Matomo datenschutzkonform einsetzen: Was häufig übersehen wird

Matomo ist die beliebteste datenschutzfreundliche Alternative zu Google Analytics — aber nur, wenn die Konfiguration stimmt. In unseren Audits sehen wir regelmäßig Installationen, die durch falsche Einstellungen ihren Datenschutzvorteil verspielen oder unnötig Daten verlieren.

Matomo kann ohne Cookie-Banner und ohne Einwilligung eingesetzt werden. Das ist der zentrale Vorteil gegenüber Google Analytics. Aber „kann" ist nicht „tut": Die Standardeinstellungen von Matomo sind nicht automatisch datenschutzkonform, und einige der empfohlenen Einstellungen sind sogar schädlich für die Datenqualität.

In 16.415 Audits (Stand: März 2026), bei denen wir Matomo erkannt haben, zeigen sich immer wieder dieselben Fehler. Dieser Artikel zeigt, welche das sind — und wie Sie sie vermeiden.

Hinweis: Die folgenden Ausführungen basieren auf unserer technischen Analyse und stellen keine Rechtsberatung dar. Für die rechtliche Bewertung Ihrer Matomo-Konfiguration konsultieren Sie bitte Ihren Datenschutzbeauftragten.

Kann Matomo ohne Cookie-Banner eingesetzt werden?

Ja — in den allermeisten Fällen. Aber nur mit den richtigen Einstellungen.

Matomo wird auf Ihrem eigenen Server betrieben. Die Daten bleiben in Ihrem Verantwortungsbereich, es erfolgt keine Übermittlung an Dritte. Das ist bereits ein wesentlicher Unterschied zu Google Analytics, wo Daten in der Google Cloud verarbeitet werden.

Für die Consent-freie Nutzung müssen zwei Bedingungen erfüllt sein:

1. Keine Cookies setzen — Matomo unterstützt eine cookielose Besuchserkennung über einen Fingerprint aus User-Agent, Browsersprache und (maskierter) IP-Adresse.
2. Keine Daten aus dem Endgerät auslesen — das TDDDG (ehemals TTDSG) verbietet den Zugriff auf Informationen der Endeinrichtung ohne Einwilligung. Matomo muss entsprechend konfiguriert werden.

Die Rechtsgrundlage für die Consent-freie Reichweitenanalyse ist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Eine ausführliche Erklärung der datenschutzrechtlichen Grundlagen finden Sie bei chop.de — Matomo und Datenschutz. Die endgültige Entscheidung darüber trifft Ihr Datenschutzbeauftragter — aber in der Praxis wird der Consent-freie Einsatz in der datensparsamen Konfiguration in weit über 95 % der Fälle bestätigt.

Welche Einstellungen sind Pflicht für den Consent-freien Betrieb?

Zwei Zeilen Code entscheiden darüber, ob Ihr Matomo-Tracking Consent-frei laufen darf.

Wenn Sie den klassischen Tracking-Code verwenden, müssen diese beiden Befehle vor der Zeile _paq.push(['trackPageView']) stehen:

_paq.push(['disableCookies']);
_paq.push(['disableBrowserFeatureDetection']);

Die erste Zeile deaktiviert alle Matomo-Cookies. Die zweite — verfügbar seit Matomo 4.8.0 — deaktiviert die Erkennung von Browser-Erweiterungen und Bildschirmauflösung. Ohne diese zweite Zeile ist Ihre Installation nicht TDDDG-konform, da aktiv Informationen aus dem Endgerät ausgelesen werden.

Wenn Sie den Matomo Tag Manager nutzen, finden Sie beide Einstellungen in der zentralen Konfigurationsvariable:

• „Cookies deaktivieren" → aktivieren
• „Erkennung der Browser-Funktionen deaktivieren" → aktivieren

Was wir in unseren Audits sehen: Beide Einstellungen lassen sich von außen nicht direkt prüfen — ob Cookies gesetzt werden, erkennt exatics allerdings zuverlässig. Wenn bei einer Matomo-Installation Cookies wie _pk_id oder _pk_ses gesetzt werden, fehlt die erste Einstellung.

Die IP-Anonymisierung: Warum die Matomo-Empfehlung problematisch ist

Die von Matomo als „empfohlen" markierte Einstellung zur IP-Maskierung kann Ihre Datenqualität massiv verschlechtern.

In Matomo gibt es zwei zentrale Einstellungen zur IP-Anonymisierung:

1. Maskierungsstärke: Wie viele Bytes der IP-Adresse werden verborgen? (1-Byte, 2-Byte oder 3-Byte)
2. Maskierte IP für Besuchsaufbereitung verwenden: Soll die bereits maskierte IP-Adresse für die Erzeugung der Visit-ID genutzt werden?

Matomo markiert „2-Byte-Maskierung" und „maskierte IP verwenden = Ja" als empfohlen. Diese Kombination ist aus Datenschutzsicht konservativ — aber für die Datenqualität fatal.

Warum?

Bei der 2-Byte-Maskierung entsteht ein Pool von über 65.000 IP-Adressen. In diesem Pool befinden sich mit hoher Wahrscheinlichkeit Endgeräte aus verschiedenen Ländern und Kontinenten. Wenn Matomo diese maskierte IP für die Besuchserkennung verwendet, kann es passieren, dass ein Besucher aus den USA und einer aus Deutschland als derselbe Besucher gezählt werden — sofern Browser und Spracheinstellung übereinstimmen.

Die Folge: Ihre Besuchszahlen sind unzuverlässig, Ihre Geo-Lokalisierung ist falsch, und Metriken wie Besuchsdauer und Seitenaufrufe pro Besuch sind verzerrt.

Was sind die Alternativen?

Variante 1 — Sicherer Weg, geringere Datenqualität:

• IP-Maskierung: 1-Byte
• Maskierte IP für Besuchsaufbereitung: Ja

Der Pool reduziert sich auf 255 IP-Adressen. Die Geo-Lokalisierung wird deutlich besser, die Besuchserkennung bleibt eingeschränkt.

Variante 2 — Bessere Datenqualität:

• IP-Maskierung: 1-Byte oder 2-Byte
• Maskierte IP für Besuchsaufbereitung: Nein

Die vollständige IP-Adresse wird nur für die Berechnung der Visit-ID verwendet — gespeichert wird sie anschließend ausschließlich in maskierter Form. Eine Rückverfolgbarkeit auf Personen ist damit ausgeschlossen. Viele Datenschutzbeauftragte tendieren zu dieser Lösung, da sie Datenschutz und Datenqualität verbindet.

Do-Not-Track: Ein abgekündigter Standard, der Daten kostet

Der Do-Not-Track-Standard wurde 2019 vom W3C offiziell abgekündigt. Trotzdem ist er bei vielen Matomo-Installationen noch aktiviert.

Do-Not-Track (DNT) war eine Browser-Einstellung, mit der Nutzer signalisieren konnten, dass sie nicht getrackt werden möchten. Die Idee war gut — aber der Standard hat sich nie durchgesetzt. Browser-Hersteller aktivierten DNT teilweise als Voreinstellung ohne Zustimmung des Nutzers, was den ursprünglichen Zweck untergrub. 2019 wurde die zuständige W3C-Arbeitsgruppe aufgelöst.

Google Analytics hat DNT nie unterstützt. Matomo hingegen bietet die Option an und markiert sie in den Einstellungen sogar als empfehlenswert. Die Konsequenz: Ein relevanter Anteil Ihrer Besucher wird nicht erfasst — ohne dass dies gesetzlich erforderlich wäre.

Unsere Empfehlung: Besprechen Sie mit Ihrem Datenschutzbeauftragten, ob die DNT-Unterstützung deaktiviert werden kann. Die Einstellung finden Sie unter Privatsphäre → Benutzer Opt-Out.

Adblocker: Warum bis zu 30 % Ihrer Besucher unsichtbar sind

Adblocker blockieren nicht nur Werbung — sie blockieren auch Matomo. Und zwar häufiger als die meisten Website-Betreiber vermuten.

Adblocker wie uBlock Origin, Ghostery und der Brave-Browser führen Filterlisten, die URLs mit bestimmten Begriffen blockieren. Dazu gehören: „matomo", „piwik", „analytics" und „tracking". Wenn Ihre Matomo-Installation unter einer Subdomain wie matomo.example.org erreichbar ist oder der Tracking-Pfad /matomo.php heißt, wird das Tracking bei einem erheblichen Teil Ihrer Besucher still blockiert.

Je nach Zielgruppe und Branche können 20 bis 30 % der Besucher betroffen sein. Bei technikaffinen Zielgruppen sogar mehr.

Wie lässt sich das lösen?

Die Lösung ist einfach und rechtskonform:

• Subdomain ohne verräterische Begriffe verwenden — statt matomo.example.org etwas Neutrales wie data.example.org
• Tracking-Pfad anpassen — statt /matomo.php den Pfad /js/ verwenden
• Im Tracking-Code die angepassten URLs eintragen

Diese Maßnahmen sind keine Manipulation und kein „Umgehen" von Datenschutz. Sie stellen lediglich sicher, dass Ihre rechtmäßige, Consent-freie Reichweitenanalyse nicht durch übereifrige Filterlisten behindert wird. Matomo verarbeitet nach wie vor keine Daten ohne Rechtsgrundlage — die Daten bleiben auf Ihrem Server, es werden keine Cookies gesetzt und keine Daten an Dritte übermittelt.

Matomo über WordPress-Plugin: Besser nicht

Das WordPress-Plugin für Matomo ist bequem — aber in den meisten Fällen die schlechtere Wahl.

Matomo bietet ein WordPress-Plugin an, das die Installation direkt in WordPress integriert. Das klingt praktisch, bringt aber mehrere Nachteile:

• Performance: Matomo läuft im selben PHP-Prozess wie WordPress. Bei jedem Tracking-Request wird WordPress mitgeladen — das belastet Ihren Server und kann die Ladezeit Ihrer Website beeinflussen.
• Adblocker: Der Tracking-Pfad enthält typischerweise WordPress-typische Begriffe, die leichter erkannt und blockiert werden.
• Funktionsumfang: Nicht alle Matomo-Features stehen über das Plugin zur Verfügung.
• Updates: Plugin-Updates können mit WordPress-Updates kollidieren.

Die bessere Alternative: Matomo als eigenständige Installation auf einem separaten (Sub-)Server oder unter einer eigenen Subdomain betreiben. Der Aufwand ist gering, der Gewinn an Stabilität, Performance und Datenqualität erheblich.

Der HeartBeatTimer: Ein kleiner Befehl mit großer Wirkung

Ohne HeartBeatTimer misst Matomo die Besuchsdauer Ihrer letzten Seite nicht — und Ihre Absprungrate ist systematisch zu hoch.

Matomo kann die Verweildauer auf einer Seite nur messen, wenn nach dem Aufruf ein weiterer Request erfolgt. Verlässt ein Besucher Ihre Website nach einer Seite, fehlt dieser zweite Request. Matomo zählt den Besuch als „Absprung" mit 0 Sekunden Verweildauer — auch wenn der Besucher den Artikel fünf Minuten lang gelesen hat.

Der HeartBeatTimer sendet in regelmäßigen Abständen ein Signal an Matomo, solange der Browser-Tab aktiv ist. So wird die tatsächliche Verweildauer erfasst:

_paq.push(['enableHeartBeatTimer', 15]);

Der Wert 15 bedeutet: alle 15 Sekunden wird geprüft, ob der Besucher noch aktiv ist. Dieser Befehl gehört in jede Matomo-Installation — er verbessert die Datenqualität erheblich, ohne den Datenschutz zu berühren.

Tag-Manager und klassischer Code: Nicht beides gleichzeitig

Wenn Sie den Matomo Tag Manager einsetzen, ersetzt dessen Container-Code den klassischen Tracking-Code. Beides gleichzeitig führt zu doppeltem Tracking.

Der Matomo Tag Manager (MTM) ist ein mächtiges Werkzeug für Event-Tracking, Content-Tracking und Consent-Steuerung — alles über eine grafische Oberfläche, ohne Code-Änderungen an der Website. Der MTM-Container-Code enthält bereits das Matomo-Tracking. Wenn zusätzlich der klassische _paq.push-Code auf der Seite steht, wird jeder Seitenaufruf doppelt gezählt.

Was exatics erkennt: Wir sehen in unseren Audits regelmäßig Websites, auf denen sowohl der Tag-Manager-Container als auch der klassische Tracking-Code eingebunden sind. Das Ergebnis: verdoppelte Seitenaufrufe, verfälschte Besuchszahlen und eine Absprungrate nahe 0 % — weil jeder Aufruf doppelt gezählt wird.

Datenschutzerklärung: Häufige Fallstricke

Die Datenschutzerklärung muss zur tatsächlichen Konfiguration passen. In der Praxis tut sie das oft nicht.

Drei typische Fehler, die wir immer wieder sehen:

1. Verweis auf die Privacy Notice von matomo.org — Diese gilt nur für die Website matomo.org selbst. Wenn Sie Matomo auf Ihrem eigenen Server betreiben, sind Sie der Verantwortliche — nicht Innocraft (der Hersteller von Matomo).
2. Cookies erwähnen, obwohl cookieless — Wenn Sie Matomo ohne Cookies betreiben, sollte Ihre Datenschutzerklärung auch keine Cookies erwähnen. Das verwirrt Nutzer und kann rechtlich problematisch sein.
3. Innocraft als Datenverarbeiter nennen — Das ist nur bei Nutzung der Matomo Cloud korrekt. Bei einer On-Premise-Installation hat Innocraft keinen Zugriff auf Ihre Daten.

Matomo in Zahlen: Was unsere Audits zeigen

Matomo ist mit 9,5 % Verbreitung das zweitmeisterkannte Analytics-Tool in unseren Audits — nach Google Analytics (21,7 %) und weit vor Plausible (0,9 %), etracker (0,8 %) und Piwik PRO (0,2 %).

Diese Zahlen basieren auf über 173.000 durchgeführten Audits im deutschsprachigen Raum (Stand: März 2026).

Checkliste: Matomo datenschutzkonform und dateneffizient einsetzen

• Cookies deaktiviert? disableCookies im Tracking-Code oder Tag-Manager
• Browser-Feature-Detection deaktiviert? disableBrowserFeatureDetection für TDDDG-Konformität
• IP-Anonymisierung geprüft? Maskierungsstärke und Visit-ID-Berechnung mit Ihrem Datenschutzbeauftragten abstimmen
• Do-Not-Track deaktiviert? Nach Rücksprache mit Ihrem Datenschutzbeauftragten unter Privatsphäre → Benutzer Opt-Out
• Adblocker-sichere URLs? Keine Begriffe wie „matomo", „piwik" oder „analytics" in Subdomain oder Pfad
• HeartBeatTimer aktiviert? enableHeartBeatTimer für korrekte Verweildauer-Messung
• Kein doppeltes Tracking? Entweder klassischer Code oder Tag-Manager — nicht beides
• Datenschutzerklärung aktuell? Muss zur tatsächlichen Konfiguration passen
• Cronjob für Archivierung eingerichtet? Anleitung zur Einrichtung — auch bei kleinen Websites wichtig für Performance

Weiterführende Artikel

• Adblocker und Analytics: Warum Besucher unsichtbar sind
• Datenqualität in der Webanalyse: Warum Ihre Daten lügen
• Google Analytics und der Consent Mode
• Tracking ohne Einwilligung: Was unsere Audits aufdecken
• Was ist exatics Audit? — Alle Prüfkategorien

Jetzt Ihre Website prüfen