Google Analytics nutzt standardmäßig Cookies. Seit der DSGVO und spätestens dem EuGH und künftig des BGHs sind nicht notwendige Cookies wohl per se nur mit vorheriger freiwilliger, aktiver Zustimmung erlaubt. Eine Webseitenstatistik nur nach Zustimmung macht statistisch wenig Sinn. Kann man Google Analytics also auch ohne Cookies sinnvoll einsetzen und damit der aktuellen Cookie-Einwilligung hierfür entkommen? Ja.
Spätestens seit einigen EuGH-Äußerungen zu Cookies und strengen Ansichten der deutschen Datenschutzkonferenz (DSK) sind Tracking-Cookies demnach nur nach vorheriger aktiver Information und Zustimmung (= Einwilligung) erlaubt, was man mit einem so genannten umfangreichen Consent-Banner oder Cookie-Consent-Banner erreichen könnte.
Nervig. Dazu gibt es bis Zustimmung keine Statistikdaten.
Ablauf, kritische Schritte beim Datenschutz
Unklar ist, was konkret mit „Tracking“ gemeint ist. Denn Tracking bedeutet übersetzt Verfolgung.
Wer also mittels Google Analytics ohne Nutzerverfolgung wie Remarketing einsetzt und nur als reine Webseitenstatistik könnte aus meiner Sicht kein „Tracking“ im engeren Sinne betreiben.
Wer auf Nummer sicher gehen möchte, wird das vernünftig (mobil?!) mit einem Cookie-Consent-Banner nicht hinbekommen. Denn darin müssen alle Cookies für Laien verständlich erklärt, einzeln mit Laufzeit, konkreten Nutzungszwecken und Adressaten inkl. vollständiger Adresse usw. angeben sein und die Ablehnung muss eigentlich genauso einfach wie eine Zustimmung sein, wenn nicht einfacher (privacy by default).
Uff.
Wer also Google Analytics (weiter) nutzen und der Cookie-Diskussion entkommen möchte, der sollte beim Einsatz von Google Analytcis auf Cookies verzichten.
Google Analytics hatte schon immer einen schweren Stand bei den Datenschützern. Mit strikten Einstellungen und anonymisierter IP-Adresse und Vertrag zur Auftragsdatenverarbeitung und Widerspruchsrecht und umfangreicher, angepasste Datenschutzerklärung waren die nach wie vor nicht unumstrittenen Hürden bislang schon zahlreich.
Nun auch noch Cookies.
Ohne Cookies kein Cookie-Einwilligungs-Banner.
Google Analytics (Universal Analytics mit analytics.js) bietet hier seit einiger Zeit die Option auf Cookies zu verzichten mit storage:none, vgl. https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies).
Um dennoch Messwerte zu erhalten, muss man eine ClientId setzen.
Zum Beispiel eine eigene:
Man kann auch selbst eine eigene ClientId vergeben.
Kein Cookie, kein local storage.
Wer „nur“ wissen will, welche und wie viel Seitenaufrufe derselbe Nutzer macht und damit Absprungrate, Aufenthaltsdauer und ggf. wiederkehrende Besucher zumindest einigermaßen statistisch erfassen möchte, muss den gleichen Besucher zumindest halbwegs zuordnen können.
Das bedeutet, man muss selbst eine sinnvolle, anonyme und dennoch zureichend konkrete ClientId setzen, um aussagekräftige Statistikdaten zu erreichen.
Dabei wird es spätestens seit der DSGVO schwierig, denn diese definiert personenbezogen extrem weit (und vage):
Nach Art. 4 Nr. 1 DSGVO sind auch Kennungen in Cookies personenbezogen, wenn daraus eine gewisse Personenbezogenheit zugeordnet werden kann. Dazu reicht eine physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person (= Mensch).
Somit können auch an sich pseudonymisierte Cookies unter die DSGVO fallen, auch wenn keine IP-Adressen verarbeitet werden.
Da Google (Analytics) die großen Datenmengen zusammenführen und kombinieren könnte, wäre hier nach mancher Ansicht ein Personenbezug im Sinne der DSGVO unter Umständen erreichbar.
Also muss die genutzte ClientId dies verhindern oder zumindest extremst erschweren.
Um einen Nutzer schnell und einfach und dennoch anonymisiert wieder zu erkennen, bietet sich die IP-Adresse an, denn diese ist aktuell je Sitzung noch relativ eindeutig und schnell abzufragen.
Wenn man die IP-Adressen vor dem Setzen als ClientId anonymisiert und gesalzen verschlüsselt, ist auch kein Personenbezug mehr herstellbar, da die eigentliche IP-Adresse nicht zurück hergestellt werden kann (Einwegfunktion).
Bsp: Starker Hash aus IP-Adresse anonymisiert + Domain + individuelles Salz
Individuelles Salz ist einfach eine extern unbekannte Buchstaben-Zahlen-Kombination.
Man könnte auch noch Browserdaten wie user agent, language und eine zeitliche Komponente wie Monat und Jahr ergänzen, um das noch „datenschutzsicherer“ zu machen. Damit deckt man statische IP-Adressen besser ab. Wie lang und weit aber noch Browser solche Daten übermitteln, muss man sehen.
Wenn man dieses „Salz“ noch domainspezifisch ändert, ist auch keine Kombination oder Wiedererkennbarkeit über die Webseite im Sinne von Domain hinaus möglich, selbst wenn beide Webseiten das gleiche Verfahren für die Generierung der ClientId verwenden.
Eigene ClientId in Google Analytics (Hervorhebung)
Der Hash-Wert und damit die ClientId ist damit anonym, aber noch ausreichend konkret für brauchbare Statistik-Daten.
Damit sollten wir eine gerade noch ausreichende Datengrundlage haben und dennoch soweit datenschutzkonform agieren, dass jedenfalls keine Cookie-Einwilligung hierfür erforderlich ist (ohne Gewähr).
Hinweis: Da hier Google Analytics wegen individueller Client-Id keine Daten aus anderen Sitzungen und Tools zusammenführen kann, gibt es keine demografischen Merkmale oder Nutzerinteressen in Google Analytics. Auch ist Remarketing nicht möglich.
Das entspricht aber durchaus dem Sinn und Zweck, denn wir wollen ja kein „Tracking“ im weiteren Sinne.
Google Analytics ohne Cookies mit IP-Hash
Wie man sieht, klappt dies relativ gut. Lediglich die Sitzungsdauer weicht etwas ab, was aber auch an der Laufzeit bis zur Initialisierung liegen kann, denn via JavaScript selbst kommt man nicht so einfach an die IP-Adresse.
Es werden somit keine Cookies von Google Analytics (analytics.js) wie _ga, _gid, _gat gesetzt (vgl. https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage).
Damit überhaupt Messdaten in Analytics ankommen, übergibt Google Analytics diese in einem Session-Pixel zur Laufzeit. Das ist ein normaler Übergabeprozess und kein Cookie. Es wird streng betrachtet nichts auf dem Gerät des Nutzers gespeichert und auch nichts Gespeichertes ausgelesen. Aufgrund der individuellen Client-Id ist das Erfassen über Geräte und Marketingkanäle hinweg nicht möglich.
Auch Matomo/ Piwik, eTracker und andere Webanalyse-Dienste übergeben so die Statistikdaten.
Webseitenstatistik ohne Cookies erfordert keine Einwilligung, vgl. https://www.etracker.com/blog/cookie-less-etracking/
Man nutzt damit aus unserer Sicht kein Cookie und übermittelt keine personenbezogenen Daten und verhindert eine Zusammenführung mit anderen Nutzerdaten.
Schlau wäre, das Script zusätzlich vom eigenen Server und nicht von Google zu laden, was offiziell erlaubt ist.
Nur weil man mangels Cookies dafür keine Einwilligung benötigt, ist das nicht gleichbedeutend mit „datenschutzkonform“. Denn das ist mittlerweile eine hohe Hürde und vor allem die Datenschutzbehörden haben Google (Analytics) hier kritisch im Fokus.
Derzeit wird argumentiert, dass die Nutzungsbedingungen bei Google Analytics so/ zu weit wären, so dass Google die Nutzerdaten für eigene Zwecke verwenden kann.
Das halte ich mit obiger Client-Id für nicht praktisch möglich, denn die Daten an sich sind unspezifisch und mangels Kombinierbarkeit für die Wiedererkennbarkeit einer natürlichen Person über die Webseite hinaus nicht geeignet – geschweige denn für eine Identifierzung. Ob das noch für ein überwiegendes Interesse reicht, darüber kann man natürlich streiten.
Auch beispielsweise Rechtsanwalt und Datenschutzbeauftragter Martin Erlewein erachtet das dür datenschutzkonform.
Wer will, darf analytics.js auch vom eigenen Server anstatt von Google laden (https://support.google.com/analytics/answer/1032389?hl=de). Kann nicht schaden.
Ansonsten muss man noch aufpassen, dass man wie zuvor IP-Anonymisierung setzt, ein Opt-out-Cookie anbietet sowie die Datenschutzerklärung und die Einstellungen in Google Analytics entsprechend anpasst.
Es gibt hier bewusst keine Copy-Paste-Anleitung. Das ist nur eine Veröffentlichung unserer Tests mit der Hoffnung auf Diskussion. Aber wir haben hier den Analytics-Code nicht verschleiert und die ClientId ist temporär auch von außerhalb aufrufbar – für besonders Neugierige.
Aufgrund der Nachfrage haben wir einen Generator gebaut, welcher die individuell benötigten Codes fertig zum Einbau liefert und eine ausführliche Anleitung gibt’s noch dazu:
Google Analytics ohne Cookies – Code & Anleitung
Man kann die Analytics-Ziele auch in Google Ads importieren und als Conversions zählen. Akzeptiert man, dass die Attribution dann durch Analytics erfolgt, kann man damit auch Google Ads ohne Cookies einsetzen.
Es gibt noch weitere Möglichkeiten Google Analytics ohne Cookies einzusetzen wie eTags oder Authentication Cache.
Allerdings gibt es dazu keine öffentlichen Tests bis dato. Wir freuen uns über Hinweise.
Man kann auch mittels JavaScript zur Laufzeit einen so genannten Fingerprint aus Nutzereinstellungen wie Bildschirmgröße, Auflösung, Browser usw. generieren. Dieser soll relativ konkret sein, so dass identische Besucher mit gleichen Geräten richtig zugeordnet werden können. Dabei geht es aber schon wieder Richtung personenbezogen. Ansonsten zu ungenau (abgesehen von der Ladezeit):
Google Analytics ohne Cookie mit Fingerprint als ClientID (Abbildung Tagesstatistik)
Man könnte anstatt der Cookies die Google Analytics-Daten auch im so genannten Local Storage/ Webstorage des Nutzerbrowsers speichern.
Laut https://caniuse.com/#feat=namevalue-storage wird dies von praktisch allen aktuellen Browsern unterstützt.
Allerdings umgeht man hier nicht die Problematik der Cookies, sondern nur deren Speicherform; der Personenbezug usw. bleibt. Daher ist es unwahrscheinlich dass diese Lösung einer vertieften datenschutzrechtlichen Prüfung standhält, wenngleich man die aktuelle Cookie-Thematik damit umgeht.
Google Analytics ohne Cookie – mit local storage als ClientID (Abbildung Tagesstatistik)
Für gtag.js und Google Analytics 4 gibt es die storage:none-Funktion nicht mehr. Damit entfällt diese Möglichkeit.
Aktuell bietet Google hierfür „nur“ eine neue Funktion Einwilligungsmodus („Consent Mode“, https://support.google.com/analytics/answer/9976101?hl=de). Diese ist noch im Beta-Stadium.
Mit ad_storage='denied' und analytics_storage='denied' werden keine Cookies geschrieben und keine vorhandenen Cookies gelesen/ genutzt. Also soweit eine vergleichbare Situation.
Aber es werden nur „Pings ohne Cookies werden zu grundlegenden Mess- und Modellzwecken an Google Analytics gesendet“.
Was bedeutet das?
Google Universal Analytics gtag.js mit Einwilligungsmodus
Google Analytics.js ohne Cookies
Man sieht bei den Sitzungen ist das vergleichbar. Aber bei Werten wie Sitzungsdauer, Absprungrate sowie Anteil wiederkehrender Besucher weichen die Daten extrem ab – an sich so nur begrenzt brauchbar. Schließlich ist das Nutzerverhalten ein sehr wichtiger Faktor und das sind relevante Werte hierfür.
Letztlich entspricht das der Aussage von Google, nur einen „Ping“ zu senden.
Damit ist der Einwilligungsmodus aus unserer Sicht allenfalls eine Lösung bis jemand über einen Cookie-Consent-Banner zustimmt (danach vollwertigen Code/ Daten übertragen). Denn damit habe ich zumdindest rudimentäre Daten und ein etwas vollständigeres Statistik-Bild. Aber es kommt nicht ohne Cookie-Banner aus und kommt nicht an die obige Lösung.
Man kann Google Analytics mit etwas Mühe und Know-how ohne Cookies und ohne Personenbezug einsetzen. Wer also auf die nervigen und kaum ordentlich anbietbare Einwilligungsbanner verzichten und dennoch eine aussagekräftige Datenbasis für die eigene Webseitenstatistik möchte, dem bietet sich damit eine aus unserer Sicht mögliche Alternative (ohne rechtliche Gewähr) Google Analytics via analytics.js auch ohne Cookies einzusetzen.
Dagegen sind gtag.js und Google Analytics 4 neuer, Gooogle propagiert und forciert schon kurz nach Einführung von Google Analytics 4 die Verwendung ziemlich offensiv. Solanges es funktioniert, würden wir weiter auf die obige Lösung mit analytics.js setzen, das man übrigens nach wie vor auch neu anlegen kann – wenngleich etwas versteckt.
Google forciert mittlerweile die Thematik selbst, spielt Anzeigen weniger personlisiert aus und will über den firmeneigenen Browser Chrome demnächst 3rd-Party-Cookies standardmäßig blockieren („Privacy Sandbox“). Auch plant man die Identifizierung in Analytics aufzulösen und mit anynome(re)n Kohorten zu arbeiten (FLoC), um auf der anderen Seite dennoch Werbetreibenden bessere Segmentierung zu bieten und höhere Preise dafür zu erreichen. Ein schmaler Pfad, mit dem Google aktuellen Erkenntnissen dann auch nicht in der EU startet.
Dazu kommt in Deutschland bald das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), das alle (technisch nicht notwendigen) Cookies verbieten dürfte. Parallel dazu kommt auch wieder etwas Bewegung in die ePrivacy-Verordnung.
Im Blog schreibt Robert Hartl über CMS, SEO & Webdesign. Kontakt →
Trackback-URL: https://www.netprofit.de/blog/google-analytics-ohne-cookies-einsetzen.html/trackback
Hallo Joern,
danke für das Interesse. Wir haben wochenlang Optionen und Messungen evaluiert. Daher bitte ich um Verständnis, dass wir hier nicht eine Schritt-für-Schritt-Anleitung mit kompletten Code-Beispielen veröffentlichen, aber wir haben die Lösung hier eingebaut. Ein Blick in den Quellcode könnte daher helfen. Der Beitrag soll in erster Linie „nur“ unseren Ansatz vorstellen und weitere Lösungen animieren und teilen.
Auch arbeiten wir noch an einer Lösung für den Analytics-Code, der über externe Plugins wie bei Shops mit E-Commerce-Daten oder den Google Tag Manager eingesetzt wird.
Robert Hartl
Kommentar 2
22. November 2019 um 10:06 Uhr
Die Vermeidung von Cookies bei gleichzeitigem Tracking scheint nach Meinung anderer Juristen nicht von einer Einwilligungspflicht durch den Nutzer zu befreien, insofern nutzt doch eine solche Einbdinung letztlich nichts oder wie beurteilen Sie das?
Hansjörg Leichsenring →
Kommentar 3
7. Juni 2020 um 08:38 Uhr
Eine sehr schöne Lösung, die wahrscheinlich sehr populär werden wird! Allerdings wird die custom clientID derzeit anscheinend nicht von Google verwertet. Sie erscheint einfach nicht im Bericht.
Viktor
Kommentar 4
11. August 2020 um 10:15 Uhr
Hallo Viktor, die Hash-ClientIDs findest Du unter Zielgruppe, Nutzer-Explorer.
Wenn da nichts ist, liegt irgendwo ein Fehler.
Wir hatten bis dato keinerlei Probleme.
Robert Hartl
Kommentar 5
12. August 2020 um 09:38 Uhr
Die ClientId ist tatsächlich keine Dimension in Berichten, sie muss zu einer benutzerdefinierten Dimension gesendet werden, wenn man diese in Berichten verwenden will. Anschließend lassen sich damit zu Ereignissen in GA die Ids ablesen und wiederum genauer über den Nutzerexplorer Schritte nachvollziehen.
In GTM lässt sich dazu eine JS-Variable erzeugen, wobei clientIdIndex mit dem eigenen Index in GA ersetzt werden muss:
function() {
var clientIdIndex = 1;
return function(model) {
model.set(‚dimension‘ + clientIdIndex, model.get(‚clientId‘));
};
}
Dem GA-Seitenaufruf übergibt man nun noch das benutzerdefinierte Feld mit dem Namen „customTask“ (ohne „) und als Wert die JS-Variable. Das sollte es gewesen sein.
Ben
Kommentar 6
28. August 2020 um 12:22 Uhr
Hallo,
leider setzt Analytics 4 (zumindest seit November 2020) trotz „storage:none“ zwei Cookies.
Ohne Cookieeinwilligung also nicht nutzbar.
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());
gtag(‚config‘, ‚G-XXXX‘,{ ’storage‘: ’none‘});
J. Kaimer
Kommentar 7
19. November 2020 um 10:23 Uhr
Von Google Analytics 4 steht da auch nichts. Google Analytics 4 ist komplett neu und anders. Wenn, dann kann man sich bei Google Analytics 4 über den Einwilligungsmodus (noch beta) Gedanken machen. Der ist technisch allerdings auch komplett anders. Die Datenvergleiche laufen gerade im Test bei uns.
Robert Hartl
Kommentar 8
9. Dezember 2020 um 12:24 Uhr
Kommentare werden erst nach manueller Freischaltung sichtbar. Die übermittelten Daten werden entsprechend der Datenschutzerklärung zur Verarbeitung des Kommentars gespeichert.
Nibelungenplatz 2
D-94032 Passau
Tel.: +49 (0)851/ 966 31-31
Fax: +49 (0)851/ 966 31-41
E-Mail: kontakt@netprofit.de
Hallo,
ich habe ihren Artikel mit großem Interesse gelesen und den Code unter:
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies
getestet. Leider zeigt mein Analytics keine Besucher Daten an.
Können Sie mir ein komplettes Beispiel mit IP-Hash zu Verfügung stellen?
Vielen Dank,
Joern T.
Kommentar 1
12. November 2019 um 21:58 Uhr