonymisiert werden und die Logfiles und Matomo auf den Servern des Webseiten-Betreibers verbleiben und nicht an Dritte gegeben werden.

Mein Fazit zum Tracking mit Logfiles

Diese Form der Webanalyse ermöglicht nur einen Bruchteil der Auswertungen, wie sie Matomo normalerweise bieten kann. Fortgeschrittenes Tracking ist technisch bedingt nicht möglich.

Da sie jedoch reale Zahlen von Zugriffen in Bezug auf Seitenaufrufe/ Downloads liefert, sehe ich sie als mögliche Ergänzung zu einem Tracking mit Cookies. Gerade dann, wenn immer weniger Internet-Benutzer Cookies akzeptieren sollten.

Zusammenfassung

Ich habe betrachtet, welche Auswirkung ein Matomo-Tracking ohne Cookies auf die Webanalyse, d.h. die Messergebnisse hat. Fachlich können beide zur Verfügung stehenden Ansätze nicht die Möglichkeiten zu einer tiefgehenden Analyse bieten, die beim Tracking mit Cookies gegeben sind.

Webseiten-Betreiber, die derzeit eine starke Verpixelung ihrer Webseite vorgenommen haben, die intensiv die Zielerreichungen und Kampagnenerfolge mit Matomo auswerten, haben keine Alternative zum Tracking mit Cookies. Sie könnten jedoch bei fehlender Einwilligung die Besuche ohne Cookies messen oder ergänzend auch die Logfile-Auswertung durchführen.

Webseiten-Betreiber jedoch, bei denen Matomo lediglich mitläuft, bei denen nur das Basis-Tracking-Snippet in die Webseite integriert ist und die nur einfache statistische Auswertungen vornehmen, könnten zum Tracking ohne Cookies übergehen.

Links

Matomo Analyse mit Logfiles (englisch): https://matomo.org/faq/log-analytics-tool/

Wie erkennt Matomo Besucher/ wiederkehrende Besucher (englisch):  https://matomo.org/faq/general/faq_21418/

Welche Cookies verwendet Matomo (englisch): https://matomo.org/faq/general/faq_146/

Auswirkungen Tracking ohne Cookies in Matomo (englisch): https://matomo.org/faq/general/faq_156/

Blogbeitrag zum generellen Cookie-losen Tracken (deutsch): https://converlytics.com/analyse/cookieless-tracking/

Juristische Sicht auf Tracking mit Matomo (deutsch): https://www.it-recht-kanzlei.de/matomo-richtig-verwenden-dsgvo.html#

Unterschied First Party und Third Party Cookies (deutsch): https://piwikpro.de/blog/was-ist-der-unterschied-zwischen-first-party-cookies-und-third-party-cookies/

Eigener Blogbeitrag zur Logfile-Analyse mit Matomo im Vergleich zur Cookie-Verpixelung

Eigener Blogbeitrag zum Arbeiten mit Zielen

Kundenstimmen aus meinen Projekten

Artikelempfehlung:  Die drei Klick-Trigger im Matomo Tag Manager


Meine Angebote zu Matomo

Matomo Support
Dauer: nach Aufwand
Inhalt: Kurzfristiger Support bei Problemen rund um Matomo und den Matomo Tag Manager (Beratung, Programmierung, Konfiguration)
Workshop
Dauer: 2-8h (je nach Bedarf)
Inhalt: Individuelle Fragen & Antworten zu Matomo, Matomo E-Commerce, Matomo Tag Manager inkl. Vorbereitung
Schulung (unterschiedliche Pakete)
Dauer: 2-8h
Inhalt: Webanalyse mit Matomo (für Einsteiger). Ausführliche Schulungsunterlagen. Individuelle Schwerpunkte möglich. Details zu Schulungsinhalten


Ihnen hat mein Artikel gefallen?

Lassen Sie sich per Newsletter über meine neuen Blog-Beiträge zu Matomo informieren.

Als Dankeschön erhalten Sie mein Gratis-E-Book „Die 10 besten kostenlosen Matomo-Plugins“.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Exklusiver, kostenloser Newsletter zu Matomo - plus Dankeschön!

Im Newsletter bespreche ich exklusiv Themen zu Matomo, die ich nicht auf meiner Webseite veröffentliche.
Werden Sie Teil der Community - ich freue mich auf Sie!

Als Dankeschön erhalten Sie mein Gratis-E-Book: "Die 10 besten kostenlosen Matomo-Plugins".

Dies schließt sich in 0Sekunden