DSGVO-konforme Webstatistik für WordPress und WooCommerce

Du hast eine WordPress-Webseite oder einen WooCommerce-Shop und willst wissen, woher Deine Besucher kommen und welche Seiten wie oft aufgerufen werden? Dann brauchst Du eine Webstatistik zur Auswertung der Zugriffe auf Deine Homepage.

Problem ist nur, dass diese dann auch konform zur DSGVO sein sollte und somit ist die weit verbreitete Auswertung mit Google Analytics aus meiner Sicht nicht zu empfehlen. Für meine WordPress-Projekte empfehle ich in der Regel zwei Varianten für eine Datenschutz-rechtlich konforme Webstatistik: Die freie Webstatistik Matomo oder das WordPress-Plugin Statify. Beide Varianten möchte ich hier vorstellen.

Matomo ist eine gute Alternative zu Google Analytics!

Du willst eine Webstatistik im Umfang wie Google Analytics haben, die aber auch konform zur Datenschutzgrundverordnung ist? Dann gibt es eine richtig gute Alternative dazu, und das ist Matomo (ehemals Piwik). Matomo liefert Dir alles, was Du brauchst, um die Zugriffe Deiner Webseite oder Deines Online-Shops auszuwerten und Du hast die volle Kontrolle über alle Daten und kannst Matomo so konfigurieren, dass es die Besucher-Daten nur anonymisiert abspeichert, in dem Du die IPs Deiner Benutzer verkürzen kannst. Matomo ist open-source Software und wird bei Dir lokal auf dem Webserver installiert. Die Anonymisierung der IP und die lokale Abspeicherung der Daten auf Deinem Webserver sind voll im Sinne der DSGVO.

So gehst Du vor, wenn Du Matomo (ehemals PiWik) für Deine WordPress-Homepage installieren willst:

  1. Hier kannst Du die neueste Version von Matomo herunterladen:
    https://matomo.org/download/
  2. Hier findest Du die System-Voraussetzungen (engl.) für Matomo:
    https://matomo.org/docs/requirements/
  3. Hier findest Du eine Installations-Anleitung (engl.):
    https://matomo.org/docs/installation/
  4. Du brauchst eine MySQL-Datenbank die Du mit Matomo verknüpfen kannst. Ich empfehle Dir vor der Installation von Matomo eine eigene MySQL-Datenbank dafür anzulegen, weil sie mit der Zeit recht groß und umfangreich werden wird.
  5. Du brauchst einen Zugriff auf einen Webserver. Ich empfehle Matomo in einem eigenen Verzeichnis Deiner Webseite, oder besser lokal getrennt in einer eigenen Sub-Domain, z. B. stat.domain.de zu installieren. Das kannst Du entweder mit FTP machen oder direkt über SSH, wenn Du Zugriff auf Deinen Webserver hast. Entweder mit FTP oder SSH überträgst Du nun Deine Matomo-Installation auf den Webserver.
  6. Achte darauf, dass wenn Deine Webseite ein SSL-Zertifikat hat, dass dann auch Deine Matomo-Installation auf einer Domain oder Subdomain liegt, die mit einem SSL-Zertifikat versehen ist. Ansonsten kannst Du Matomo nicht mit Deiner Webseite verknüpfen!
  7. Wenn die Installation von Matomo abgeschlossen ist, dann rufst Du die Domain (oder die Subdomain bzw. das Verzeichnis, in dem Matomo liegt) auf. Dadurch startet Matomo von selbst mit der Installation und Du musst die Schritte nacheinander durchgehen.
  8. In einem der letzten Schritte kannst Du einen Javascript-Tracking-Code generieren, den Du Dir kopieren kannst und in WordPress einbindest. Damit wird Deine WordPress-Webseite mit der Matomo-Installation verbunden. Wir das genau geht, erkläre ich später.
  9. Wenn Du Matomo erfolgreich installiert hast, bist Du jetzt fertig und kannst Dich erstmals in Matomo anmelden. Voila!

Verbindung von Matomo mit Deiner WordPress-Installation

Dafür gibt es zwei Wege. Du kannst in Matomo einen Javascript-Tracking-Code für Deine Webseite generieren und kopieren. Der Tracking-Code sieht zum Beispiel so aus:

<!-- Matomo -->
<script type="text/javascript">
  var _paq = window._paq || [];
  /* tracker methods like "setCustomDimension" should be called before "trackPageView" */
  _paq.push(['trackPageView']);
  _paq.push(['enableLinkTracking']);
  (function() {
    var u="//stat.beispiel.de/";
    _paq.push(['setTrackerUrl', u+'matomo.php']);
    _paq.push(['setSiteId', '1']);
    var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0];
    g.type='text/javascript'; g.async=true; g.defer=true; g.src=u+'matomo.js'; s.parentNode.insertBefore(g,s);
  })();
</script>
<!-- End Matomo Code -->

Das oben ist nur ein Beispiel. Den originalen Javascript-Tracking-Code aus Deinem eigenen Matomo musst Du in WordPress in Deine Datei header.php einfügen, und zwar genau vor dem schließenden Tag </head>.

Alternativ kannst Du die Anbindung von Matomo an Deine WordPress-Homepage oder WooCommerce-Shops auch mit einem Plugin machen. Hierfür gibt es zum Beispiel das WordPress-Plugin WP-Matomo (Wp-Piwik) oder Matomo-tracking. Auf den Plugin-Seiten wird erklärt, was Du eingeben musst, damit Deine WordPress-Webseite mit Matomo verbunden wird.

Daten-Tracking in Matomo anonymisieren

Ganz wichtig im Sinne der DSGVO ist, dass Du in Matomo unter dem Menüpunkt > Administration > Privatsphäre > Daten anonymisieren die notwendigen Einstellungen vornimmst, damit die IP Deiner Besucher anoymisiert gespeichert wird. Zur Anonymisierung der IP-Adressen Deiner Besucher stellst Du die empfohlene Einstellung  „2 bytes“ ein, damit werden die letzten zwei Bytes der IP-Adresse der Besucher anonymisiert. Das ist immer noch ausreichend, damit Du sehen kannst aus welcher Region Deine Besucher kommen, aber konform zur DSGVO darüber hinaus eben nicht mehr.

Als zweite wichtige Einstellung solltest Du in Matomo unter dem Punkt „Benutze die anonymisierte IP-Adresse auch für die Aufbereitung der Besuche“ ein „Ja“ einstellen. Somit sagst Du Matomo nochmal explizit, dass nur die gekürzte Version der IP zur Auswertung der Nutzungsdaten für Deine Webstatistik genutzt wird.

Anpassung Deiner Datenschutzerklärung für Matomo

Wenn Du Matomo erfolgreich an Deine WordPress-Seite angebunden hast, dann musst Du im letzten Schritt noch Deine Datenschutzerklärung anpassen, damit sie konform zur DSGVO beschreibt, wie Matomo Daten erhebt. Ein Beispiel hierfür findest Du in meiner eigenen Datenschutzerklärung für diese Webseite.

Wichtig ist dabei, auch unbedingt eine Opt-out-Option für Besucher Deiner Webseite anzubieten, die nicht wünschen, dass Matomo Daten von Ihrem Webseiten-Besuch trackt. Hierzu gehst Du in Matomo selbst auf den Menüpunkt > Administration > Privatsphäre > Benutzer-Opt-out. Dort kannst Du einen HTML-Code generieren, den Du direkt in Deine WordPress-Seite mit der Datenschutzerklärung einbinden kannst.

Der HTML-Code sieht zum Beispiel so aus:

<iframe
        style="border: 0; height: 200px; width: 600px;"
        src="https://stat.beispiel.de/index.php?module=CoreAdminHome&action=optOut&language=de&backgroundColor=&fontColor=&fontSize=&fontFamily="
        ></iframe>

Wie das im Ergebnis dann aussieht, siehst Du beispielsweise in meiner eigenen Datenschutzerklärung.

WordPress-Webstatistik mit dem Plugin Statify

Wenn Du nur einen Blick auf Deine Zugriffszahlen werfen willst und kein so mächtiges Analyse-Tool wie Matomo oder Google Analytics für Deine WordPress-Installation haben möchtest, dann ist das WordPress-Plugin Statify eine gute Alternative.

Das Plugin Statify ist konform mit der Datenschutzgrundverordnung, weil es keine Daten auf einem dritten Webserver speichert, keine Cookies nutzt und ausschließlich nur Seiten-Aufrufe und nicht Benutzer-Daten sammelt. Somit hast Du mit Statify keine Probleme mit der DSGVO. Allerdings musst Du aufpassen, dass Deine WordPress-Datenbank nicht zu groß wird und dafür ein Statify-Cronjob läuft, der regelmäßig alte Nutzungsdaten von Statify aus der Datenbank löscht. Dazu findest Du aber auch Infos  auf der Plugin-Seite von Statify.

Es gibt auch Erweiterungen für Statify, zum Beispiel das Plugin Statify – Extended Evaluation oder das Plugin Statify Blacklist. Beide Findest Du im Plugin-Repositorium von WordPress.

Mit Statify – Extended Evaluation bekommst Du noch mehr Auswertungs-Optionen wie z. B.  nach Zeiträumen, Sortierung Deiner Seiten-Inhalte nach Popularität, Zugriffe nach Beiträgen oder Zugriffe nach Besuch. Außerdem bringt die Erweiterung Statify – Extended Evaluation auch eine Export-Funktion mit.

Mit Statify Blacklist kannst Du eine Blacklist verwalten, in der Du unerwünschte Referrer-Domains oder unerwünschte IPs angeben kannst, deren Zugriffe mit Statify dann nicht getrackt werden. Außerdem kannst Du mit dem Plugin Statify Blacklist auch Ziel-Seiten in Deiner WordPress-Seite oder Deinem Blog angeben, deren Zugriffe nicht getrackt werden sollen.