Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Umami ist eine quelloffene, datenschutzorientierte Webanalyseplattform unter MIT, Lizenz. Sie schreibt keinerlei Cookies, speichert keine personenbezogenen Daten auf der Festplatte und identifiziert Besucher nur über einen täglich rotierenden, gesalzenen Hash, sodass eine Wiedererkennung über Tage hinweg unmöglich ist. Verfügbar als selbst gehostetes Docker, Stack oder als Umami Cloud mit optionaler EU, Datenresidenz, ist es eines der einfachsten Analytics, Tools, das in der EU ohne Cookie, Banner betrieben werden kann.
Umami ist ein 2020 unter MIT, Lizenz veröffentlichtes quelloffenes Webanalyse, Tool. Das Designprinzip ist klar: Website, Statistiken sammeln, ohne einzelne Besucher zu identifizieren. Umami ist eine Node.js, Anwendung mit Postgres oder MySQL und wird als Docker, Image für VPS, Kubernetes oder verwaltete PaaS, Plattformen ausgeliefert. Umami Software Inc., ein US, Unternehmen, betreibt zudem Umami Cloud, eine gehostete Variante mit optionaler EU, Datenresidenz auf kostenpflichtigen Plänen. Das Produkt liefert die üblichen Analyse, Dimensionen (Seitenaufrufe, Sitzungen, Geräte, Browser, Länder, Referrer, benutzerdefinierte Events), ohne jemals ein Cookie zu setzen oder eine Roh, IP zu speichern.
Umami schreibt weder Cookies noch localStorage, Einträge. Sitzungen werden serverseitig aus einem SHA, Hash über (täglich rotierender Salt + Besucher, IP + User, Agent + Hostname) berechnet. Der Salt wird alle 24 Stunden neu erzeugt: Derselbe Besucher an zwei unterschiedlichen Tagen erscheint als zwei unzusammenhängende Sitzungen, eine Verfolgung über 24 Stunden hinaus ist unmöglich. Die Roh, IP wird nie auf der Festplatte abgelegt; gespeichert werden nur die gehashte Kennung und aggregierte Metadaten (Land per IP, Geolokalisierung, Browser, OS, Gerätetyp, Bildschirmgröße, Sprache). Benutzerdefinierte Events können numerische Werte oder kurze Strings transportieren, falls vom Betreiber ergänzt.
Da Umami keine Cookies setzt und keine personenbezogenen Daten in identifizierbarer Form speichert, greift Art. 5 Abs. 3 ePrivacy, Richtlinie (Einwilligung für Speicher, oder Lesezugriffe auf dem Endgerät) nicht. Die Befreiungskriterien der CNIL für Analyse, Tools, kein Werbezweck, kein Cross, Site, Tracking, keine Anreicherung mit anderen Daten, Anonymisierung, sind standardmäßig erfüllt. Das DSGVO, Restrisiko ist sehr gering: Aggregierte Metriken, die einer Einzelperson nach der täglichen Salt, Rotation nicht mehr zugeordnet werden können, fallen aus dem Anwendungsbereich personenbezogener Daten. Der Betreiber bleibt Verantwortlicher für Konfigurationsentscheidungen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Umami kann in seiner cookielosen Standardkonfiguration ohne CMP, Consent, Gate geladen werden. CNIL, AEPD und BfDI akzeptieren solche Analyselösungen unter der Einwilligungsbefreiung, sofern die Daten nicht mit Profilbildungsquellen angereichert werden und der Zweck auf Reichweitenmessung beschränkt bleibt. Wenn der Betreiber benutzerdefinierte Events ergänzt, die personenbezogene Daten erfassen, sollten diese spezifischen Events einwilligungspflichtig sein oder in einem separaten Verarbeitungspfad laufen, der Basis, Tracker selbst läuft weiter ohne Einwilligung.
Selbst gehostetes Umami überträgt keine Daten außerhalb der vom Betreiber gewählten Region. Auf Umami Cloud wählt der Betreiber zwischen EU (Frankfurt) und USA: Bei europäischem Publikum wählen Sie EU, der Datenpfad bleibt im EWR. Da Umami Software Inc. ein US, Unternehmen ist, fließen für die Vertragsbeziehung kleinere Mengen Metadaten in die USA (Abrechnung, Support), abgedeckt durch Standardvertragsklauseln mit EU, Kunden. Für die meisten europäischen Websites ist Self, Hosting auf einem kleinen EU, VPS oder Umami Cloud EU der empfohlene Weg.
Nehmen Sie Umami in das Verzeichnis von Verarbeitungstätigkeiten unter Reichweitenmessung mit berechtigtem Interesse als Rechtsgrundlage auf. Bei Umami Cloud unterzeichnen Sie den AVV von Umami Software Inc. und wählen die EU, Region. Setzen Sie eine sinnvolle Aufbewahrungsfrist (12 bis 25 Monate reichen für Jahresvergleiche). Vermeiden Sie es, personenbezogene Daten über Eigenschaften benutzerdefinierter Events zu übermitteln. Listen Sie Umami in der Datenschutzerklärung mit dem Hinweis, dass keine Cookies gesetzt werden und Besucher nicht tagübergreifend wiedererkannt werden können. Die Website kann in der Regel ohne Cookie, Banner ausgeliefert werden.
Websites using Umami must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für ein Standard, Umami, Deployment in der Regel nicht erforderlich, da keine Cookies geschrieben werden, die tägliche Salt, Rotation eine Wiedererkennung über Tage verhindert und kein Cross, Site, Tracking stattfindet. Eine DSFA wird erst relevant, wenn der Betreiber Umami um benutzerdefinierte Events erweitert, die personenbezogene Daten enthalten (E, Mail, Nutzer, ID, Freitextfelder), oder wenn Umami mit anderen Tools zu vollständigen Profilen kombiniert wird. Dokumentieren Sie die Salt, Rotation, die Aufbewahrungsfrist, den Hosting, Standort (selbst gehostet vs. Umami Cloud EU/US) und die Auftragsverarbeiterrolle von Umami Software Inc. bei Cloud, Plänen.
Sample consent text
Wir verwenden Umami Analytics, um die Nutzung unserer Website zu verstehen. Umami schreibt keine Cookies, speichert keine IP, Adressen und kann Sie nicht über Tage hinweg wiedererkennen. Aggregierte Nutzungsstatistiken werden auf unseren eigenen Servern [oder in der Umami Cloud EU] gespeichert. Da Umami standardmäßig keine personenbezogenen Daten erhebt, ist kein Cookie, Banner erforderlich; Sie können jederzeit widersprechen.
Third-party domains contacted
umami.iscloud.umami.isanalytics.umami.isapi.umami.isCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| No cookies | none | n/a | Umami is a privacy focused analytics platform that does not use cookies or any client side persistent identifier. Sessions are derived server side from a hashed combination of IP address, user agent and a daily rotating salt. |
Umami erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Keine. Umami ist vollständig cookielos. Es werden weder Cookies noch localStorage, Einträge im Browser des Besuchers geschrieben. Sitzungen werden serverseitig aus einem SHA, Hash über (Tagessalt + IP + User, Agent + Hostname) berechnet; der Salt rotiert alle 24 Stunden und macht eine tagübergreifende Wiedererkennung unmöglich.
Nein in der Standardkonfiguration. Da Umami weder Cookies noch lokalen Speicher schreibt und keine identifizierbaren personenbezogenen Daten speichert, greift Art. 5 Abs. 3 ePrivacy, Richtlinie nicht. CNIL, AEPD und BfDI akzeptieren diese Art cookieloser Analytik unter der Einwilligungsbefreiung, sofern kein Werbezweck, kein Cross, Site, Tracking und keine Anreicherung mit anderen Daten erfolgt.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) ist die übliche Rechtsgrundlage, mit dokumentierter Interessenabwägung, die das geringe Datenvolumen, die tägliche Salt, Rotation und das Fehlen von Cross, Site, Tracking hervorhebt. In manchen Implementierungen sind die Daten nach der Salt, Rotation derart aggregiert, dass sie aus dem Bereich personenbezogener Daten herausfallen.
Nicht, wenn Umami in der EU selbst gehostet wird, und nicht, wenn Umami Cloud mit der EU, Region konfiguriert ist. Da Umami Software Inc. eine US, Gesellschaft ist, fließen kleinere Mengen Metadaten (Abrechnung, Support) per Standardvertragsklauseln in die USA; die Analysedaten verbleiben in der gewählten Region.
In der Regel nein. Die Kombination aus cookielosem Tracking, täglicher Salt, Rotation, fehlendem Cross, Site, Tracking und begrenzten Dimensionen hält das Restrisiko sehr gering. Eine DSFA wird nur empfohlen, wenn Umami um benutzerdefinierte Event, Eigenschaften mit personenbezogenen Daten erweitert wird oder mit anderen Tools zu Profilen kombiniert wird.
Hosten Sie selbst auf einem EU, Server oder wählen Sie die EU, Region in Umami Cloud. Behalten Sie die cookielose Standardkonfiguration, setzen Sie eine sinnvolle Aufbewahrungsfrist (12 bis 25 Monate), vermeiden Sie personenbezogene Daten in benutzerdefinierten Events, nennen Sie Umami in der Datenschutzerklärung mit dem Hinweis cookielos und nehmen Sie es im Verzeichnis von Verarbeitungstätigkeiten unter Reichweitenmessung mit berechtigtem Interesse auf.
Ja. Plausible Analytics (cookielos, EU, Cloud), Fathom Analytics (cookielos, EU, Cloud), Pirsch (cookielos, Deutschland), Simple Analytics (cookielos, Niederlande), Matomo im cookielosen Modus (CNIL, Befreiung) und Counter (Open Source, selbst gehostet) verfolgen einen vergleichbaren Datenschutzansatz.
Stellen Sie ausdrücklich klar, dass Umami cookielos ist, keine personenbezogenen Daten auf der Festplatte ablegt und der Besucher nicht tagübergreifend wiedererkennbar ist. Nennen Sie die tägliche Salt, Rotation als technische Schutzmaßnahme. Bei Umami Cloud erwähnen Sie Umami Software Inc. als Auftragsverarbeiter und die EU, Region. Drittanbieter, Cookies sind nicht zu nennen, da keine gesetzt werden.