Google Analytics nutzt standardmäßig Cookies. Seit der DSGVO und spätestens dem EuGH und künftig des BGHs sind nicht notwendige Cookies wohl per se nur mit vorheriger freiwilliger, aktiver Zustimmung erlaubt. Eine Webseitenstatistik nur nach Zustimmung macht statistisch wenig Sinn. Kann man Google Analytics also auch ohne Cookies sinnvoll einsetzen und damit der aktuellen Cookie-Einwilligung hierfür entkommen? Ja. Wir haben diverse Optionen getestet, die ich hier vorstellen möchte.
Spätestens seit einigen EuGH-Äußerungen zu Cookies und strengen Ansichten der deutschen Datenschutzkonferenz (DSK) sind Tracking-Cookies demnach (!) nur nach vorheriger aktiver Zustimmung (= Einwilligung) erlaubt, was man mit einem so genannten umfangreichen Consent-Banner oder Cookie-Consent-Banner erreichen könnte.
Nervig. Viele lehnen ab.
Unklar ist, was konkret mit „Tracking“ gemeint ist. Denn Tracking bedeutet übersetzt Verfolgung.
Wer also mittels Google Analytics ohne Nutzerverfolgung wie Remarketing einsetzt und nur als reine Webseitenstatistik dürfte aus meiner Sicht kein „Tracking“ im engeren Sinne betreiben.
Wer auf Nummer sicher gehen möchte, wird das vernünftig (mobil?!) mit einem Cookie-Consent-Banner nicht hinbekommen. Denn darin müssen alle Cookies für Laien verständlich erklärt, einzeln mit Laufzeit, konkreten Nutzungszwecken und Adressaten inkl. vollständiger Adresse usw. angeben sein und die Ablehnung muss eigentlich genauso einfach wie eine Zustimmung sein, wenn nicht einfacher (Stichwort privacy by default).
Uff.
Wer also Google Analytics nutzen und der Cookie-Diskussion entkommen möchte, der sollte beim Einsatz von Google Analytcis auf Cookies verzichten. Ja, das geht.
Google Analytics hatte schon immer einen schweren Stand bei den Datenschützern. Mit strikten Einstellungen und anonymisierter IP-Adresse und Vertrag zur Auftragsdatenverarbeitung und Widerspruchsrecht und umfangreicher, angepasste Datenschutzerklärung waren die nach wie vor nicht unumstrittenen Hürden bislang schon zahlreich.
Nun auch noch Cookies.
Ohne Cookies kein Cookie-Einwilligungs-Banner.
Google Analytics bietet hier seit einiger Zeit die Option auf Cookies zu verzichten mit storage:none, vgl. https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies).
Um dennoch Messwerte zu erhalten, muss man eine andere ClientId setzen.
Zum Beispiel eine eigene:
Man kann auch selbst eine eigene ClientId vergeben.
Kein Cookie, kein local storage.
Wer „nur“ wissen will, welche und wie viel Seitenaufrufe derselbe Nutzer macht und damit Absprungrate, Aufenthaltsdauer und ggf. wiederkehrende Besucher zumindest einigermaßen statistisch erfassen möchte, muss den gleichen Besucher zumindest halbwegs zuordnen können.
Das bedeutet, man muss selbst eine sinnvolle, anonyme und dennoch zureichend konkrete ClientId setzen, um aussagekräftige Statistikdaten zu erreichen.
Dabei wird es spätestens seit der DSGVO schwierig, denn diese definiert personenbezogen extrem weit (und vage):
Nach Art. 4 Nr. 1 DSGVO sind auch Kennungen in Cookies personenbezogen, wenn daraus eine gewisse Personenbezogenheit zugeordnet werden kann. Dazu reicht eine physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person (= Mensch).
Somit können auch an sich pseudonymisierte Cookies unter die DSGVO fallen, auch wenn keine IP-Adressen verarbeitet werden.
Da Google (Analytics) die großen Datenmengen zusammenführen und kombinieren könnte, wäre hier nach mancher Ansicht ein Personenbezug im Sinne der DSGVO unter Umständen erreichbar.
Also muss die genutzte ClientId dies verhindern oder zumindest extremst erschweren.
Um einen Nutzer schnell und einfach und dennoch anonymisiert wieder zu erkennen, bietet sich die IP-Adresse an, denn diese ist aktuell je Sitzung noch relativ eindeutig.
Wenn man die IP-Adressen vor dem Setzen als ClientId gesalzen verschlüsselt und damit anonymisiert, ist auch kein Personenbezug mehr herstellbar, da die eigentliche IP-Adresse nicht zurück hergestellt werden kann (Einwegfunktion).
Wenn man dieses „Salz“ noch domainspezifisch ändert, ist auch keine Kombination oder Wiedererkennbarkeit über die Webseite hinaus möglich, selbst wenn beide Webseiten das gleiche Verfahren für die Generierung der ClientId verwenden.
Eigene ClientId in Google Analytics (Hervorhebung)
Der Hash-Wert und damit die ClientId ist damit anonym, aber ausreichend konkret für brauchbare Statistik-Daten.
Damit sollten wir eine gerade noch ausreichende Datengrundlage haben und dennoch soweit datenschutzkonform agieren, dass jedenfalls keine Cookie-Einwilligung hierfür erforderlich ist (ohne Gewähr).
Google Analytics ohne Cookies mit IP-Hash
Wie man sieht, klappt dies relativ gut, sofern man auf Caching und schnelle Laufzeiten achtet. Lediglich die Sitzungsdauer weicht etwas ab, was aber auch an der Laufzeit bis zur Initialisierung liegen kann, denn via JavaScript selbst kommt man nicht so einfach an die IP-Adresse.
Hinweis: Da hier Google Analytics wegen individueller Client-Id keine Daten aus anderen Sitzungen und Tools zusammenführen kann, gibt es keine demografischen Merkmale oder Nutzerinteressen in Google Analytics. Auch ist Remarketing nicht möglich.
Das entspricht aber durchaus dem Sinn und Zweck, denn wir wollen ja kein „Tracking“ im weiteren Sinne.
Es werden somit keine Cookies von Google Analytics wie _ga, _gid, _gat gesetzt (vgl. https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage).
Damit überhaupt Messdaten in Analytics ankommen, übergibt Google Analytics diese in einem Session-Pixel zur Laufzeit. Das ist ein normaler Übergabeprozess und kein Cookie. Es wird streng betrachtet nichts auf dem Gerät des Nutzers gespeichert und auch nichts Gespeichertes ausgelesen. Aufgrund der individuellen Client-Id ist das Erfassen über Geräte und Marketingkanäle hinweg nicht möglich.
Auch Matomo/ Piwik, eTracker und andere Webanalyse-Dienste übergeben so die Statistikdaten.
Webseitenstatistik ohne Cookies erfordert keine Einwilligung, vgl. https://www.etracker.com/blog/cookie-less-etracking/
Man nutzt damit aus unserer Sicht kein Cookie und übermittelt keine personenbezogenen Daten und verhindert eine Zusammenführung mit anderen Nutzerdaten.
Es gibt noch weitere Möglichkeiten Google Analytics ohne Cookies einzusetzen wie eTags oder Authentication Cache.
Allerdings gibt es dazu keine öffentlichen Tests bis dato. Wir freuen uns über Hinweise.
Man kann auch mittels JavaScript zur Laufzeit einen so genannten Fingerprint aus Nutzereinstellungen wie Bildschirmgröße, Auflösung, Browser usw. generieren. Dieser soll relativ konkret sein, so dass identische Besucher mit gleichen Geräten richtig zugeordnet werden können. Dabei geht es aber schon wieder Richtung personenbezogen. Ansonsten zu ungenau (abgesehen von der Ladezeit):
Google Analytics ohne Cookie mit Fingerprint als ClientID (Abbildung Tagesstatistik)
Man könnte anstatt der Cookies die Google Analytics-Daten auch im so genannten Local Storage/ Webstorage des Nutzerbrowsers speichern.
Laut https://caniuse.com/#feat=namevalue-storage wird dies von praktisch allen aktuellen Browsern unterstützt.
Allerdings umgeht man hier nicht die Problematik der Cookies, sondern nur deren Speicherform; der Personenbezug usw. bleibt. Daher ist es unwahrscheinlich dass diese Lösung einer vertieften datenschutzrechtlichen Prüfung standhält, wenngleich man die aktuelle Cookie-Thematik damit umgeht.
Google Analytics ohne Cookie – mit local storage als ClientID (Abbildung Tagesstatistik)
Nur weil man mangels Cookies dafür keine Einwilligung benötigt, ist das nicht gleichbedeutend mit „datenschutzkonform“. Denn das ist mittlerweile eine hohe Hürde und vor allem die Datenschutzbehörden haben Google (Analytics) hier kritisch im Fokus.
Derzeit wird argumentiert, dass die Nutzungsbedingungen bei Google Analytics so/ zu weit wären, so dass Google die Nutzerdaten für eigene Zwecke verwenden kann.
Das halte ich mit obiger Client-Id für nicht praktisch möglich, denn die Daten an sich sind unspezifisch und mangels Kombinierbarkeit für die Wiedererkennbarkeit einer natürlichen Person über die Webseite hinaus nicht geeignet – geschweige denn für eine Identifierzung. Ob das noch für ein überwiegendes Interesse reicht, darüber kann man natürlich streiten.
Man kann Google Analytics mit etwas Mühe und Know-how ohne Cookies und ohne Personenbezug einsetzen. Wer will, darf gtag.js, ga.js bzw. analytics.js auch vom eigenen Server anstatt von Google laden (https://support.google.com/analytics/answer/1032389?hl=de). Wer also auf die nervigen und kaum ordentlich anbietbare Einwilligungsbanner verzichten und dennoch eine aussagekräftige Datenbasis für die eigene Webseitenstatistik möchte, dem bietet sich damit eine aus unserer Sicht mögliche Alternative (ohne rechtliche Gewähr) Google Analytics auch ohne Cookies einzusetzen.
Leider wird dies in der EU über die Kriminalisierung der Webseitenbetreiber ausgefochten, anstatt Google direkt anzugehen.
Interessant wird, was Ende Mai 2020 der BGH entscheidet, da die rechtlich zugrunde liegenden Fälle alles Fälle sind, wo man es mit Cookies und Datenweitergabe an zig andere Unternehmen massiv übertrieben hat. Das hatte schon lange nichts mehr mit reiner Webseitenstatistik zu tun und war fieses Tracking im eigentlichen Sinn. Doch das wollen wir ja gar nicht. Aber ob der BGH hier so spezifisch entscheidet? Ich fürchte nicht.
Es gibt hier bewusst keine Copy-Paste-Anleitung. Das ist nur eine Veröffentlichung unserer Tests mit der Hoffnung auf Diskussion. Aber wir haben hier den Analytics-Code nicht verschleiert und die ClientId ist temporär auch von außerhalb aufrufbar – für besonders Neugierige.
Im Blog schreibt Robert Hartl über CMS, SEO & Webdesign. Kontakt →
Trackback-URL: https://www.netprofit.de/blog/google-analytics-ohne-cookies-einsetzen.html/trackback
Hallo Joern,
danke für das Interesse. Wir haben wochenlang Optionen und Messungen evaluiert. Daher bitte ich um Verständnis, dass wir hier nicht eine Schritt-für-Schritt-Anleitung mit kompletten Code-Beispielen veröffentlichen, aber wir haben die Lösung hier eingebaut. Ein Blick in den Quellcode könnte daher helfen. Der Beitrag soll in erster Linie „nur“ unseren Ansatz vorstellen und weitere Lösungen animieren und teilen.
Auch arbeiten wir noch an einer Lösung für den Analytics-Code, der über externe Plugins wie bei Shops mit E-Commerce-Daten oder den Google Tag Manager eingesetzt wird.
Robert Hartl
Kommentar 2
22. November 2019 um 10:06 Uhr
Kommentare werden erst nach manueller Freischaltung sichtbar. Die übermittelten Daten werden entsprechend der Datenschutzerklärung zur Verarbeitung des Kommentars gespeichert.
Nibelungenplatz 2
D-94032 Passau
Tel.: +49 (0)851/ 966 31-31
Fax: +49 (0)851/ 966 31-41
E-Mail: kontakt@netprofit.de
Hallo,
ich habe ihren Artikel mit großem Interesse gelesen und den Code unter:
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies
getestet. Leider zeigt mein Analytics keine Besucher Daten an.
Können Sie mir ein komplettes Beispiel mit IP-Hash zu Verfügung stellen?
Vielen Dank,
Joern T.
Kommentar 1
12. November 2019 um 21:58 Uhr