Google Analytics nutzt standardmäßig Cookies. Seit der DSGVO und spätestens dem EuGH und künftig des BGHs sind technisch nicht notwendige Cookies per se nur mit vorheriger freiwilliger, aktiver Zustimmung erlaubt. Eine Webseitenstatistik nur nach Zustimmung macht statistisch wenig Sinn. Kann man Google Analytics also auch ohne Cookies, ohne Einwilligung datenschutzkonform sinnvoll einsetzen und damit der aktuellen Consent-Hürde hierfür entkommen? Spoiler: ja.
Zum E-Book: Google Analytics ohne Einwilligung
Spätestens seit einigen EuGH-Äußerungen zu Cookies und strengen Ansichten der deutschen Datenschutzkonferenz (DSK) sind Tracking-Cookies demnach nur nach vorheriger aktiver Information und Zustimmung (= Einwilligung) erlaubt, was man mit einem so genannten umfangreichen Consent-Banner oder Cookie-Consent-Banner erreichen könnte.
Nervig. Dazu gibt es bis Zustimmung keine Statistikdaten.
Ablauf, kritische Schritte beim Datenschutz
Wenn wir uns obige Grafik anschauen, betrifft dieses Thema die beiden grau hinterlegten Bereiche.
In beiden Fällen wir die IP-Adresse des Webseitenbesuchers (= personenbezogenes Datum) an Google Analytics (unsicherer Drittstaat) übermittelt – durch die Webseite bzw. dem Webseitenverantwortlichen.
Die IP-Anonymisierungsfunktion greift technisch hier erst einen Schritt später.
Google Analytics Datenschutz (klassisch)
Personenbezogene Daten in unsichere Drittstaaten sind nur nach vorheriger, infomierter Zustimmung erlaubt.
Google Analytics muss aus rechtlichen Gründen im Zweifel den amerikanischen Strafverfolgungsbehörden Zugriff gewähren. Damit gilt Google Analytics als so genannter unsicherer Drittstaat, weil kein der EU vergleichbares Datenschutzniveau gewährleistet werden kann – ganz egal, in welchem Land Google Analytics die Daten speichert.
Wer auf Nummer sicher gehen möchte, wird das vernünftig (mobil?!) mit einem Cookie-Consent-Banner nicht hinbekommen. Denn darin müssen alle Cookies für Laien verständlich erklärt, einzeln mit Laufzeit, konkreten Nutzungszwecken und Adressaten inkl. vollständiger Adresse usw. angeben sein und die Ablehnung muss eigentlich genauso einfach wie eine Zustimmung sein, wenn nicht einfacher (privacy by default).
Uff.
So oder so, zunehmend mehr Nutzer stimmen bei den für alle Besucher nervigen Consent-Bannern nicht zu.
Google Analytics ohne Cookies & ohne personenbezogene Daten
Google Analytics bietet jedoch so viele Vorteile und eine Google Analytics Alternative müsste auch erst evaluiert, integriert werden.
Wer daher Google Analytics weiter nutzen möchte, möglichst alle Website-besucher in der Webseiten-Statistik haben möchte, muss „nur“ auf Cookies und personenbezogene Daten verzichten. Dann kann man Google Analytics datenschutzkonform ohne Einwilligung einsetzen.
Zum E-Book: Google Analytics ohne Einwilligung
Google Analytics (Universal Analytics mit analytics.js) bietet hier seit einiger Zeit die Option auf Cookies zu verzichten mit storage:none, vgl. https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies).
Um dennoch Messwerte zu erhalten, muss man eine ClientId setzen. Zum Beispiel eine eigene:
Man kann auch selbst eine eigene ClientId vergeben.
Kein Cookie, kein local storage.
Wer „nur“ wissen will, welche und wie viel Seitenaufrufe derselbe Nutzer macht und damit Absprungrate, Aufenthaltsdauer und ggf. wiederkehrende Besucher zumindest einigermaßen statistisch erfassen möchte, muss den gleichen Besucher zumindest halbwegs zuordnen können.
Das bedeutet, man muss selbst eine sinnvolle, anonyme und dennoch zureichend konkrete ClientId setzen, um aussagekräftige Statistikdaten zu erreichen.
Dabei wird es spätestens seit der DSGVO schwierig, denn diese definiert personenbezogen extrem weit (und vage):
Nach Art. 4 Nr. 1 DSGVO sind auch Kennungen in Cookies personenbezogen, wenn daraus eine gewisse Personenbezogenheit zugeordnet werden kann. Dazu reicht eine physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person (= Mensch).
Somit können auch an sich pseudonymisierte Cookies unter die DSGVO fallen, auch wenn keine IP-Adressen verarbeitet werden.
Da Google (Analytics) die großen Datenmengen zusammenführen und kombinieren könnte, wäre hier nach mancher Ansicht ein Personenbezug im Sinne der DSGVO unter Umständen erreichbar.
Also muss die genutzte ClientId dies verhindern oder zumindest extremst erschweren – wie mit Anonymisierung plus Verschlüsselung mittels gesalzenem, starkem Hash-Verfahren.
Um auch die Verfolgabrkeit über Webseiten hinweg zu unterbinden, muss dieser Wert sich bei gleichem Nutzer, aber anderer Domain ändern. Letztlich muss man sich hier die (An)Forderungen der Datenschützer anschauen und dann technsich testen, was wie funktioniert.
Die Lösung ist auf dem Papier recht einfach. Es darf vom Webseiten-Besucher keine Verbindung zu Google (Analytics) geben:
Google Analytics Datenschutz (klassisch)
Dann kann man personenbezogene Daten wie die IP-Adresse der Webseitenbesucher von Google fernhalten.
Man muss nun serverseitig die Statistikdaten sammeln und serverseitig an Google Analytics übermitteln. Natürlich alles ohne Cookies, am besten ohne Speicherung und vor allem ohne personenbezogene Daten der Webseitenbesucher.
Das geht technisch relativ einfach, bsi alles technisch und datenschutzrechtlich passt und die Statistik in Google Analytics auch noch, ist nicht soo trivial.
Für alle, die keine Nerds und Datenschutzexperten sind, haben wir daher eine einfache Lösung gebaut (mehr dazu gleich unter Anleitung).
Kurz: ja.
Lang: auch ja. Jetzt im Ernst ??. Wir haben unsere Lösung technisch und rechtlich von mehreren Experten prüfen lassen. Es werden keine personenbezogenen Daten der Webseitenbesucher an Google übermittelt, keine Cookies oder vergleichbare Techniken wie Local Storage/ Webstorage, Fingerprinting genutzt.
Wer dann die Einstellungen in Google Analytics, den Opt-out-Link und die Datenschutzerklärung noch wie bisher berücksichtigt, sollte da ganz datenschutzfreundlich unterwegs sein.
Natürlich hilft das nichts, wenn Ihr Server in einem so genannte unsicheren Drittstaat steht, was außerhalb der EU schon mal vorkommen kann.
Im Grunde funktionieren alternative Statistik-Lösungen, die für sich Datenschutz ohne Consent prokalmieren ziemlich genauso.
Keine Vorteile ohne Nachteile. Die normalen Statistikdaten funktionieren wie gewohnt. Es fehlen jedoch personenbezogene Daten wie Alter, Geschlecht. Auch eine Verfolgbarkeit wie für Remarketing greift natürlich dann nicht mehr. Auch ist die Wiedererkennbarkeit eingeschränkt, vor allem zwischen längeren Zeiträumen.
Dafür hat man praktisch wieder alle Nutzer in der belastbaren Webseitenstatistik und kann die Vorteile von Google Analytics ausspielen.
Wer jetzt an Google Ads und Erfolgsmessung („Conversion“) denkt, das geht auch so ohne Cookies ganz gut.
Man kann die Analytics-Ziele auch in Google Ads importieren und als Conversions zählen. Akzeptiert man, dass die Attribution dann durch Analytics erfolgt, kann man damit auch Google Ads ohne Cookies einsetzen. ?
Es würde jeden Rahmen sprengen, alle Code-Teile mit Entwicklungsschritten zu erklären. Die Entwicklungsarbeiten dauerten Wochen und erforderten mehrere technische wie datenschutzrechtliche Tests und Beratungen.
Wer diese Lösung interessant findet, dem wollten wir sie einfach, schnell und günstig zugänglich machen – individuell passend für die jeweiligen Websites.
Daher haben wir einen Generator gemacht, der die fertig einbaubaren Codes individuell passend inkl. Schritt-für-Schritt-Anleitung zum Einbau:
Google Analytics datenschutzkonform ohne Einwilligung – Code & Anleitung
Aktuell bietet Google eine neue Funktion Einwilligungsmodus („Consent Mode“, https://support.google.com/analytics/answer/9976101?hl=de). Diese ist noch im Beta-Stadium.
Mit ad_storage='denied' und analytics_storage='denied' werden keine Cookies geschrieben und keine vorhandenen Cookies gelesen/ genutzt. Also soweit eine vergleichbare Situation.
Aber es werden nur „Pings ohne Cookies werden zu grundlegenden Mess- und Modellzwecken an Google Analytics gesendet“.
Kaum tragfähig für eine vernünftige Webseiten-Statistik. mehr zu Google Analytics im Einwilligungsmodus.
Man kann Google Analytics mit etwas Mühe und Know-how ohne Cookies und ohne Personenbezug und damit ohne Einwilligung datenschutzfreundlich einsetzen.
Wer also auf die nervigen und kaum ordentlich anbietbare Einwilligungsbanner verzichten und dennoch eine aussagekräftige Datenbasis für die eigene Webseitenstatistik möchte, dem bietet sich damit eine aus unserer Sicht mögliche Alternative Google Analytics auch ohne Einwilligung datenschutzkonform einzusetzen.
Google forciert mittlerweile die Thematik selbst, spielt Anzeigen weniger personlisiert aus und will über den firmeneigenen Browser Chrome demnächst 3rd-Party-Cookies standardmäßig blockieren („Privacy Sandbox“).
Dazu kommt in Deutschland bald das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), das alle (technisch nicht notwendigen) Cookies verbietet. Parallel dazu kommt auch wieder etwas Bewegung in die ePrivacy-Verordnung. Betonung auf „etwas“.
Im Blog schreibt Robert Hartl über CMS, SEO & Webdesign. Kontakt →
Trackback-URL: https://www.netprofit.de/blog/google-analytics-ohne-cookies-einsetzen.html/trackback
Hallo Joern,
danke für das Interesse. Wir haben wochenlang Optionen und Messungen evaluiert. Daher bitte ich um Verständnis, dass wir hier nicht eine Schritt-für-Schritt-Anleitung mit kompletten Code-Beispielen veröffentlichen, aber wir haben die Lösung hier eingebaut. Ein Blick in den Quellcode könnte daher helfen. Der Beitrag soll in erster Linie „nur“ unseren Ansatz vorstellen und weitere Lösungen animieren und teilen.
Auch arbeiten wir noch an einer Lösung für den Analytics-Code, der über externe Plugins wie bei Shops mit E-Commerce-Daten oder den Google Tag Manager eingesetzt wird.
Robert Hartl
Kommentar 2
22. November 2019 um 10:06 Uhr
Die Vermeidung von Cookies bei gleichzeitigem Tracking scheint nach Meinung anderer Juristen nicht von einer Einwilligungspflicht durch den Nutzer zu befreien, insofern nutzt doch eine solche Einbdinung letztlich nichts oder wie beurteilen Sie das?
Hansjörg Leichsenring →
Kommentar 3
7. Juni 2020 um 08:38 Uhr
Eine sehr schöne Lösung, die wahrscheinlich sehr populär werden wird! Allerdings wird die custom clientID derzeit anscheinend nicht von Google verwertet. Sie erscheint einfach nicht im Bericht.
Viktor
Kommentar 4
11. August 2020 um 10:15 Uhr
Hallo Viktor, die Hash-ClientIDs findest Du unter Zielgruppe, Nutzer-Explorer.
Wenn da nichts ist, liegt irgendwo ein Fehler.
Wir hatten bis dato keinerlei Probleme.
Robert Hartl
Kommentar 5
12. August 2020 um 09:38 Uhr
Die ClientId ist tatsächlich keine Dimension in Berichten, sie muss zu einer benutzerdefinierten Dimension gesendet werden, wenn man diese in Berichten verwenden will. Anschließend lassen sich damit zu Ereignissen in GA die Ids ablesen und wiederum genauer über den Nutzerexplorer Schritte nachvollziehen.
In GTM lässt sich dazu eine JS-Variable erzeugen, wobei clientIdIndex mit dem eigenen Index in GA ersetzt werden muss:
function() {
var clientIdIndex = 1;
return function(model) {
model.set(‚dimension‘ + clientIdIndex, model.get(‚clientId‘));
};
}
Dem GA-Seitenaufruf übergibt man nun noch das benutzerdefinierte Feld mit dem Namen „customTask“ (ohne „) und als Wert die JS-Variable. Das sollte es gewesen sein.
Ben
Kommentar 6
28. August 2020 um 12:22 Uhr
Hallo,
leider setzt Analytics 4 (zumindest seit November 2020) trotz „storage:none“ zwei Cookies.
Ohne Cookieeinwilligung also nicht nutzbar.
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());
gtag(‚config‘, ‚G-XXXX‘,{ ’storage‘: ’none‘});
J. Kaimer
Kommentar 7
19. November 2020 um 10:23 Uhr
Von Google Analytics 4 steht da auch nichts. Google Analytics 4 ist komplett neu und anders. Wenn, dann kann man sich bei Google Analytics 4 über den Einwilligungsmodus (noch beta) Gedanken machen. Der ist technisch allerdings auch komplett anders. Die Datenvergleiche laufen gerade im Test bei uns.
Robert Hartl
Kommentar 8
9. Dezember 2020 um 12:24 Uhr
Kommentare werden erst nach manueller Freischaltung sichtbar. Die übermittelten Daten werden entsprechend der Datenschutzerklärung zur Verarbeitung des Kommentars gespeichert.
Nibelungenplatz 2
D-94032 Passau
Tel.: +49 (0)851/ 966 31-31
Fax: +49 (0)851/ 966 31-41
E-Mail: kontakt@netprofit.de
Hallo,
ich habe ihren Artikel mit großem Interesse gelesen und den Code unter:
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies
getestet. Leider zeigt mein Analytics keine Besucher Daten an.
Können Sie mir ein komplettes Beispiel mit IP-Hash zu Verfügung stellen?
Vielen Dank,
Joern T.
Kommentar 1
12. November 2019 um 21:58 Uhr