Normalerweise wird MATOMO/Piwik automatisch aktiviert, sobald eine Webseite online geschaltet wird.
Da Matomo jedoch in der Datenschutzerklärung ausdrücklich erwähnt werden muss und die Deaktivierung bzw. das Opt-out für Benutzer ebenfalls dort bereitgestellt werden muss – was je nach Browser nicht immer zuverlässig funktioniert – kann es sinnvoll sein, Piwik vollständig zu deaktivieren.
Ein weiterer Vorteil: Einige besonders sicherheitsorientierte Browser oder Datenschutz-Erweiterungen melden Webseiten mit aktiven Tracking-Komponenten automatisch als „Tracker-Seite". Selbst die bloße Abschaltfunktion von Piwik/Matomo in der Datenschutzerklärung kann dabei bereits erkannt werden. Deshalb deaktiviere ich nicht nur das Tracking selbst, sondern auch die entsprechende Passage aus der Datenschutzerklärung.
Soweit nachvollziehbar.
Problematisch wird es jedoch in folgendem Szenario:
Wird eine Webseite vorübergehend offline genommen, eine zusätzliche Domain hinzugefügt oder eine andere technische Änderung vorgenommen, aktiviert sich Piwik offenbar automatisch erneut, sobald die Webseite wieder online geht. Im Domainverwaltungs-Modul ist dieser Statuswechsel jedoch nicht eindeutig ersichtlich.
Dadurch kann unbemerkt wieder ein Statistik-Tracker aktiv sein, obwohl:
- das Tracking bewusst deaktiviert wurde,
- keine Opt-out-Möglichkeit mehr vorhanden ist,
- und die Datenschutzerklärung keinerlei Hinweis mehr auf Matomo/Piwik enthält.
Daraus ergeben sich für mich folgende Fragen:
- Ist der Einsatz von Piwik/Matomo auch ohne Erwähnung in der Datenschutzerklärung datenschutzkonform, sofern ausschließlich anonymisierte Daten erfasst werden?
- Oder stellt der Betrieb ohne ausdrückliche Information und ohne Abschaltmöglichkeit bereits einen DSGVO-Verstoß dar?
- Falls ja, besteht hier die Gefahr einer unbeabsichtigten Datenschutzverletzung, weil sich Piwik nach technischen Änderungen automatisch wieder aktiviert, obwohl der Betreiber davon ausgeht, es weiterhin deaktiviert zu haben?
Aus meiner Sicht wäre eine sinnvollere und sicherere Lösung:
- Piwik/Matomo sollte standardmäßig deaktiviert sein und nur bewusst aktiviert werden können,
- oder zumindest sollte der zuletzt gewählte Status dauerhaft gespeichert werden,
damit das erneute Online-Stellen einer Webseite keine unbeabsichtigte Reaktivierung des Trackings verursacht.
So ließe sich vermeiden, dass Betreiber versehentlich gegen Datenschutzvorgaben verstoßen, obwohl sie zuvor alles korrekt eingerichtet hatten.
** —ENGLISH VERSION — **
Normally, MATOMO/Piwik is automatically activated as soon as a website goes online.
However, since Matomo must be explicitly mentioned in the privacy policy, and users must also be provided with a deactivation or opt-out option there — which does not always work reliably depending on the browser — it can make sense to disable Piwik completely.
Another advantage is that some particularly security-focused browsers or privacy extensions automatically flag websites with active tracking components as “tracking websites.” Even the mere presence of the Piwik/Matomo opt-out function within the privacy policy can already be detected. For this reason, I disable not only the tracking itself, but also remove the corresponding section from the privacy policy.
So far, this is understandable.
However, the following scenario becomes problematic:
If a website is temporarily taken offline, an additional domain is added, or another technical change is made, Piwik apparently becomes automatically reactivated as soon as the website goes online again. However, this status change is not clearly visible within the domain management module.
As a result, a statistics tracker may unknowingly become active again, even though:
- tracking had been deliberately disabled,
- no opt-out option is available anymore,
- and the privacy policy no longer contains any reference to Matomo/Piwik.
This raises the following questions for me:
- Is the use of Piwik/Matomo still compliant with data protection regulations if it is not mentioned in the privacy policy, provided that only anonymized data is collected?
- Or does operating it without explicit disclosure and without a deactivation option already constitute a GDPR violation?
- If so, does this create the risk of an unintentional data protection violation because Piwik automatically reactivates itself after technical changes, while the website operator assumes it is still disabled?
In my opinion, a more sensible and safer solution would be:
- Piwik/Matomo should be disabled by default and only enabled intentionally,
- or at the very least, the last selected status should be permanently remembered,
so that bringing a website back online does not unintentionally reactivate tracking.
This would help prevent website operators from accidentally violating data protection regulations, even though they had previously configured everything correctly.