Ohne Webseiten-Statistik fehlt häufig die Grundlage für gezielte Verbesserungen. Daher setzen die meisten Webseitenbetreiber für die Webanalyse auf Google Analytics. Doch bei üblichem Einbau setzt Google Analytics Cookies. Spätestens seit der BGH-Entscheidung zu Planet49 verdichtet sich die Ansicht, dass technisch nicht notwendige Cookies nur nach vorheriger Zustimmung gesetzt werden dürfen. Die meisten Anbieter behelfen sich mit vorgeschalteten Zustimmungs-Bannern. Das nervt Besucher wie Webseitenbetreiber, denn mit jeder fehlenden Zustimmung schwindet die Datenbasis. Dabei kann man Google Analytics auch ohne Cookies einsetzen. So könnte man auf diese Zustimmung verzichten und auf eine aussagekräftigere Datenbasis bauen. Selbst Conversion-Tracking mit Google Ads funktioniert darüber ohne Cookies.
Google Analytics ohne Cookies nutzen
Google Analytics
Google Analytics ist ein weitverbreiteter, grundsätzlich kostenfreier Webanalyse-Dienst von Google. Nach Anmeldung kann man für die gewünschte Webseite eine sogenannte Tracking-ID erstellen. Das ist eine eindeutige Kennung nach dem Muster UA-12345678-1. Google Analytics generiert damit einen Code, den man in die Webseite integriert. Anschließend wird das Besucherverhalten auf dieser Webseite erfasst. Dazu rechnen beispielsweise die Herkunft der Besucher, genutzte Geräte und Browser, aufgerufene Seiten oder Verweildauer. Bei jedem Seitenaufruf werden diese erhobenen Daten des Besuchers an Google Analytics übertragen. Dort angemeldet, kann man diese gesammelten und optisch aufbereiteten Daten für Analysen einsehen und umfangreich auswerten.
Tipp
Cookies: Cookies sind kleine Textdateien, welche im Browser auf dem Gerät des Besuchers gespeichert werden. Deren Informationen können von der aufgerufenen Webseite wieder gelesen und verarbeitet werden. Darüber kann man beispielsweise individuelle Log-in-Berechtigungen oder Warenkörbe speichern.
Cookies bei Google Analytics
Google Analytics nutzt für die Erfassung des Besucherverhaltens Cookies. Standardmäßig setzt Google Analytics nach Einbau des generierten Codes bei Seitenaufruf hierfür automatisch die Cookies _ga, _gid, _gat bzw. _dc_gtm_.
Die Cookies _ga und _gid dienen dazu, dem jeweiligen Besucher eine eindeutige ID („Client-ID“) zuzuweisen. Darüber können einzelne Nutzer „unterschieden“ werden (vgl. einfach.st/gadev54). Damit kann Google auch Besucher wiedererkennen. Ist der Besucher zudem bei einem Google-Dienst wie Gmail, YouTube, Chrome etc. angemeldet, kann Google Analytics weitere Nutzerdaten wie Geschlecht, Alter usw. aggregieren. So entstehen Benutzerprofile mit umfangreichen Daten.
Cookies und Einwilligung
Spätestens seit Einführung der Datenschutzgrundverordnung drängt sich die Frage auf, wie weit dies eigentlich erlaubt ist. Eine abschließende Beurteilung ist derzeit schwierig, da am 28. Mai 2020 ein BGH-Urteil zum Fall Planet49 ergangen ist, das möglicherweise die rechtliche Bewertung ändern könnte. Das Gericht stellt in der bislang veröffentlichten Pressemitteilung fest, dass für technisch nicht notwendige Cookies, die zur „Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung“ dienen, eine Einwilligung des Nutzers erforderlich ist (http://einfach.st/bgh52). Daher wird man auf vielen Webseiten mit einem vorgeschalteten Banner konfrontiert, welches mehr oder weniger offensiv die Zustimmung für die gewünschte Cookie-Nutzung fordert. Stimmt ein Nutzer nicht zu, dürfen diese technisch nicht notwendigen Cookies nicht gesetzt werden.
Unabhängig von der Diskussion, ob eine reine Reichweitenmessung noch technisch notwendig sein kann, werden die obigen Cookies von Google Analytics meist dem Bereich Marketing zugeordnet. Im Ergebnis wäre Google Analytics demnach einwilligungspflichtig. Fehlt eine diesbezügliche vorherige Zustimmung, fehlen die Statistikdaten dieser Besucher. Je unvollständiger die Datenbasis, desto weniger aussagekräftig wird die Webseitenstatistik. Daher sind viele Webseitenbetreiber bestrebt, über Gestaltung und Formulierung der Cookie-Banner die häufig geringen Zustimmungsraten zu verbessern. Unabhängig von der genauen Einordnung der Datenerfassung von Google Analytics bleibt festzuhalten, dass eine passende Verwendung gänzlich ohne Cookies dieses Problem entschärfen dürfte.
Google Analytics ohne Cookies verwenden
Setzt man Google Analytics ohne Cookies ein, könnte hierfür das Zustimmungserfordernis und damit auch das Cookie-Banner entfallen. Solange ein Nutzer nicht wie bisher widerspricht, erhält man dessen Statistik-Daten für die Analyse. Das Abschalten der Cookies ist relativ einfach. Google Analytics bietet hierfür sogar eine eigene Funktion an: storage:none bzw. client_storage:none (http://einfach.st/gadev55). Ohne Cookies fehlt jedoch die benötigte Client-ID zur Nutzerunterscheidung, was die Aussagekraft der Besucherstatistik minimieren würde. Daher muss man die Client-ID selbst setzen, um brauchbare Statistikdaten übergeben zu können. Dabei weist man jedem einzelnen Besucher bei Seitenaufruf eine Client-ID zu, welche man an Google Analytics statt der Cookie-generierten Client-ID übergibt. Dafür gibt es zahlreiche Möglichkeiten, jedoch kaum konkrete Informationen und Beispiele.
Tipp: Eine sinnvolle Client-ID sollte verschiedene Nutzer möglichst unterscheiden können, ohne personenbezogene Daten auskommen, schnell laden und Nutzerprofile in Google Analytics verhindern. Viele naheliegende Möglichkeiten wie Fingerprinting oder LocalStorage scheiden aus Datenschutzgründen schnell aus.
Info
Fingerprinting: Beim sog. „Fingerprinting“ werden möglichst alle verfügbaren Informationen verwendet, die zusammen ein eindeutiges Profil eines Nutzers ergeben. Hier könnte man auf verwendete Browser, Sprache, Betriebssystem, Bildschirmauflösung usw. zurückgreifen. LocalStorage: Das sog. „LocalStorage“ bezeichnet einen Speicherort im Webbrowser des Nutzers. Dort kann eine Webseite Daten ähnlich einem Cookie speichern und wieder auslesen.
Ein möglicher bewährter Ansatz besteht darin, bei Seitenaufruf aus der anonymisierten IP-Adresse des Besuchers (Beispiel: 125.125.125.0 mit anonymisiertem letztem Oktett) und der besuchten Webseitendomain (Beispiel: www.beispiel.de) mit einem individuellen sogenannten Salz (Beispiel: 123456) einen individuellen, aber anonymen Hashwert über ein besseres Verschlüsselungsverfahren wie SHA-256 zu generieren. Dieser Hashwert kann dann im Ergebnis so aussehen: 49f63b4a66b68965182(…)93557b48b325cbc4df (gekürzt).
Das Besucherverhalten wird dann mit diesem Hashwert als Client-ID erfasst und an Google Analytics übertragen. Das erfordert einen angepassten Analytics-Code sowie die individuelle Datei zur Generierung der benötigten Client-ID. Wem das technisch zu anspruchsvoll erscheint, für den gibt es unter www.analytics-ohne-cookies.de einen einfachen Generator mit Einbau-Anleitung.
Ergebnis, Einschränkungen
So kann man mit Google Analytics ohne Cookies und damit ohne benötigte Cookie-Zustimmung das Besucherverhalten erfassen und auswerten. Die im obigen Beispiel erfassten Daten sind weitgehend mit den herkömmlichen Daten von Google Analytics vergleichbar und damit hinreichend belastbar.
Es gibt bei dieser Methode auch Einschränkungen, da Google darüber keine Besucher seitenübergreifend wiedererkennen und keine Nutzerprofile bilden kann. Im Ergebnis gibt es folglich in Google Analytics keine Messwerte im Bereich demografischer Merkmale (wie Geschlecht und Alter) oder Nutzerinteressen. Auch ist Remarketing darüber nicht möglich, da Google Analytics die Nutzer nicht mehr „markieren“ und wiedererkennen kann. Für eine „normale“ Webseitenstatistik im Sinne von Reichweitenmessung sind diese Daten jedoch nicht essenziell. Ansonsten funktionieren wichtige Erweiterungen wie E-Commerce-Tracking weiterhin wie gewohnt.
Datenschutzeinschätzung
Nur weil man keine Cookies mehr verwendet und damit die Einwilligung hierzu hinfällig wird, ist dieses Lösung nicht gleich automatisch datenschutzkonform. Datenschutzrechtlich ist die oben vorgestellte Methode eine klare Verbesserung und daher nach Meinung von Rechtsexperten datenschutzkonform. Denn in diesem Fall ist die IP-Adresse als personenbezogenes Datum weder für den Webseitenbetreiber noch für Google aus dem generierten Hashwert wirtschaftlich und praktisch rückauflösbar. Damit wird auch die Erstellung seitenübergreifender Nutzerprofile unterbunden. Zudem werden weder auf dem Gerät des Besuchers noch auf dem Webserver dazu Daten gespeichert.
In den Einstellungen von Google Analytics sollte man folgende Anpassungen prüfen. Dazu melden Sie sich in Google Analytics an, wählen links oben Ihre betreffende Webseite (unter Property und Apps > Datenansichten) aus und klicken dann unten links auf das Zahnrad für Verwalten:
- In der linken Spalte unter Kontoeinstellungen sollte man die Dateifreigabe jedenfalls bei Google-Produkte und -Dienste verweigern.
- In der mittleren Spalte unter Property-Einstellungen sollte man bei Werbefunktionen die Berichte zu demografischen Merkmalen und Interessen auf „Aus“ stellen und weiter unten bei Nutzeranalyse den Messwert Nutzer in den Berichten ebenfalls auf „Aus“ stellen bzw. nicht aktivieren.
- Weiter in der mittleren Spalte unter Property-Einstellungen sollten Sie bei Tracking-Informationen den Unterpunkt Datenerfassung auswählen und dort alles deaktivieren (auf „Aus“ stellen). Auch sollte man in den erweiterten Einstellungen für das Zulassen personalisierter Anzeigen diese nicht zulassen. Dazu die Regionen über das Zahnrad rechts bearbeiten und im neuen Fenster oben rechts „Keine zulassen“ klicken.
Alternativ zu diesen Einstellungen in Google Analytics könnte man den Analytics-Code ergänzen um allow_google_signals, allow_ad_personalization_signals beim allgemeinen Website-Tag gtag.js sowie allowAdFeatures bei Google Universal Analytics (analytics.js).
Das Bayerisches Landesamt für Datenschutzaufsicht sieht für obige Methode „keine Einwände gegen eine Verarbeitung auf Grundlage eines berechtigten Interesses, da keine entgegenstehenden Interessen der Nutzer ersichtlich sind, welche überwiegen könnten“. Auch Rechtsanwalt und Datenschutzbeauftragter Martin Erlewein erachtet die hier vorgestellte Methode für „in jedem Fall empfehlenswert“. Daher spricht viel für eine datenschutzkonforme Lösung. Alternative Webseitenstatistik-Anbieter wie eTracker, Piwik funktionieren sehr ähnlich und reklamieren für sich DSGVO-Konformität. Tipp: Wer noch weiter gehen will, darf das Google-Analytics-Script (gtag.js oder analytics.js) auch vom eigenen Server anstatt von Google laden (vgl. einfach.st/gasup47). Wichtig ist, dass man natürlich weiterhin anonymizeIp aktiviert und einen Widerspruch inklusive Opt-out anbietet.
Google Ads Conversion-Tracking ohne Cookies
Schaltet man Werbeanzeigen über Google Ads, ist eine Erfolgsmessung essenziell. Dazu muss man die anvisierten Ziele („Conversions“) erfassen. Dieses sogenannte Conversion-Tracking funktioniert üblicherweise auch wieder mit Cookies. Das bringt an sich die gleichen Probleme mit sich. Nutzt man jedoch Google Analytics ohne Cookies, kann man auch das Conversion-Tracking in Google Ads ohne Cookies einsetzen. Dazu legt man in Google Analytics die anvisierten Ziele an und verbindet Google Analytics mit Google Ads. Dort kann man dann diese angelegten Ziele importieren und als Conversions werten lassen. Dann setzt Google Ads jedoch immer noch ein _gac-Cookie, um die Interaktionen „zuverlässiger“ zu erfassen (http://einfach.st/gasup48). Das kann man einfach unterbinden, wenn man im Google-Analytics-Code noch die Funktion store_gac auf false setzt. Dann klappt das auch ganz ohne Cookies.
Fazit
Wer eine einfache Webseitenstatistik mit Google Analytics möchte, der kann mit etwas Wissen Google Analytics auch ohne Cookies einsetzen und sich so den Einwilligungsvorbehalt ersparen. Wählt man weiter die dann selbst zu generierende Client-ID clever, spricht zudem viel für eine datenschutzkonforme Lösung. So gelangt man zu einer aussagekräftigen Datenbasis und kann beispielsweise auch Conversion-Tracking mit Google Ads ohne Cookies einsetzen.