Tracking in Matomo ohne Cookies möglich, aber sinnvoll?

Dieser Artikel betrachtet die fachlichen Konsequenzen eines Besucher-Trackings ohne Cookies von einer mit der Open Source Lösung Matomo getrackten Seite.

Zum Hintergrund

Gerichtsurteile, sowie erwartete Bestrebungen von Gesetzgebern die aktive Einwilligung in die Verwendung von Cookies beim Besucher abzuholen, bevor bereits ein Cookie gesetzt wird, erfordern neue Formen der Analyse der Webseiten-Nutzung von Besuchern.

Diese intensiv geführten Diskussionen haben zur Folge, dass mir bekannte (Online-) Marketing-Verantwortliche besorgt darüber sind, dass die Besucher ihrer betreuten Webseite nicht in Tracking-Cookies einwilligen und damit

  • (gemessene) Besucherzahlen drastisch sinken,
  • Analysen über Benutzerverhalten kaum Aussagekraft besitzen
  • der Erfolg von Online-Werbebudgets mittels Kampagnen oder
  • die Messbarkeit von Zielerreichungen einer Webseite nicht mehr ausreichend nachweisbar sind.

Ist daher ein Tracking ohne Cookies eine Alternative?

Matomo ohne Cookies

Matomo verwendet im Standard Cookies, um Besucher zu identifizieren. Zum einen, während ein Besucher gerade aktiv in der Webseite unterwegs ist und zum anderen, wenn ein Besucher später nach mehr als 30 Minuten auf die Webseite zurückkehrt.

Es gibt folgende zwei (mir) bekannte Ansätze, Matomo zu verwenden und dabei auf Cookies zu verzichten:

  1. Deaktivieren von Cookies in Matomo: Verwendung eines Fingerprinting-Verfahren
  2. Verzicht auf Verpixelung und damit auch Cookies: Analyse des Besucherverhaltens anhand von Server-Logfiles in Matomo

Beide Varianten haben Einschränkungen für die Webanalyse zur Folge, die ich nun erläutern möchte:

Matomo ohne Cookies und nur mit Fingerprinting – Variante 1

Fingerprinting (hier ist ein technischer Fingerabdruck gemeint) ist die Technologie von Matomo, um einen Besucher zu identifizieren und damit von anderen Besuchern zu unterscheiden. Diese Technologie wird sowohl mit als auch ohne Cookies von Matomo angewendet.

Ich beschreibe in Variante 1 den Ansatz, Fingerprinting ohne Cookies zu verden. Variante 2  zeigt (weiter unten) einen Ansatz komplett auf Fingerprinting zu verzichten.

Was passiert beim Fingerprinting?

Im Browser des Besuchers wird beim Seitenaufruf der getrackten Webseite ein JavaScript-Code von Matomo ausgeführt. Dieser Code ermittelt u.a. verschiedene technische Eigenschaften des Besucher-Browsers/ -Gerätes und sendet diese an Matomo. Herangezogen werden dabei Informationen über Betriebssystem, Browser, Browser Erweiterungen, die (anonymisierte) IP-Adresse und die Browser-Sprache.

Ferner werden individuelle Eigenschaften der Matomo-Installation und der getrackten Webseite mathematisch in die Fingerabdruck-Ermittlung hinzugezogen, um zu verhindern, dass ein Fingerabdruck bei verschiedenen Matomo-Installationen oder verschiedenen Webseiten identisch ist. Somit wirkt Matomo einer übergreifenden Besucherprofil-Erstellung im Internet, wie sie Cloud-basierte Werbeplattformen praktizieren, entgegen.

Besucht man also zwei Webseiten, die von Matomo getrennt getrackt werden, so ist der „persönliche“ Fingerprint nie identisch, sondern verschieden.

Es wird aus dem Fingerprint eine Besucher-ID berechnet, die beim Tracking mit Cookies beim ersten Besuch in einem Cookie (der 13 Monate lang gültig ist) abgespeichert wird. Ab diesem Zeitpunkt identifiziert Matomo den Besucher anhand dieses Cookies.

Technische Nachteile vom Fingerprinting ohne Cookies

Beim Tracking ohne Cookies kann dieses Abspeichern im Cookie nicht erfolgen und die Identifizierung eines Besuchers erfolgt von Matomo laufend anhand der errechneten Besucher-ID (also dem Fingerabdruck).

Matomo vergleicht dabei den technischen Fingerabdruck des Besuchers mit den zuvor von allen Besuchern gespeicherten Fingerprints. Der Vergleich erfolgt jedoch nur für die Fingerprints aus den vergangenen 30 Minuten (Standardwert, der konfigurativ jedoch änderbar ist). Weiter in die Vergangenheit schaut Matomo hier nicht, so dass wiederkehrende Besucher nicht ermittelt werden können.

Update: Matomo hat in Version 3.13.6 (erschienen am 05.06.2020) die Erzeugung des Fingerabdrucks um eine Zufallsberechnung ergänzt. Alle 24h ändert sich die Berechnung des Fingerprints, so dass wiederkehrende Besucher nicht mal mehr bei Analyse der Matomo-Datenbank erkannt werden könnten, falls sich jemand diese Mühe machen würde.

Webanalyse-Folgen bei Fingerprinting-Ansatz ohne Cookies

  1. Matomo misst wiederkehrende Besucher in folgenden Statistiken so, als wären es jeweils neue Besucher:
    • Besuche nach Besuchsanzahl (Engagement-Statistik)
    • Besuche nach Tage seit letztem Besuch (Engagement-Statistik)
    • Besuche bis zur Konversion (Ziele-Statistik)
    • Tage bis zur Konversion (Ziele-Statistik)
  1. Die Zuordnung einer Zielerreichung zu einem Kanal (Kampagne, Webseite, Suchmaschine) wird ungenauer, da der (6 Monate lang gültige Referrer) Cookie fehlt, in dem Matomo speichert, woher der Besucher initial kam. Dies wirkt sich in der Kanalstatistik dann falsch aus, wenn der Besucher mehrfach die Seite besucht, bevor er einen Abschluss (Konversion) tätigt. Ruft er beim Konvertierungsbesuch die Seiten-Adresse direkt auf, wird das Ziel nicht dem Kanal zugeordnet, über den man den Kunden eigentlich gewonnen hat.
  2. Die konkrete Auswirkung auf die Höhe der gemessenen Zahlen beim Tracken ohne Cookies sind schwer prognostizierbar. Sowohl in die eine als auch andere Richtung wird es Veränderungen geben:
    • Die Anzahl eindeutiger, neuer Besucher wird steigen, weil
      • Fingerprinting ungenauer beim Wiedererkennen von früheren Besuchern ist
      • Nutzer erfasst werden, die Cookies pauschal im Browser geblockt haben (vermutlich weniger als 1% aller Internet-Nutzer)
      • Anti-Tracking-Erweiterungen in Browsern ausgehebelt werden, die auf technisches Tracking-Cookie-Blockieren abzielen (die Größenordnung dürfte im niederen einstelligen Prozent-Bereich liegen)
      • Die zuvor genannten beiden Punkte sind hierbei mehr ein Vorteil als ein Nachteil
    • Eindeutige Seitenaufrufe werden steigen, aufgrund der steigenden Anzahl vermeintlich eindeutiger Besucher
    • Die Anzahl wiederkehrender Besucher wird sinken
    • Konversionsraten bei Zielerreichungen bezogen auf eindeutige Besucher werden sinken
    • Sämtliche Engagement-Statistiken verschlechtern sich

Fingerprinting und die Tracking-Einwilligung

Aktuelle Gerichtsurteile (insbesondere das EuGH-Urteil von Oktober 2019) werden mehrheitlich so interpretiert, dass der Besucher auch beim Matomo-Tracking ohne Cookies mit Fingerprinting vorab in das Tracking einwilligen muss, da ein personenbezogenes Nutzerprofil erstellt werden kann. Letzterem ist nicht zu widersprechen, wie ich oben anhand der Vorgehensweisen ausgeführt habe.

Update: Mit dem erwähnten neuen Release vom 05.06.2020, bei dem der Fingerprint mit einem 24h lang gültigen Zufallswert berechnet wird, ist Matomo auf seiner Webseite der Meinung, dass ein Webseiten-Betreiber auf eine Einwilligung verzichten könnte, sofern noch weitere Voraussetzungen gegeben sind.

Mein Fazit zum Tracking mit Fingerprinting

Tracking ohne Cookies in Matomo auf Basis von Fingerprinting ist nach meiner Bewertung aus den genannten zwei Gründen keine Alternative:

  1. Die Einwilligungsthematik, d.h. die Opt-In-Pflicht, wird juristisch wie bei Cookies gesehen
  2. Die Ungenauigkeiten der Messergebnisse steigen

Besucherverhalten auf Basis von Server-Logfiles in Matomo analysieren – Variante 2

Diese Variante ist ein Ansatz, bei dem auf Fingerprinting und Cookies verzichtet wird. Im Browser des Besuchers einer Webseite findet keinerlei Datenaustausch mit Matomo statt.

Stattdessen werden die Logdateien der Webseite, die vom Webservers der Webseite laufend geschrieben werden, in regelmäßigen Zeitabständen in Matomo eingelesen.

Matomo Logfileanalyse

Anfragen des Browsers beim Aufruf einer Webseite gehen (1) immer an einen Webserver und werden dort normalerweise in Logfiles protokolliert. Diese Logfiles können zu einem späteren Zeitpunkt an Matomo übertragen (2) werden. Adblocker oder andere Private-Methoden des Browsers können hier nicht greifen. Einen Vergleich dieses Ansatzes mit dem herkömmlichen Tracking-Ansatz habe ich näher in einem weiteren Artikel untersucht.

Diese Art von Tracking entspricht dem Vorgehen aus der Frühzeit des Internets von vor 20 Jahren, bevor die Verpixelung von Webseiten sich etabliert hat. Für diesen Oldschool-Ansatz bekannte Tools sind Webalizer oder Awstats.

Was enthalten diese Logdateien?

Diese sogenannten Access-Logdateien speichern jede Anfrage an den Webserver einer Webseite. D.h. jede Seite, aber auch jedes Bild, jede Datei, jede CSS- oder Javascript-Datei wird dort als ein Eintrag abgelegt. Dabei werden auch Informationen über den Besucher protokolliert.

Ein Beispiel wäre folgender Eintrag:

62.214.0.0 – – [09/Jul/2019:15:25:24 +0200] „GET /neues.html HTTP/1.1“ 200 8711 „https://www.beispiel.de/start.html“ „Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36“

Wie funktioniert die Analyse?

Matomo kann aus den Einträgen der Logfiles Statistiken zu folgenden Punkten erzeugen:

  • Besucher-Anzahl
  • Seitenaufrufe
  • Downloads
  • Keywords
  • Herkunftsseiten
  • Browser
  • Geräte
  • Betriebssystem

Dies ist möglich, weil die Einträge die (anonymisierte) IP-Adresse, die Seiten-URL, den Referrer (Herkunftsseite), Browser und Betriebssystem enthalten können, wie obiges Beispiel zeigt.

Kann ein Besucher diese Analyse verhindern?

Ein Opt-out oder auch ein Opt-in eines einzelnen Besuchers in diese Form der Webanalyse ist nicht ohne weiteres möglich, da entweder alle oder keine Anfragen an die Webseite in dem Logfile gespeichert werden. Rein theoretisch wäre es jedoch mit entsprechendem Programmieraufwand denkbar, die Aufrufe bspw. eines Besuchers mit einem Opt-Out durch einen URL-Parameter zu kennzeichnen und beim Matomo-Import der Logfiles zu ignorieren.

Anti-Tracking-Maßnahmen des Browsers (Adblocker, Do-Not-Track-Header, Privacy-Plugins etc.) gehen bei dem Ansatz ins Leere, d.h. auch Zugriffe dieser Browsers sind dort protokolliert.

Webanalyse-Folgen bei Logfile-Imports

  1. Matomo kann wiederkehrende Besucher nicht erkennen (siehe Unterpunkte vom Fingerprinting Tracking)
  2. Benutzer-Vorgänge, die Aktionen innerhalb einer geladenen Seite ausführen, sind nicht messbar oder verfälschen die Zahlen
    • Matomo-Ereignisse, Inhaltsansichten, -impressionen sind nicht messbar
    • Dynamisches Nachladen von HTML-Elementen (Ajax-Technologie) könnten als Seitenaufrufe gezählt werden (je nach URL der Fragmente)
  3. Ziele bzw. Zielerreichungen können nur ausgelöst/ erkannt werden, wenn sie auf der Eindeutigkeit der URL basieren (Vergleich Blogbeitrag Definieren von Zielen)
  4. Klicks auf ausgehende Links sind von Matomo nicht erkennbar
  5. Zuordnung einer Zielerreichung zu einem Kanal sind ungenauer (siehe Punkt vom Fingerprinting)

Ein Pluspunkt dieser Messweise ist, dass die ermittelte Höhe der Seitenaufrufe realer sein wird, weil wie erwähnt Antitracking-Maßnahmen des Browsers nicht greifen. Einen Vergleich dieser Messergebnisse zum Cookie-basierten Tracking habe ich einem weiteren Beitrag dargestellt..

Logfileanalyse und die Tracking-Einwilligung

Nach derzeitigem Wissensstand ist mir nicht bekannt, dass in diese Form von Webanalyse (sogenannte Reichweitenmessung) eine Einwilligung des Webseiten-Besuchers erfolgen muss. Sie muss jedoch in der Datenschutzerklärung der Webseite erwähnt sein. Wichtig ist, dass die IP-Adressen anonymisiert werden und die Logfiles und Matomo auf den Servern des Webseiten-Betreibers verbleiben und nicht an Dritte gegeben werden.

Mein Fazit zum Tracking mit Logfiles

Diese Form der Webanalyse ermöglicht nur einen Bruchteil der Auswertungen, wie sie Matomo normalerweise bieten kann. Fortgeschrittenes Tracking ist technisch bedingt nicht möglich.

Da sie jedoch reale Zahlen von Zugriffen in Bezug auf Seitenaufrufe/ Downloads liefert, sehe ich sie als mögliche Ergänzung zu einem Tracking mit Cookies. Gerade dann, wenn immer weniger Internet-Benutzer Cookies akzeptieren sollten.

Zusammenfassung

Ich habe betrachtet, welche Auswirkung ein Matomo-Tracking ohne Cookies auf die Webanalyse, d.h. die Messergebnisse hat. Fachlich können beide zur Verfügung stehenden Ansätze nicht die Möglichkeiten zu einer tiefgehenden Analyse bieten, die beim Tracking mit Cookies gegeben sind.

Webseiten-Betreiber, die derzeit eine starke Verpixelung ihrer Webseite vorgenommen haben, die intensiv die Zielerreichungen und Kampagnenerfolge mit Matomo auswerten, haben keine Alternative zum Tracking mit Cookies.

Webseiten-Betreiber jedoch, bei denen Matomo lediglich mitläuft, bei denen nur das Basis-Tracking-Snippet in die Webseite integriert ist und die nur einfache statistische Auswertungen vornehmen, könnten zum Tracking ohne Cookies übergehen.

Hier empfehle ich jedoch abzuwarten, wie der Gesetzgeber sich bzgl. Cookies und der Opt-in-Einwilligung insbesondere bei First-Party-Cookies äußern wird. Ein selbst betriebenes Matomo, auf den eigenen Servern, bei denen Benutzerprofile nicht durch Dritte erstellt werden und die IP-Adressen anonymisiert werden, könnte hier noch stärker zu der Tracking-Alternative im Vergleich zu Cloud-Lösungen werden.

Update: Nach dem Gerichtsurteil des BGH vom 28.05.2020 ist man in Deutschland in der Interpretation des Urteils überwiegend der Meinung, dass eine Einwilligung in Cookies auch für die Webanalyse erforderlich ist. Differenziert und fachlich fundiert beschreibt jedoch der Anwalt Dr. Thomas Schwenke auf der Seite Datenschutz-Generator die Situation und erläutert, dass das Thema Opt-In bei einer Webanalyse, die der Reichweitenmessung dient, nachwievor nicht geklärt ist.

Links

Matomo Analyse mit Logfiles (englisch): https://matomo.org/faq/log-analytics-tool/

Wie erkennt Matomo Besucher/ wiederkehrende Besucher (englisch):  https://matomo.org/faq/general/faq_21418/

Welche Cookies verwendet Matomo (englisch): https://matomo.org/faq/general/faq_146/

Auswirkungen Tracking ohne Cookies in Matomo (englisch): https://matomo.org/faq/general/faq_156/

Blogbeitrag zum generellen Cookie-losen Tracken (deutsch): https://converlytics.com/analyse/cookieless-tracking/

Juristische Sicht auf Tracking mit Matomo (deutsch): https://www.it-recht-kanzlei.de/matomo-richtig-verwenden-dsgvo.html#

Unterschied First Party und Third Party Cookies (deutsch): https://piwikpro.de/blog/was-ist-der-unterschied-zwischen-first-party-cookies-und-third-party-cookies/

Eigener Blogbeitrag zur Logfile-Analyse mit Matomo im Vergleich zur Cookie-Verpixelung

Eigener Blogbeitrag zum Arbeiten mit Zielen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.