Google Analytics nutzt standardmäßig Cookies. Seit der DSGVO und spätestens dem EuGH sind nicht notwendige Cookies offensichtlich per se nur mit vorheriger freiwilliger, aktiver Zustimmung erlaubt. Eine Webseitenstatistik nur nach Zustimmung ist den Namen allerdings nicht wert. Kann man Google Analytics also auch ohne Cookies sinnvoll einsetzen und damit der aktuellen Datenschutzdiskussion zumindest vorerst entkommen? Wir haben diverse Optionen getestet, die ich hier vorstellen möchte. Vorweg: es geht.
Spätestens seit einigen EuGH-Äußerungen zu Cookies und strengen Ansichten der deutschen Datenschutzkonferenz (DSK) sind Tracking-Cookies demnach (!) nur nach vorheriger aktiver Zustimmung (= Einwilligung) erlaubt, was man mit einem so genannten umfangreichen Consent-Banner oder Cookie-Consent-Banner erreichen könnte.
Unklar ist, was konkret mit „Tracking“ gemeint ist. Denn Tracking bedeutet übersetzt Verfolgung.
Wer also mittels Google Analytics ohne Nutzerverfolgung wie Remarketing einsetzt und nur als reine Webseitenstatistik dürfte aus meiner Sicht kein Tracking im engeren Sinne betreiben.
Wer auf Nummer sicher gehen möchte, wird das vernünftig (mobil?!) mit einem Cookie-Consent-Banner nicht hinbekommen. Denn darin müssen alle Cookies mit Laufzeit, konkreten Nutzungszwecken und Adressaten inkl. vollständiger Adresse usw. angeben sein und die Ablehnung müsste zumindest theoretisch genauso einfach wie eine Zustimmung sein, wenn nicht einfacher (Stichwort privacy by default). Uff.
Wer also Google Analytics erst mal weiter nutzen und der Cookie-Diskussion entkommen möchte, der sollte beim Einsatz von Google Analytcis auf Cookies verzichten.
Google Analytics hatte schon immer einen schweren Stand bei den Datenschützern. Mit strikten Einstellungen und anonymisierter IP-Adresse und Vertrag zur Auftragsdatenverarbeitung und Widerspruchsrecht und umfangreicher, angepasste Datenschutzerklärung waren die Hürden bislang schon zahlreich.
Nun auch noch Cookies.
Ohne Cookies kein Cookie-Einwilligungs-Banner und sinnvolle Google Analytics-Daten, soweit Nutzer Google Analytics nicht bereits browserseitig blockieren. Der Datenschutzhinweis wie bisher sollte reichen.
Google Analytics bietet hier seit einiger Zeit die Option auf Cookies zu verzichten mit storage:none, vgl. https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies).
Wer jedoch wissen will, wie viel Seitenaufrufe derselbe Nutzer macht und damit Absprungrate, Aufenthaltsdauer und ggf. wiederkehrende Besucher statistisch erfassen möchte, muss den gleichen Besucher irgendwie wieder erkennen können.
Das bedeutet, man muss selbst eine sinnvolle, möglichst anonyme und dennoch konkrete clientIds setzen, um aussagekräftige Statistikdaten zu erreichen.
Dabei wird es seit der DSGVO schwierig, denn diese definiert personenbezogen extrem weit (und vage):
Nach Art. 4 Nr. 1 DSGVO sind auch Kennungen in Cookies personenbezogen, wenn daraus eine gewissen Personenbezogenheit zugeordnet werden kann. Dazu reicht eine physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person (= Mensch).
Somit können auch an sich pseudonymisierte Cookies unter die DSGVO fallen, auch wenn keine IP-Adressen verarbeitet werden.
Da Google (Analytics) zumindest theoretisch die großen Datenmengen zusammenführen und kombinieren könnte, wäre hier nach mancher Ansicht auch so ein Personenbezug im Sinner der DSGVO erreicht.
Leider wird es erfahrungsgemäß dauern, bis Google generell oder mit Analytics hier nachzieht und ggf. Optionen wie das bereits nachgereichte anonymize_ip anbietet.
Wieweit das übertrieben ist, mag jeder selbst beurteilen.
Man kann mittels JavaScript zur Laufzeit einen so genannten Fingerprint aus Nutzereinstellungen wie Bildschirmgröße, Auflösung, Browser usw. generieren. Dieser soll relativ konkret sein, so dass identische Besucher mit gleichen Geräten richtig zugeordnet werden können.
Nachteil ist, dass bei weiter Auslegung dies bereits zumindest Richtung personenbezogen im obigen Sinne geht und die Fingerprint-Generierung Zeit benötigt, man also Google Analytics erst nachladen kann, wenn der Fingerprint generiert wurde. Das ist mit der Version 2 meist zu lange und zu ungenau.
Google Analytics ohne Cookie mit Fingerprint als ClientID (Abbildung Tagesstatistik)
Dabei sind die Abweichungen im direkten Vergleich allerdings enorm und daher nicht wirklich praxistauglich.
Man könnte anstatt der Cookies die Google Analytics-Daten auch im so genannten Local Storage/ Webstorage des Nutzerbrowsers speichern.
Laut https://caniuse.com/#feat=namevalue-storage wird dies von praktisch allen aktuellen Browsern unterstützt.
Allerdings umgeht man hier nicht die Problematik der Cookies, sondern nur deren Speicherform; der Personenbezug usw. bleibt. Daher ist fraglich ob diese Lösung einer vertieften Prüfung standhält, wenngleich man die aktuelle Cookie-Thematik damit umgeht.
Google Analytics ohne Cookie – mit local storage als ClientID (Abbildung Tagesstatistik)
Allerdings funktioniert auch das nicht vergleichbar gut im Praxistest, daher keine Option.
Um einen Nutzer schnell und einfach und dennoch anonymisiert wieder zu erkennen, bietet sich die IP-Adresse an, denn diese ist aktuell je Sitzung noch relativ eindeutig. Selbst ein Gerätewechsel im gleichen Netz könnte so noch erkannt werden.
Wenn man die IP-Adressen verschlüsselt und damit anonymisiert, ist auch kein Personenbezug mehr herstellbar, da die eigentliche IP-Adresse nicht zurück hergestellt werden kann (Einwegfunktion). Wir haben daher zur Laufzeit einfach die IP-Adresse mit einem ordentlichen Hash-Verfahren individuell verschlüsselt.
Damit sollten (keine Gewähr) wir ausreichende Datengrundlage haben und dennoch datenschutzkonform agieren.
Google Analytics ohne Cookies mit IP-Hash
Wie man sieht, klappt dies relativ gut, sofern man auf Caching und schnelle Laufzeiten achtet. Lediglich die Sitzungsdauer weicht etwas deutlicher ab, was aber auch an der Laufzeit bis zur Initialisierung liegen kann, denn via JavaScript selbst kommt man nicht einfach an die IP-Adresse.
Hinweis: Da hier Google Analytics keine Daten wegen individueller Client-ID zusammenführen kann, gibt es keine demografischen Merkmale oder Nutzerinteressen in Google Analytics.
Es werden keine Cookies von Google Analytics wie _ga, _gid, _gat gesetzt (vgl. https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage). Damit es aber überhaupt Messdaten in Analytics gibt, sammelt Google Analytics weiterhin relevante Werte in einem Session-Pixel, über dessen Parameter aufgerufene Seite usw. übergeben wird. Das ist ein normaler Übergabeprozess. Aufgrund der individuellen Client-Id ist das Erfassen über Geräte und Marketingkanäle hinweg aber kaum möglich. Daher gibt es beispielsweise ja auch kein Remarketing etc.
Aber: kein Cookie!
Auch Matomo/ Piwik und andere Webanalyse-Dienste übergeben so die Statistikdaten.
Es gibt noch weitere Möglichkeiten Google Analytics ohne Cookies einzusetzen wie eTags oder Authentication Cache.
Allerdings gibt es dazu keine öffentlichen Tests bis dato. Wir freuen uns über Hinweise.
Wie man sieht, kann man auch Google Analytics mit etwas Mühe und Know-how sinnvoll ohne Cookies und ohne Personenbezug einsetzen. Wer also auf die nervigen und kaum ordentlich anbietbare Einwilligungsbanner verzichten und eine aussagekräftige Datenbasis für die eigene Webseitenstatistik möchte, dem bietet sich damit eine aus unserer Sicht mögliche Alternative (ohne rechtliche Gewähr) Google Analytics auch ohne Cookies einzusetzen.
Im Blog schreibt Robert Hartl über CMS, SEO & Webdesign. Kontakt →
Trackback-URL: https://www.netprofit.de/blog/google-analytics-ohne-cookies-einsetzen.html/trackback
Kommentare werden erst nach manueller Freischaltung sichtbar. Die übermittelten Daten werden entsprechend der Datenschutzerklärung zur Verarbeitung des Kommentars gespeichert.
Nibelungenplatz 2
D-94032 Passau
Tel.: +49 (0)851/ 966 31-31
Fax: +49 (0)851/ 966 31-41
E-Mail: kontakt@netprofit.de
