Start
Blog
Google Analytics ohne Cookies, Einwilligung einsetzen

Webseitenstatistik Google Analytics ohne Cookies, Einwilligung einsetzen

Google Analytics nutzt standardmäßig Cookies und personenbezogene Daten. Seit der DSGVO und spätestens dem EuGH und künftig des BGHs sind technisch nicht notwendige Cookies per se sowie der Transfer personenbezogener Daten in unsichere Drittstaaten wie die USA nur mit vorheriger freiwilliger, aktiver Zustimmung erlaubt.

Eine Webseitenstatistik nur nach Zustimmung macht statistisch wenig Sinn. 😵‍💫
🤔 Kann man Google Analytics also auch ohne Cookies, ohne Einwilligung datenschutzkonform sinnvoll einsetzen und damit der aktuellen Consent-Hürde hierfür entkommen?

👉🏼 Spoiler: ja.

Übersicht

Ergebnis Komplette Webseitenstatistik

Alle Nutzer (+65 %) mit allen Seitenaufrufen (+90 %) sauber in der Webseitenstatistik.

Was ist also zu tun, wo liegen die datenschutzrechtlichen Hürden und wie nimmt man diese?

Zum E-Book: Google Analytics ohne Einwilligung

Problem 1 Technisch nicht notwendige Cookies

Spätestens seit einigen EuGH-Äußerungen zu Cookies und strengen Ansichten der deutschen Datenschutzkonferenz (DSK) sind Tracking-Cookies demnach nur nach vorheriger aktiver Information und Zustimmung (= Einwilligung) erlaubt, was man mit einem so genannten umfangreichen Consent-Banner oder Cookie-Consent-Banner erreichen könnte.
Nervig. Dazu gibt es bis Zustimmung keine Statistikdaten.

Google Analytics: datenschutzrechtliche Probleme der Datenverarbeitung (klassisch)

Problem 2 Personenbezogene Daten in unsichere Drittstaaten

Wenn wir uns obige Grafik anschauen, betrifft dieses Thema die beiden grau hinterlegten Bereiche.
In beiden Fällen wir die IP-Adresse des Webseitenbesuchers (= personenbezogenes Datum) an Google Analytics (unsicherer Drittstaat) übermittelt – durch die Webseite bzw. dem Webseitenverantwortlichen.
Die IP-Anonymisierungsfunktion greift technisch hier erst einen Schritt später.

Google Analytics Datenschutz (klassisch)

Personenbezogene Daten in unsichere Drittstaaten wie die USA sind nur nach vorheriger, informierter Zustimmung erlaubt.
Google Analytics muss aus rechtlichen Gründen im Zweifel den amerikanischen Strafverfolgungsbehörden Zugriff gewähren. Damit gilt Google Analytics als so genannter unsicherer Drittstaat, weil kein der EU vergleichbares Datenschutzniveau gewährleistet werden kann – ganz egal, in welchem Land Google Analytics die Daten speichert.

Folge Zustimmungs-Banner („Consent-Banner“)

Wer auf Nummer sicher gehen möchte, wird das vernünftig (mobil?!) mit einem Cookie-Consent-Banner nicht hinbekommen. Denn darin müssen alle Cookies für Laien verständlich erklärt, einzeln mit Laufzeit, konkreten Nutzungszwecken und Adressaten inkl. vollständiger Adresse usw. angeben sein und die Ablehnung muss eigentlich genauso einfach wie eine Zustimmung sein, wenn nicht einfacher (privacy by default).
Uff.

So oder so, zunehmend mehr Nutzer stimmen bei den für alle Besucher nervigen Consent-Bannern nicht zu.

Lösung Google Analytics ohne Cookies & ohne personenbezogene Daten!

Wer daher Google Analytics weiter nutzen möchte, möglichst alle Website-besucher in der Webseiten-Statistik haben möchte, muss „nur“ auf Cookies und personenbezogene Daten verzichten. Dann kann man Google Analytics datenschutzkonform ohne Einwilligung einsetzen.

Google Analytics bietet so viele Vorteile und eine Google Analytics Alternative müsste auch erst evaluiert, integriert werden.

Also eine naheliegende Lösung, Google Analytics weiter zu nutzen. Nur besser, datenschutzfreundlicher.

Google Analytics ohne Cookies & ohne personenbezogene Daten

Google Analytics: datenschutzrechtliche Lösungen der Datenverarbeitung (serverseitig)

1. Schritt Google Analytics ohne Cookies einsetzen

storage:none

Google Analytics (Universal Analytics mit analytics.js) bietet hier seit einiger Zeit die Option auf Cookies zu verzichten mit storage:none, vgl. https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies).
Um dennoch Messwerte zu erhalten, muss man eine ClientId setzen.
Zum Beispiel eine eigene:

Eigene ClientId

Man kann auch selbst eine eigene ClientId vergeben.
Kein Cookie, kein local storage.

Wer „nur“ wissen will, welche und wie viel Seitenaufrufe derselbe Nutzer macht und damit Absprungrate, Aufenthaltsdauer und ggf. wiederkehrende Besucher zumindest einigermaßen statistisch erfassen möchte, muss den gleichen Besucher zumindest halbwegs zuordnen können.
Das bedeutet, man muss selbst eine sinnvolle, anonyme und dennoch zureichend konkrete ClientId setzen, um aussagekräftige Statistikdaten zu erreichen.

Dabei wird es spätestens seit der DSGVO schwierig, denn diese definiert personenbezogen extrem weit (und vage):

Nach Art. 4 Nr. 1 DSGVO sind auch Kennungen in Cookies personenbezogen, wenn daraus eine gewisse Personenbezogenheit zugeordnet werden kann. Dazu reicht eine physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person (= Mensch).
Somit können auch an sich pseudonymisierte Cookies unter die DSGVO fallen, auch wenn keine IP-Adressen verarbeitet werden.

Da Google (Analytics) die großen Datenmengen zusammenführen und kombinieren könnte, wäre hier nach mancher Ansicht ein Personenbezug im Sinne der DSGVO unter Umständen erreichbar.
Also muss die genutzte ClientId dies verhindern oder zumindest extremst erschweren – wie mit Anonymisierung plus Verschlüsselung mittels gesalzenem, starkem Hash-Verfahren.

Um auch die Verfolgbarkeit über Webseiten hinweg zu unterbinden, muss dieser Wert sich bei gleichem Nutzer, aber anderer Domain ändern. Letztlich muss man sich hier die (An)Forderungen der Datenschützer anschauen und dann technisch testen, was wie funktioniert.

2. Schritt Google Analytics ohne personenbezogene Daten (serverseitig) einsetzen

Die Lösung ist auf dem Papier recht einfach. Es darf vom Webseiten-Besucher keine Verbindung zu Google (Analytics) geben. Dann kann man personenbezogene Daten wie die IP-Adresse der Webseitenbesucher von Google fernhalten.

Man muss nun serverseitig die Statistikdaten sammeln und serverseitig an Google Analytics übermitteln. Natürlich alles ohne Cookies, am besten ohne Speicherung und vor allem ohne personenbezogene Daten der Webseitenbesucher.
Das klappt mit Google Universal Analytics (GA3/ UA) sowie Google Analytics 4 (GA4) - auch parallel.

Das geht technisch relativ einfach, bis alles technisch und datenschutzrechtlich passt und die Statistik in Google Analytics auch noch, ist nicht soo trivial.
Für alle, die keine Nerds und Datenschutzexperten sind, haben wir daher eine einfache Lösung gebaut: www.analytics-ohne-einwilligung.de

FAQ Häufige Fragen

Ist das datenschutzkonform?

Kurz: ja.
Lang: auch ja. Jetzt im Ernst ??. Wir haben unsere Lösung technisch und rechtlich von mehreren Experten prüfen lassen. Es werden keine personenbezogenen Daten der Webseitenbesucher an Google übermittelt, keine Cookies oder vergleichbare Techniken wie Local Storage/ Webstorage, Fingerprinting genutzt.
Wer dann die Einstellungen in Google Analytics, den Opt-out-Link und die Datenschutzerklärung noch wie bisher berücksichtigt, sollte da ganz datenschutzfreundlich unterwegs sein.
Natürlich hilft das nichts, wenn Ihr Server in einem so genannte unsicheren Drittstaat steht, was außerhalb der EU schon mal vorkommen kann.

Im Grunde funktionieren alternative Statistik-Lösungen, die für sich Datenschutz ohne Consent prokalmieren ziemlich genauso.

Nachteile?

Keine Vorteile ohne Nachteile. Die normalen Statistikdaten funktionieren wie gewohnt. Es fehlen jedoch personenbezogene Daten wie Alter, Geschlecht. Auch eine Verfolgbarkeit wie für Remarketing greift natürlich dann nicht mehr. Auch ist die Wiedererkennbarkeit eingeschränkt, vor allem zwischen längeren Zeiträumen.
Dafür hat man praktisch wieder alle Nutzer in der belastbaren Webseitenstatistik und kann die Vorteile von Google Analytics ausspielen.

Wer jetzt an Google Ads und Erfolgsmessung („Conversion“) denkt, das geht auch so ohne Cookies ganz gut.
Man kann die Analytics-Ziele auch in Google Ads importieren und als Conversions zählen. Akzeptiert man, dass die Attribution dann durch Analytics erfolgt, kann man damit auch Google Ads mit Conversion-Tracking ohne Cookies, Einwilligung einsetzen.

Was ist mit dem Einwilligungsmodus für Google Analytics 4?

Aktuell bietet Google eine neue Funktion Einwilligungsmodus („Consent Mode“, https://support.google.com/analytics/answer/9976101?hl=de). ~~Diese ist noch im Beta-Stadium.~~
Mit ad_storage='denied' und analytics_storage='denied' werden keine Cookies geschrieben und keine vorhandenen Cookies gelesen/ genutzt. Also soweit eine vergleichbare Situation.

Aber es werden nur „Pings ohne Cookies werden zu grundlegenden Mess- und Modellzwecken an Google Analytics gesendet“.
Kaum tragfähig für eine vernünftige Webseiten-Statistik. Mehr zu Google Analytics im Einwilligungsmodus.

Wie geht das? Anleitung?

Es würde jeden Rahmen sprengen, alle Code-Teile mit Entwicklungsschritten zu erklären. Die Entwicklungsarbeiten dauerten Monate und erforderten mehrere technische wie datenschutzrechtliche Tests und teure Beratungen.

Wer diese Lösung interessant findet, dem wollten wir sie einfach, schnell und günstig zugänglich machen – individuell passend für die jeweiligen Websites.

Daher haben wir einen Generator gemacht, der die fertig einbaubaren Codes individuell passend inkl. Schritt-für-Schritt-Anleitung zum Einbau:
Google Analytics datenschutzkonform ohne Einwilligung – Code & Anleitung

Fazit

Man kann Google Analytics mit etwas Mühe und Know-how ohne Cookies und ohne Personenbezug und damit ohne Einwilligung datenschutzfreundlich einsetzen.
Wer also auf die nervigen und kaum ordentlich anbietbare Einwilligungsbanner verzichten und dennoch eine aussagekräftige Datenbasis für die eigene Webseitenstatistik möchte, dem bietet sich damit eine aus unserer Sicht mögliche Alternative Google Analytics auch ohne Einwilligung datenschutzkonform einzusetzen.

Ausblick

Google forciert mittlerweile die Thematik selbst, spielt Anzeigen weniger personlisiert aus und will über den firmeneigenen Browser Chrome demnächst 3rd-Party-Cookies standardmäßig blockieren („Privacy Sandbox“).

Dazu kommt in Deutschland ~~bald~~ das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), das alle (technisch nicht notwendigen) Cookies verbietet. Parallel dazu kommt auch wieder etwas Bewegung in die ePrivacy-Verordnung. Betonung auf „etwas“.

Quellen, Links

Autor

Robert Hartl

Robert Hartl gehört mit mehr als 20 Jahren Online-Marketing-Erfahrung zu den Vorreitern der Branche in Deutschland. Er hat sich auf strategische Fragen, ganzheitliche Analysen und den Know-how-Transfer mittels Beratung, Workshos, Seminaren und Vorträgen spezialisiert.

Kommentare zu Google Analytics ohne Cookies, Einwilligung einsetzen

1. Kommentar
Google Analytics datenschutzkonform einsetzen nach DSGVO – Daten | 04.10.2019

[…] hat. Auch anonymisiert darf kein Cookie für Tracking erfolgen. Bleibt neben Einwilligung noch die Nutzung von Google Analytics ohne Cookie. Wieweit hier Google auf diesen EU-weiten Druck reagiert ist derzeit noch […]

2. Kommentar
Joern Thieme | 12.11.2019

Hallo, ich habe ihren Artikel mit großem Interesse gelesen und den Code unter: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies getestet. Leider zeigt mein Analytics keine Besucher Daten an. Können Sie mir ein komplettes Beispiel mit IP-Hash zu Verfügung stellen? Vielen Dank, Joern T.

3. Kommentar
Robert Hartl | 22.11.2019

Hallo Joern, danke für das Interesse. Wir haben wochenlang Optionen und Messungen evaluiert. Daher bitte ich um Verständnis, dass wir hier nicht eine Schritt-für-Schritt-Anleitung mit kompletten Code-Beispielen veröffentlichen, aber wir haben die Lösung hier eingebaut. Ein Blick in den Quellcode könnte daher helfen. Der Beitrag soll in erster Linie "nur" unseren Ansatz vorstellen und weitere Lösungen animieren und teilen. Auch arbeiten wir noch an einer Lösung für den Analytics-Code, der über externe Plugins wie bei Shops mit E-Commerce-Daten oder den Google Tag Manager eingesetzt wird.

4. Kommentar
Hansjörg Leichsenring | 07.06.2020

Die Vermeidung von Cookies bei gleichzeitigem Tracking scheint nach Meinung anderer Juristen nicht von einer Einwilligungspflicht durch den Nutzer zu befreien, insofern nutzt doch eine solche Einbdinung letztlich nichts oder wie beurteilen Sie das?

5. Kommentar
Viktor | 11.08.2020

Eine sehr schöne Lösung, die wahrscheinlich sehr populär werden wird! Allerdings wird die custom clientID derzeit anscheinend nicht von Google verwertet. Sie erscheint einfach nicht im Bericht.

6. Kommentar
Robert Hartl | 12.08.2020

Hallo Viktor, die Hash-ClientIDs findest Du unter Zielgruppe, Nutzer-Explorer. Wenn da nichts ist, liegt irgendwo ein Fehler.

Tracking prüfen (https://support.google.com/analytics/answer/1008083?hl=de).
clientid manuell aufrufen, ggf. Aufrufschutz via .htaccess raus.
Webseitenfehler in der Konsole prüfen.

Wir hatten bis dato keinerlei Probleme.

7. Kommentar
Ben | 28.08.2020

Die ClientId ist tatsächlich keine Dimension in Berichten, sie muss zu einer benutzerdefinierten Dimension gesendet werden, wenn man diese in Berichten verwenden will. Anschließend lassen sich damit zu Ereignissen in GA die Ids ablesen und wiederum genauer über den Nutzerexplorer Schritte nachvollziehen. In GTM lässt sich dazu eine JS-Variable erzeugen, wobei clientIdIndex mit dem eigenen Index in GA ersetzt werden muss: function() { var clientIdIndex = 1; return function(model) { model.set('dimension' + clientIdIndex, model.get('clientId')); }; } Dem GA-Seitenaufruf übergibt man nun noch das benutzerdefinierte Feld mit dem Namen "customTask" (ohne ") und als Wert die JS-Variable. Das sollte es gewesen sein.

8. Kommentar
J. Kaimer | 19.11.2020

Hallo, leider setzt Analytics 4 (zumindest seit November 2020) trotz "storage:none" zwei Cookies. Ohne Cookieeinwilligung also nicht nutzbar. window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'G-XXXX',{ 'storage': 'none'});

9. Kommentar
Robert Hartl | 09.12.2020

Von Google Analytics 4 steht da auch nichts. Google Analytics 4 ist komplett neu und anders. Wenn, dann kann man sich bei Google Analytics 4 über den Einwilligungsmodus (noch beta) Gedanken machen. Der ist technisch allerdings auch komplett anders. Die Datenvergleiche laufen gerade im Test bei uns.

Weiterlesen zurück zu Übersicht

Suche

E-Mail

Twitter

Facebook

Xing