Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Matomo (früher Piwik) ist eine quelloffene Webanalyse-Plattform, die Ihnen vollständige Datensouveränität bietet. Als selbst gehostete Lösung, Cloud-Dienst oder WordPress-Plugin verfügbar, verfolgt Matomo das Besucherverhalten mit Erstanbieter-Cookies und unterstützt cookiefreies Tracking. Von der CNIL für die Einwilligungsbefreiung zugelassen, wenn entsprechend konfiguriert.
Matomo (früher Piwik) ist eine quelloffene Webanalyse-Plattform, die vollständige Datensouveränität bietet. Im Gegensatz zu cloudbasierten Diensten wie Google Analytics können Sie Matomo auf Ihren eigenen Servern betreiben und behalten die vollständige Kontrolle über alle erfassten Nutzerdaten. Matomo wird weltweit von über 1,4 Millionen Websites genutzt und gilt als datenschutzfreundlichste Alternative zu kommerziellen Analyselösungen.
Matomo verwendet standardmäßig Erstanbieter-Cookies zur Besucherverfolgung. Die wichtigsten Cookies sind _pk_id (Besucher-ID, Laufzeit 13 Monate), _pk_ses (Sitzungs-Cookie, Laufzeit 30 Minuten) sowie _pk_ref (Referrer-Informationen, Laufzeit 6 Monate). Matomo erfasst IP-Adressen, Browser-Typ, Betriebssystem, Seitenaufrufe, Verweildauer und Referrer-Quellen.
Die Nutzung von Matomo unterliegt der DSGVO sowie der ePrivacy-Richtlinie. Da Matomo personenbezogene Daten wie IP-Adressen und Online-Kennungen verarbeitet, ist eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich. Die ePrivacy-Richtlinie verlangt für Tracking-Cookies grundsätzlich eine vorherige Einwilligung. Ausnahmen gelten in Frankreich unter CNIL-Bedingungen, sofern keine Datenweitergabe an Dritte erfolgt.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
In Deutschland und Österreich ist für Matomo-Cookies eine ausdrückliche Einwilligung erforderlich. Als Rechtsgrundlage kommt Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Betracht. Bei berechtigtem Interesse ist eine Interessenabwägung zu dokumentieren. Matomo bietet eine integrierte Opt-out-Funktion und Unterstützung für Consent-Management-Plattformen.
Ein zentraler Vorteil von Matomo ist die Möglichkeit, Daten auf eigenen Servern zu speichern. Bei On-Premise-Deployments verlassen keine Daten Ihre Infrastruktur. Matomo Cloud speichert Daten ausschließlich in der EU (Deutschland und Frankreich). Damit entfällt das bei Google Analytics bestehende Problem der Übertragung personenbezogener Daten in die USA.
Für eine DSGVO-konforme Implementierung empfehlen sich folgende Schritte: IP-Anonymisierung aktivieren, Auftragsverarbeitungsvertrag mit Matomo Cloud abschließen, Matomo in das Verzeichnis der Verarbeitungstätigkeiten aufnehmen, eine CMP integrieren und regelmäßige Datenschutz-Audits durchführen. Informieren Sie Nutzer in Ihrer Datenschutzerklärung vollständig über den Einsatz von Matomo.
Websites using Matomo Analytics must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für Standard-Matomo-Deployments mit Standard-Datenschutzeinstellungen im Allgemeinen nicht erforderlich, da das Tool datenschutzkonform konzipiert ist. Eine DSFA wird jedoch empfohlen bei Aktivierung von Heatmaps und Session Recordings, Verarbeitung von Daten besonderer Personengruppen, Kombination von Matomo-Daten mit anderen personenbezogenen Datenquellen oder Nutzung des User-ID-Trackings. Die selbst gehostete Nutzung und das Fehlen von Drittlandübertragungen reduzieren das Risikoprofil erheblich.
Sample consent text
Wir verwenden Matomo Analytics zur Analyse des Traffics auf unserer Website. Matomo nutzt Erstanbieter-Cookies (_pk_id, _pk_ses), um eindeutige Besucher zu unterscheiden und Sitzungen zu verfolgen. Alle Daten werden auf unseren eigenen Servern gespeichert und niemals an Dritte weitergegeben. Sie können der Verfolgung jederzeit widersprechen. Akzeptieren Sie die Verwendung von Matomo Analytics-Cookies für statistische Zwecke?
Third-party domains contacted
matomo.org*.matomo.cloudplugins.matomo.orgCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _pk_id | first-party | 13 months | Stores a unique visitor ID to recognise new and returning visitors and build visitor profiles including visit count, timestamps, eCommerce orders, and goal conversions. |
| _pk_ses | first-party | 30 minutes | Used to link actions performed during a session (page views, downloads, events) to a unique visit, enabling accurate session attribution. |
| _pk_ref | first-party | 6 months | Stores referrer attribution data including the source (search engine, social media, external website, or campaign URL) that brought the visitor to the site. |
| _pk_cvar | first-party | 30 minutes (session) | Stores custom variables in key-value pairs to define additional metadata about the visitor or their actions during a session. |
| mtm_consent | first-party | Until withdrawn (default: 30 years) | Records that the visitor has given consent to be tracked. Set when using Matomo's built-in consent management or a CMP integration. |
| mtm_consent_removed | first-party | Until withdrawn (default: 30 years) | Records that the visitor has opted out of being tracked. Used when the visitor withdraws previously given consent. |
| _pk_hsr | first-party | Session | Used by Heatmap and Session Recording features to track which areas of a webpage visitors interact with and to capture session recording data. |
Matomo Analytics erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Matomo setzt vier Haupt-Erstanbieter-Cookies: _pk_id (eindeutige Besucher-ID, 13 Monate), _pk_ses (Sitzungsverfolgung, 30 Minuten), _pk_ref (Referrer-Attribution, 6 Monate) und _pk_cvar (benutzerdefinierte Sitzungsvariablen, 30 Minuten). Optionale Cookies umfassen mtm_consent und mtm_consent_removed für das Einwilligungsmanagement sowie _pk_hsr für Heatmaps und Session Recordings. Matomo kann auch vollständig ohne Cookies konfiguriert werden.
In den meisten EU-Ländern ist gemäß den ePrivacy-Regeln eine Einwilligung vor jeglichem Analytics-Tracking einschließlich Matomo erforderlich. In Frankreich (CNIL), Spanien, Italien und den Niederlanden kann Matomo jedoch von einer Einwilligungsbefreiung profitieren, wenn es mit bestimmten Datenschutzeinstellungen konfiguriert ist: cookiefreier Modus, IP-Anonymisierung, kein Cross-Site-Tracking und begrenzte Datenspeicherung. In strengen Rechtsordnungen wie Deutschland, Österreich und Irland ist die Einwilligung stets erforderlich, unabhängig von der Konfiguration.
Für Matomo gelten zwei Rechtsgrundlagen: Einwilligung oder berechtigtes Interesse. Die Einwilligung ist die sicherste Option und in den meisten EU-Rechtsordnungen erforderlich. Berechtigtes Interesse kann herangezogen werden, wenn eine Interessenabwägungsprüfung (LIA) mit Dokumentation von Zweck, Notwendigkeit und Abwägungstest durchgeführt wird. Bei Nutzung der CNIL-Befreiung gilt für die ePrivacy-Konformität die Ausnahme für unbedingt notwendige Maßnahmen, wobei DSGVO-Anforderungen weiterhin gelten, sofern personenbezogene Daten verarbeitet werden.
Nein. Bei Matomo On-Premise verbleiben alle Daten auf Ihren eigenen Servern am von Ihnen gewählten Standort. Bei Matomo Cloud werden Daten ausschließlich in EU-Rechenzentren (Deutschland und Frankreich) gespeichert. Matomo gibt niemals Daten an Dritte weiter und verwendet diese nicht für eigene Zwecke. Dies ist ein wesentlicher Compliance-Vorteil gegenüber Tools wie Google Analytics, das von mehreren EU-Datenschutzbehörden aufgrund von US-Datenübertragungen für rechtswidrig erklärt wurde.
Eine DSFA ist für Standard-Matomo-Deployments mit Standard-Datenschutzeinstellungen im Allgemeinen nicht erforderlich, da das Tool datenschutzkonform konzipiert ist und keine Drittlandübertragungen durchführt. Eine DSFA wird jedoch empfohlen bei Aktivierung von Heatmaps und Session Recordings, Verarbeitung von Daten besonderer Personengruppen, Kombination von Matomo-Daten mit anderen personenbezogenen Datenquellen oder Nutzung des User-ID-Trackings zur Verknüpfung von Sitzungen mit identifizierten Personen.
Wesentliche Schritte: On-Premise oder Matomo Cloud für vollständige Datenkontrolle wählen. IP-Anonymisierung aktivieren (2 oder 3 Bytes). Angemessene Datenspeicherungsrichtlinien festlegen. Matomo im Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentieren. Datenschutzerklärung aktualisieren. CMP integrieren oder Matomos integrierte Einwilligungs-API nutzen. Für die CNIL-Befreiung den offiziellen Konfigurationsleitfaden befolgen und einen Opt-out-Mechanismus über den Matomo-Opt-out-iFrame oder ein benutzerdefiniertes Formular anbieten.
Datenschutzorientierte Analysealternativen sind: Plausible Analytics (cookiefrei, schlank, EU-gehostet), Fathom Analytics (cookiefrei, einfach, datenschutzorientiert), GoatCounter (Open Source, minimales Tracking) und Umami (Open Source, selbst gehostet). Für Organisationen, die vollständige Funktionsparität mit Google Analytics benötigen, bleibt Matomo mit seinem selbst gehosteten Modell und der CNIL-Zulassung die umfassendste datenschutzfreundliche Option.
Die Cookie-Richtlinie sollte jedes Matomo-Cookie nach Name, Typ, Zweck und Gültigkeitsdauer auflisten: _pk_id (persistent, Besucheridentifikation, 13 Monate), _pk_ses (Sitzung, Sitzungsverfolgung, 30 Minuten), _pk_ref (persistent, Referrer-Attribution, 6 Monate), _pk_cvar (Sitzung, benutzerdefinierte Variablen, 30 Minuten). Bei Nutzung der Einwilligungsverwaltung auch mtm_consent und mtm_consent_removed auflisten. Angeben, dass Matomo ausschließlich Erstanbieter-Cookies verwendet, Daten auf eigenen Servern oder in der EU gespeichert werden und keine Daten an Dritte weitergegeben werden.