Geolocation mit voller IP-Adresse und TTDSG

Die in Matomo integrierte Geolokalisierung zur Standortermittlung kann ja per Einstellung mit anonymisierter oder nicht-anonymisierter IP-Adresse erfolgen, unabhängig davon, dass man im Besucher-Profil die anonymisierte IP-Adresse speichert.

Nun ist es in Matomo ja eine IP-Geolocation und keine anhand von Mobilfunkzellen-Angaben oder GPS-Koordinaten. Die IP wird auch nirgends hingeschickt, denn die Abfrage erfolgt in einer auf dem lokalen Matomo-Server abgelegten Datenbank, um für die IP einen Ort, eine Region, ein Land und einen Kontinent zu erhalten.
Da es sich bei IP-Geolocation nicht um die Ermittlung von Geokoordinaten handelt, sondern um eine Angabe in welchem Umkreis sich der Besucher befinden könnte, frage ich mich, ob die Verwendung der vollen IP-Adresse zur “Standortermittlung” eine Einwilligung laut TTDSG erfordert.

Wenn ich das hier lese, so bezieht sich der Gesetzestext auf Mobilfunkanbieter:

Und wenn es doch zuträfe, so frage ich mich, was anonymisierte Standortdaten sind? Ein anonymisiertes Besucher-Profil, in dem der Standort enthalten ist, so wie es Matomo macht?

Wie handhabt ihr das?

Hallo @utrautma
ich denke, es ist eindeutig, dass die Ermittlung eines Standortes aufgrund einer IP-Adresse eine Datenverarbeitung ist. Die IP-Adresse ist ein persönliches Datum, also werden hier persönliche Daten verarbeitet. Besteht hier berechtigtes Interesse, das den Datenschutz überwiegt? Wohl kaum.
Wenn ich es richtig verstehe war deine Idee, die IP-Adresse zur Geolocation zur verwenden, sie dann aber nie zu speichern oder anzuzeigen. Ich denke aber, dass die Datenverarbeitung alleine schon eine Einwilligung erfordern würde.
Daniel

@DanielHug Danke für deine Einschätzung. Ja, du hast Recht. Es findet sich bereits in sehr alten Vorgaben in Deutschland dazu näheres:

Aus 2012

• Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Quelle: Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009
https://www.baden-wuerttemberg.datenschutz.de/der-einsatz-von-reichweitenanalysediensten-im-internet/

Aus 2011

6. Kann ich IP-Adressen für eine Geolokalisierung im Rahmen der Analyse von Nutzungsverhalten verwenden?

Antwort : Eine Geolokalisierung mit vollständigen IP-Adressen zur Analyse des Nutzungsverhaltens ist nur mit bewusster und eindeutiger Einwilligung des Nutzers möglich. Liegt diese nicht vor, so muss die IP-Adresse so gekürzt werden, dass eine Personenbeziehbarkeit ausgeschlossen werden kann
https://www.datenschutzzentrum.de/artikel/575-IP-Adressen-und-andere-Nutzungsdaten-Haeufig-gestellte-Fragen.html

Ob das TTDSG dazu exakt genauso anzuwenden ist, sei mal dahin gestellt. Ich gehe davon aus.

Bzgl. Matomo ist es bislang bedauerlich, dass man an Matomo keine Information geben kann, ob ein User per Consent-Abfrage in die Geolokalisierung eingewilligt hat. Im Matomo-Backend kann ich nur global für alle Webseiten und damit pauschal alle User einstellen, wie die Geolokalisierung zu erfolgen hat.

@utrautma
Wie fragt ihr die Einwilligung ab? Mit Matomo selbst oder mit einem Tool wie Cookiebot? Ich frage, weil auch derzeit verschiedene Einwilligungs-Niveaus habe, die ich in Matomo-Konfigurationen reflektieren möchte.

@DanielHug
Die Einwilligungen in meinen Projekten werden je nach Kunde mit Tools (CCM19, Cookiebot, 2b Advice Prime) oder individuellen Consent-Banner-Entwicklungen (z.B. mit Klaro) abgefragt. Die Tools blockieren entweder das Matomo-Skript oder sie spielen es nach dem Opt-in erst aus. Bei den eigenen Entwicklungen kommt es auch zu Setups, wo in Abhängigkeit vom Opt-in mit oder oder Cookies getrackt wird.
Mit den Matomo-Consent-Funktionen ist es nirgends umgesetzt.

Die IP-Adressen im User-Profil werden mit 2 oder 3 Bytes anonymisiert, je nach Strenge des Datenschutzbeauftragten des Kunden. Eine Einwilligung in das Cookie-less-Tracking verlangte bisher nur ein Datenschutzbeauftragter, mehrere hielten hier kein Opt-in für erforderlich.

Das Thema IP-Geolocation hatte bislang kein Datenschutzbeauftragter in sein Blickfeld genommen (deswegen auch meine Frage).
Anforderungen, die Löschfunktionen für Alt-Daten im Matomo-Backend zu verwenden, gab es bislang nicht. Hier fehlen in der Regel aber auch die Kenntnisse über diese Funktionen.

Wie sind deine Erfahrungen?

@utrautma
Wir verwenden Matomo mit Cookiebot, und ich würde gerne auch tracken, wenn Statistic Cookies verweigert werden. Nach einem Urteil im Januar 2022 erfordert jegliches Tracking Einwilligung, sobald Daten wie Bildschirmauflösung usw. erhoben werden. Aber das kann man ja in Matomo alles ausschalten, sodass wirklich nur die Seitenaufrufe erhoben werden. Wir verwenden die Tracking-Daten in der Hauptsache, um das Funktionieren der Website zu überwachen, wir sind also kein Webshop in dem Sinne, dass wir im Web Zielgruppen suchen würden usw.

Leider ist meine Erfahrung mit Cookiebot nicht besonders positiv. Auf unserer Staging Website funktioniert alles prächtig, aber auf der Live-Site werden dann alle Scripts geblockt, wenn nicht “Marketing” Cookies erlaubt sind. Matomo ist “Statistics”, wird aber (nur auf Live) geblockt, wenn

Cookiebot.consent Object { stamp: "Ladiladila==", necessary: true, preferences: true, statistics: true, marketing: false }

ist.
Wenn sich das nicht bald beheben lässt, steht für mich der Einsatz von Cookiebot auf der Kippe.

Welches Consent-Tool ist deiner Erfahrung nach am besten für den Einsatz mit Matomo geeignet?

Daniel

Hallo @DanielHug,

wir sind jetzt schon ein wenig offtopic:

ich habe eigentlich mit keinen der Tools Probleme. Teilweise war es erforderlich sich in die JavaScript-Events der Tools zu hängen, um auf den Consent zu reagieren und zu entscheiden was zu tun ist.

ich finde CCM19 das Tool mit den meisten Möglichkeiten und der komfortabelsten Oberfläche. Eine Auswertung auf Cookie-Kategorie-Ebene (Marketing, Statistik etc.) haben sie bislang aber auch nicht.

@utrautma
Also Cookiebot hat schon eine Auswertung auf Kategorie-Ebene: