Google Analytics nutzt standardmäßig Cookies. Seit der DSGVO und spätestens dem EuGH sind nicht notwendige Cookies offensichtlich per se nur mit vorheriger freiwilliger, aktiver Zustimmung erlaubt. Eine Webseitenstatistik nur nach Zustimmung ist den Namen allerdings nicht wert. Kann man Google Analytics also auch ohne Cookies sinnvoll einsetzen und damit der aktuellen Datenschutzdiskussion zumindest vorerst entkommen? Wir haben diverse Optionen getestet, die ich hier vorstellen möchte. Vorweg: es geht.
Spätestens seit einigen EuGH-Äußerungen zu Cookies und strengen Ansichten der deutschen Datenschutzkonferenz (DSK) sind Tracking-Cookies demnach (!) nur nach vorheriger aktiver Zustimmung (= Einwilligung) erlaubt, was man mit einem so genannten umfangreichen Consent-Banner oder Cookie-Consent-Banner erreichen könnte.
Unklar ist, was konkret mit „Tracking“ gemeint ist. Denn Tracking bedeutet übersetzt Verfolgung.
Wer also mittels Google Analytics ohne Nutzerverfolgung wie Remarketing einsetzt und nur als reine Webseitenstatistik dürfte aus meiner Sicht kein „Tracking“ im engeren Sinne betreiben.
Wer auf Nummer sicher gehen möchte, wird das vernünftig (mobil?!) mit einem Cookie-Consent-Banner nicht hinbekommen. Denn darin müssen alle Cookies für Laien verständlich erklärt, einzeln mit Laufzeit, konkreten Nutzungszwecken und Adressaten inkl. vollständiger Adresse usw. angeben sein und die Ablehnung müsste zumindest theoretisch genauso einfach wie eine Zustimmung sein, wenn nicht einfacher (Stichwort privacy by default). Uff.
Wer also Google Analytics erst mal weiter nutzen und der Cookie-Diskussion entkommen möchte, der sollte beim Einsatz von Google Analytcis auf Cookies verzichten.
Google Analytics hatte schon immer einen schweren Stand bei den Datenschützern. Mit strikten Einstellungen und anonymisierter IP-Adresse und Vertrag zur Auftragsdatenverarbeitung und Widerspruchsrecht und umfangreicher, angepasste Datenschutzerklärung waren die nach wie vor nicht unumstrittenen Hürden bislang schon zahlreich.
Nun auch noch Cookies.
Ohne Cookies kein Cookie-Einwilligungs-Banner und sinnvolle Google Analytics-Daten, soweit Nutzer Google Analytics nicht bereits browserseitig blockieren. Der Datenschutzhinweis wie bisher sollte reichen.
Google Analytics bietet hier seit einiger Zeit die Option auf Cookies zu verzichten mit storage:none, vgl. https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies).
Man könnte anstatt der Cookies die Google Analytics-Daten auch im so genannten Local Storage/ Webstorage des Nutzerbrowsers speichern.
Laut https://caniuse.com/#feat=namevalue-storage wird dies von praktisch allen aktuellen Browsern unterstützt.
Allerdings umgeht man hier nicht die Problematik der Cookies, sondern nur deren Speicherform; der Personenbezug usw. bleibt. Daher ist es unwahrscheinlich dass diese Lösung einer vertieften datenschutzrechtlichen Prüfung standhält, wenngleich man die aktuelle Cookie-Thematik damit umgeht.
Google Analytics ohne Cookie – mit local storage als ClientID (Abbildung Tagesstatistik)
Allerdings funktioniert auch das nicht vergleichbar gut im Praxistest, daher keine Option.
Man kann aber auch selbst eine eigene clientId je Nutzer vergeben. Kein Cookie, kein local storage.
Hier wird es nun spannend.
Wer wissen will, wie viel Seitenaufrufe derselbe Nutzer macht und damit Absprungrate, Aufenthaltsdauer und ggf. wiederkehrende Besucher zumindest einigermaßen statistisch erfassen möchte, muss den gleichen Besucher zumindest halbwegs irgendwie wieder erkennen können.
Das bedeutet, man muss selbst eine sinnvolle, möglichst anonyme und dennoch konkrete clientIds setzen, um aussagekräftige Statistikdaten zu erreichen.
Dabei wird es seit der DSGVO schwierig, denn diese definiert personenbezogen extrem weit (und vage):
Nach Art. 4 Nr. 1 DSGVO sind auch Kennungen in Cookies personenbezogen, wenn daraus eine gewissen Personenbezogenheit zugeordnet werden kann. Dazu reicht eine physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person (= Mensch).
Somit können auch an sich pseudonymisierte Cookies unter die DSGVO fallen, auch wenn keine IP-Adressen verarbeitet werden.
Da Google (Analytics) zumindest theoretisch die großen Datenmengen zusammenführen und kombinieren könnte, wäre hier nach mancher Ansicht auch so ziemlich schnell ein Personenbezug im Sinne der DSGVO erreicht.
Leider wird es erfahrungsgemäß dauern bis Google generell oder mit Analytics hier datenschutzseitig nachzieht und ggf. Optionen wie das bereits nachgereichte anonymize_ip anbietet.
Wieweit das übertrieben ist, mag jeder selbst beurteilen.
Also welche clientIds bieten sich an?
Man kann mittels JavaScript zur Laufzeit einen so genannten Fingerprint aus Nutzereinstellungen wie Bildschirmgröße, Auflösung, Browser usw. generieren. Dieser soll relativ konkret sein, so dass identische Besucher mit gleichen Geräten richtig zugeordnet werden können.
Nachteil ist, dass bei weiter Auslegung dies bereits zumindest Richtung personenbezogen im obigen Sinne geht und die Fingerprint-Generierung Zeit benötigt, man also Google Analytics erst nachladen kann, wenn der Fingerprint generiert wurde. Das ist mit der Version 2 meist zu lange und zu ungenau.
Google Analytics ohne Cookie mit Fingerprint als ClientID (Abbildung Tagesstatistik)
Dabei sind die Abweichungen im direkten Vergleich allerdings enorm und daher nicht wirklich praxistauglich.
Auch aufgrund der datenschutzseitigen Problematik, keine sinnvolle Lösung.
Um einen Nutzer schnell und einfach und dennoch anonymisiert wieder zu erkennen, bietet sich die IP-Adresse an, denn diese ist aktuell je Sitzung noch relativ eindeutig.
Wenn man die IP-Adressen vor dem Setzen als clientIds gesalzen verschlüsselt und damit anonymisiert, ist auch kein Personenbezug mehr herstellbar, da die eigentliche IP-Adresse nicht zurück hergestellt werden kann (Einwegfunktion). Der Hash-Wert ist damit anonym.
Damit sollten wir eine gerade noch ausreichende Datengrundlage haben und dennoch datenschutzkonform agieren (keine Gewähr).
Google Analytics ohne Cookies mit IP-Hash
Wie man sieht, klappt dies relativ gut, sofern man auf Caching und schnelle Laufzeiten achtet. Lediglich die Sitzungsdauer weicht etwas deutlicher ab, was aber auch an der Laufzeit bis zur Initialisierung liegen kann, denn via JavaScript selbst kommt man nicht so einfach an die IP-Adresse.
Hinweis: Da hier Google Analytics keine Daten wegen individueller Client-ID zusammenführen kann, gibt es keine demografischen Merkmale oder Nutzerinteressen in Google Analytics. Auch ist Remarketing nicht möglich.
Das entspricht aber durchaus dem Sinn und Zweck, denn wir wollen ja kein „Tracking“ im weiteren Sinne.
Es werden dmait keine Cookies von Google Analytics wie _ga, _gid, _gat gesetzt (vgl. https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage). Damit es aber überhaupt Messdaten in Analytics gibt, sammelt Google Analytics weiterhin relevante Werte in einem Session-Pixel, über dessen Parameter die aufgerufene Seite usw. übergeben werden. Das ist ein normaler Übergabeprozess und kein Cookie. Es wird streng betrachtet nichts auf dem Gerät des Nutzers gespeichert und auch nichts Gespeichertes ausgelesen. Aufgrund der individuellen Client-Id ist das Erfassen über Geräte und Marketingkanäle hinweg nicht möglich. Daher gibt es beispielsweise ja auch kein Remarketing etc.
Aber: kein Cookie!
Auch Matomo/ Piwik und andere Webanalyse-Dienste übergeben so die Statistikdaten.
Es gibt noch weitere Möglichkeiten Google Analytics ohne Cookies einzusetzen wie eTags oder Authentication Cache.
Allerdings gibt es dazu keine öffentlichen Tests bis dato. Wir freuen uns über Hinweise.
Wie man sieht, kann man auch Google Analytics mit etwas Mühe und Know-how ohne Cookies und ohne Personenbezug einsetzen. Wer also auf die nervigen und kaum ordentlich anbietbare Einwilligungsbanner verzichten und eine aussagekräftige Datenbasis für die eigene Webseitenstatistik möchte, dem bietet sich damit eine aus unserer Sicht mögliche Alternative (ohne rechtliche Gewähr) Google Analytics auch ohne Cookies einzusetzen.
Da vor allem manche Datenschutzbehörden Google und damit auch Analytics ein Dorn im Auge ist, dürfte es auch so weiter Versuche geben, hier Google indirekt über die Kriminalisierung der Nutzer anzugehen.
Es wird also ein strittiges Thema bleiben.
man muss aber auch klar sehen, dass die rechtlich zugrunde liegenden Fälle wie beim BGH alles Fälle waren, wo man es mit Cookies und Datenweitergabe aus meiner Sicht massiv übertrieben hat. Das hatte schon lange nichts mehr mit reiner Webseitenstatistik zu tun.
Im Blog schreibt Robert Hartl über CMS, SEO & Webdesign. Kontakt →
Trackback-URL: https://www.netprofit.de/blog/google-analytics-ohne-cookies-einsetzen.html/trackback
Hallo Joern,
danke für das Interesse. Wir haben wochenlang Optionen und Messungen evaluiert. Daher bitte ich um Verständnis, dass wir hier nicht eine Schritt-für-Schritt-Anleitung mit kompletten Code-Beispielen veröffentlichen, aber wir haben die Lösung hier eingebaut. Ein Blick in den Quellcode könnte daher helfen. Der Beitrag soll in erster Linie „nur“ unseren Ansatz vorstellen und weitere Lösungen animieren und teilen.
Auch arbeiten wir noch an einer Lösung für den Analytics-Code, der über externe Plugins wie bei Shops mit E-Commerce-Daten oder den Google Tag Manager eingesetzt wird.
Robert Hartl
Kommentar 2
22. November 2019 um 10:06 Uhr
Kommentare werden erst nach manueller Freischaltung sichtbar. Die übermittelten Daten werden entsprechend der Datenschutzerklärung zur Verarbeitung des Kommentars gespeichert.
Nibelungenplatz 2
D-94032 Passau
Tel.: +49 (0)851/ 966 31-31
Fax: +49 (0)851/ 966 31-41
E-Mail: kontakt@netprofit.de
Hallo,
ich habe ihren Artikel mit großem Interesse gelesen und den Code unter:
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies
getestet. Leider zeigt mein Analytics keine Besucher Daten an.
Können Sie mir ein komplettes Beispiel mit IP-Hash zu Verfügung stellen?
Vielen Dank,
Joern T.
Kommentar 1
12. November 2019 um 21:58 Uhr