Matomo datenschutzkonform einsetzen: Was häufig übersehen wird

Kann Matomo ohne Cookie-Banner eingesetzt werden?

Ja – in den allermeisten Fällen. Aber nur mit den richtigen Einstellungen.

Matomo wird auf Ihrem eigenen Server betrieben. Die Daten bleiben in Ihrem Verantwortungsbereich, es erfolgt keine Übermittlung an Dritte. Das ist bereits ein wesentlicher Unterschied zu Google Analytics, wo Daten in der Google Cloud verarbeitet werden.

Für die Consent-freie Nutzung müssen zwei Bedingungen erfüllt sein:

1. Keine Cookies setzen – Matomo unterstützt eine cookielose Besuchserkennung über einen Fingerprint aus User-Agent, Browsersprache und (maskierter) IP-Adresse.
2. Keine Daten aus dem Endgerät auslesen – das TDDDG (ehemals TTDSG) verbietet den Zugriff auf Informationen der Endeinrichtung ohne Einwilligung. Matomo muss entsprechend konfiguriert werden.

Die Rechtsgrundlage für die Consent-freie Reichweitenanalyse ist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Für Unternehmen, die ohne Einwilligung tracken möchten, finden sich ausführliche Erklärungen der datenschutzrechtlichen Grundlagen bei chop.de – Matomo und Datenschutz. Die endgültige Entscheidung darüber trifft Ihr Datenschutzbeauftragter – aber in der Praxis wird der Consent-freie Einsatz in der datensparsamen Konfiguration in den meisten Fällen bestätigt.

Welche Einstellungen sind Pflicht für den Consent-freien Betrieb?

Zwei Zeilen Code – das ist alles, was zwischen „Consent-frei“ und „einwilligungspflichtig“ steht. Und genau hier passieren die meisten Fehler.

Wenn Sie den klassischen Tracking-Code verwenden, müssen diese beiden Befehle vor der Zeile _paq.push(['trackPageView']) stehen:

_paq.push(['disableCookies']);
_paq.push(['disableBrowserFeatureDetection']);

Die erste Zeile deaktiviert alle Matomo-Cookies. Die zweite – verfügbar seit Matomo 4.8.0 – deaktiviert die Erkennung von Browser-Erweiterungen und Bildschirmauflösung. Ohne diese Einstellung liest Matomo aktiv Endgerätedaten aus, was als Device-Fingerprinting nach § 25 TDDDG einwilligungspflichtig ist. Fehlt diese zweite Zeile, ist Ihre Installation nicht TDDDG-konform – und das Cookie-Banner, das Sie sich sparen wollten, wird doch wieder Pflicht.

Wenn Sie den Matomo Tag Manager nutzen, finden Sie beide Einstellungen in der zentralen Konfigurationsvariable:

• „Cookies deaktivieren" → aktivieren
• „Erkennung der Browser-Funktionen deaktivieren" → aktivieren

Was wir in unseren Audits sehen: Beide Einstellungen lassen sich von außen nicht direkt prüfen – ob Cookies gesetzt werden, erkennt exatics allerdings zuverlässig. Wenn bei einer Matomo-Installation Cookies wie _pk_id oder _pk_ses gesetzt werden, fehlt die erste Einstellung.

Die IP-Anonymisierung: Warum die Matomo-Empfehlung problematisch ist

Die von Matomo als „empfohlen" markierte Einstellung zur IP-Maskierung kann Ihre Datenqualität massiv verschlechtern.

In Matomo gibt es zwei zentrale Einstellungen zur IP-Anonymisierung:

1. Maskierungsstärke: Wie viele Bytes der IP-Adresse werden verborgen? (1-Byte, 2-Byte oder 3-Byte)
2. Maskierte IP für Besuchsaufbereitung verwenden: Soll die bereits maskierte IP-Adresse für die Erzeugung der Visit-ID genutzt werden?

Matomo markiert „2-Byte-Maskierung" und „maskierte IP verwenden = Ja" als empfohlen. Diese Kombination ist aus Datenschutzsicht konservativ – aber für die Datenqualität fatal.

Was bedeutet das konkret?

Bei der 2-Byte-Maskierung entsteht ein Pool von über 65.000 IP-Adressen. In diesem Pool befinden sich mit hoher Wahrscheinlichkeit Endgeräte aus verschiedenen Ländern und Kontinenten. Wenn Matomo diese maskierte IP für die Besuchserkennung verwendet, kann es passieren, dass ein Besucher aus den USA und einer aus Deutschland als derselbe Besucher gezählt werden – sofern Browser und Spracheinstellung übereinstimmen. Das ist, als würden Sie alle Hotelgäste mit dem gleichen Nachnamen in ein Zimmer einbuchen.

Die Folge: Ihre Besuchszahlen sind unzuverlässig, Ihre Geo-Lokalisierung ist falsch, und Metriken wie Besuchsdauer und Seitenaufrufe pro Besuch sind verzerrt.

Was sind die Alternativen?

Variante 1 – Sicherer Weg, geringere Datenqualität:

• IP-Maskierung: 1-Byte
• Maskierte IP für Besuchsaufbereitung: Ja

Der Pool reduziert sich auf 255 IP-Adressen. Die Geo-Lokalisierung wird deutlich besser, die Besuchserkennung bleibt eingeschränkt.

Variante 2 – Bessere Datenqualität:

• IP-Maskierung: 1-Byte oder 2-Byte
• Maskierte IP für Besuchsaufbereitung: Nein

Die vollständige IP-Adresse wird nur für die Berechnung der Visit-ID verwendet – gespeichert wird sie anschließend ausschließlich anonymisiert in maskierter Form. Eine Rückverfolgbarkeit auf Personen ist damit ausgeschlossen. Viele Datenschutzbeauftragte tendieren zu dieser Lösung, da sie Datenschutz und Datenqualität verbindet.

Do-Not-Track: Ein abgekündigter Standard, der Daten kostet

Der Do-Not-Track-Standard wurde 2019 vom W3C offiziell abgekündigt. Trotzdem ist er bei vielen Matomo-Installationen noch aktiviert – und frisst still Ihre Daten.

Do-Not-Track (DNT) war eine Browser-Einstellung, mit der Nutzer signalisieren konnten, dass sie nicht getrackt werden möchten. Die Idee war gut – die Umsetzung gescheitert. Browser-Hersteller aktivierten DNT teilweise als Voreinstellung ohne Zustimmung des Nutzers, was den ursprünglichen Zweck untergrub. 2019 wurde die zuständige W3C-Arbeitsgruppe aufgelöst.

Google Analytics hat DNT nie unterstützt – und viele Unternehmen fragen sich, ob die Einwilligung durch DNT überhaupt ersetzt werden kann. Matomo hingegen bietet die Option an und markiert sie in den Einstellungen sogar als empfehlenswert. Die Konsequenz: Ein relevanter Anteil Ihrer Besucher wird nicht erfasst – ohne dass dies gesetzlich erforderlich wäre.

Unsere Empfehlung: Besprechen Sie mit Ihrem Datenschutzbeauftragten, ob die DNT-Unterstützung deaktiviert werden kann. Die Einstellung finden Sie unter Privatsphäre → Benutzer Opt-Out.

Adblocker: Warum bis zu 30 % Ihrer Besucher unsichtbar sind

Adblocker blockieren nicht nur Werbung – sie blockieren auch Matomo. Und zwar häufiger, als die meisten Website-Betreiber vermuten.

Adblocker wie uBlock Origin, Ghostery und der Brave-Browser führen Filterlisten, die URLs mit bestimmten Begriffen blockieren. Dazu gehören: „matomo", „piwik", „analytics" und „tracking". Wenn Ihre Matomo-Installation unter einer Subdomain wie matomo.example.org erreichbar ist oder der Tracking-Pfad /matomo.php heißt, wird das Tracking bei einem erheblichen Teil Ihrer Besucher still blockiert. Keine Fehlermeldung, keine Warnung – die Daten fehlen einfach.

Je nach Zielgruppe und Branche können 20 bis 30 % der Besucher betroffen sein. Bei technikaffinen Zielgruppen sogar mehr. Mehr dazu in unserem Ratgeber zu Adblockern und Analytics.

Wie lässt sich das lösen?

Die Lösung ist einfach und rechtskonform:

• Subdomain ohne verräterische Begriffe verwenden – statt matomo.example.org etwas Neutrales wie data.example.org
• Tracking-Pfad anpassen – statt /matomo.php den Pfad /js/ verwenden
• Im Tracking-Code die angepassten URLs eintragen

Diese Maßnahmen sind keine Manipulation und kein „Umgehen" von Datenschutz – sie erfordern keine Einwilligung des Nutzers. Sie stellen lediglich sicher, dass Ihre rechtmäßige, Consent-freie Reichweitenanalyse nicht durch übereifrige Filterlisten behindert wird. Matomo verarbeitet nach wie vor keine Daten ohne Rechtsgrundlage – die Daten bleiben auf Ihrem Server, es werden keine Cookies gesetzt und keine Daten an Dritte übermittelt.

Matomo über WordPress-Plugin: Besser nicht

Das WordPress-Plugin für Matomo ist bequem. Aber bequem und gut sind hier leider nicht dasselbe.

Matomo bietet ein WordPress-Plugin an, das die Installation direkt in WordPress integriert. Das klingt praktisch, bringt aber mehrere Nachteile:

• Performance: Matomo läuft im selben PHP-Prozess wie WordPress. Bei jedem Tracking-Request wird WordPress mitgeladen – das belastet Ihren Server und kann die Ladezeit Ihrer Website beeinflussen.
• Adblocker: Der Tracking-Pfad enthält typischerweise WordPress-typische Begriffe, die leichter erkannt und blockiert werden.
• Funktionsumfang: Nicht alle Matomo-Features stehen über das Plugin zur Verfügung.
• Updates: Plugin-Updates können mit WordPress-Updates kollidieren.

Die bessere Alternative: Matomo als eigenständige Installation auf einem separaten (Sub-)Server oder unter einer eigenen Subdomain betreiben. Der Aufwand ist gering, der Gewinn an Stabilität, Performance und Datenqualität erheblich.

Der HeartBeatTimer: Ein kleiner Befehl mit großer Wirkung

Ohne HeartBeatTimer misst Matomo die Besuchsdauer Ihrer letzten Seite nicht – und Ihre Absprungrate ist systematisch zu hoch.

Matomo kann die Verweildauer auf einer Seite nur messen, wenn nach dem Aufruf ein weiterer Request erfolgt. Verlässt ein Besucher Ihre Website nach einer Seite, fehlt dieser zweite Request. Matomo zählt den Besuch als „Absprung" mit 0 Sekunden Verweildauer – auch wenn der Besucher den Artikel fünf Minuten lang gelesen hat. Das verfälscht gleich zwei Metriken auf einen Schlag.

Der HeartBeatTimer sendet in regelmäßigen Abständen ein Signal an Matomo, solange der Browser-Tab aktiv ist. So wird die tatsächliche Verweildauer erfasst:

_paq.push(['enableHeartBeatTimer', 15]);

Der Wert 15 bedeutet: alle 15 Sekunden wird geprüft, ob der Besucher noch aktiv ist. Dieser Befehl gehört in jede Matomo-Installation – er verbessert die Datenqualität erheblich, ohne den Datenschutz zu berühren.

Tag-Manager und klassischer Code: Nicht beides gleichzeitig

Wenn Sie den Matomo Tag Manager einsetzen, ersetzt dessen Container-Code den klassischen Tracking-Code. Beides gleichzeitig? Doppeltes Tracking. Doppelte Zahlen. Null Aussagekraft.

Der Matomo Tag Manager (MTM) ist ein mächtiges Werkzeug für Event-Tracking, Content-Tracking und Consent-Steuerung – alles über eine grafische Oberfläche, ohne Code-Änderungen an der Website. Der MTM-Container-Code enthält bereits das Matomo-Tracking. Wenn zusätzlich der klassische _paq.push-Code auf der Seite steht, wird jeder Seitenaufruf doppelt gezählt.

Was exatics erkennt: Wir sehen in unseren Audits regelmäßig Websites, auf denen sowohl der Tag-Manager-Container als auch der klassische Tracking-Code eingebunden sind. Das Ergebnis: verdoppelte Seitenaufrufe, verfälschte Besuchszahlen und eine Absprungrate nahe 0 % – weil jeder Aufruf doppelt gezählt wird.

Datenschutzerklärung: Häufige Fallstricke

Die Datenschutzerklärung muss zur tatsächlichen Konfiguration passen. In der Praxis tut sie das erstaunlich oft nicht.

Drei typische Fehler, die wir immer wieder sehen:

1. Verweis auf die Privacy Notice von matomo.org – Diese gilt nur für die Website matomo.org selbst. Wenn Sie Matomo auf Ihrem eigenen Server betreiben, sind Sie der Verantwortliche – nicht Innocraft (der Hersteller von Matomo).
2. Cookies erwähnen, obwohl cookieless – Wenn Sie Matomo ohne Cookies betreiben, sollte Ihre Datenschutzerklärung auch keine Cookies erwähnen. Das verwirrt Nutzer und kann rechtlich problematisch sein.
3. Innocraft als Datenverarbeiter nennen – Das ist nur bei Nutzung der Matomo Cloud korrekt. Bei einer On-Premise-Installation hat Innocraft keinen Zugriff auf Ihre Daten.

Matomo in Zahlen: Was unsere Audits zeigen

Unter den Websites mit erkanntem Analytics-Service kommt Matomo auf einen Marktanteil von 26,3 % – der mit Abstand größte Herausforderer von Google Analytics (66,2 %) und weit vor Plausible (3,7 %), etracker (1,9 %) und Piwik PRO (0,4 %). Diese Werte basieren auf über 2,3 Mio. durchgeführten Audits, bei denen wir auf 16,4 % aller Websites mindestens einen Analytics-Service erkannt haben.

Marktanteile unter Websites mit erkanntem Analytics-Service (Stand: April 2026). Da einige Websites mehrere Analytics-Tools parallel einsetzen, kann die Summe der Marktanteile über 100 % liegen.

Diese Zahlen basieren auf über 2,3 Mio. durchgeführten Audits bei Unternehmen im deutschsprachigen Raum (Stand: April 2026). Auf 16,4 % aller geprüften Websites haben wir mindestens einen Analytics-Service erkannt.

Checkliste: Matomo datenschutzkonform und dateneffizient einsetzen

• Cookies deaktiviert? disableCookies im Tracking-Code oder Tag-Manager
• Browser-Feature-Detection deaktiviert? disableBrowserFeatureDetection für TDDDG-Konformität
• IP-Anonymisierung geprüft? Maskierungsstärke und anonymisierte Visit-ID-Berechnung mit Ihrem Datenschutzbeauftragten abstimmen
• Do-Not-Track deaktiviert? Nach Rücksprache mit Ihrem Datenschutzbeauftragten unter Privatsphäre → Benutzer Opt-Out
• Adblocker-sichere URLs? Keine Begriffe wie „matomo", „piwik" oder „analytics" in Subdomain oder Pfad
• HeartBeatTimer aktiviert? enableHeartBeatTimer für korrekte Verweildauer-Messung
• Kein doppeltes Tracking? Entweder klassischer Code oder Tag-Manager – nicht beides
• Datenschutzerklärung aktuell? Muss zur tatsächlichen Konfiguration passen
• Cronjob für Archivierung eingerichtet? Anleitung zur Einrichtung – auch bei kleinen Websites wichtig für Performance

Quellen und Hinweise

• Die Konfigurationsempfehlungen basieren auf der offiziellen Matomo-Dokumentation und unseren eigenen technischen Prüfungen.
• Angaben zum W3C-Standard Do-Not-Track basieren auf der W3C Tracking Protection Working Group.
• Die rechtliche Einordnung zum Consent-freien Betrieb stellt keine Rechtsberatung dar. Die endgültige Bewertung obliegt Ihrem Datenschutzbeauftragten.
• Audit-Daten stammen aus eigenen exatics-Prüfungen.

Weiterführende Artikel

• Adblocker und Analytics: Warum Besucher unsichtbar sind
• Datenqualität in der Webanalyse: Warum Ihre Daten lügen
• Google Analytics und der Consent Mode
• Tracking ohne Einwilligung: Was unsere Audits aufdecken
• Was ist exatics Audit? – Alle Prüfkategorien

* Aufgrund einer notwendigen Änderung in den Bewertungen verschiedener Services und der Korrektur von Bewertungen für die Effizienz von Consent-Bannern haben sich unsere Ratings korrigiert.

Jetzt Ihre Website prüfen