Dein wichtigster Touchpoint zur Digitalbranche.
Dein wichtigster Touchpoint zur Digitalbranche.
Marketing Tools
Was leistet Google Analytics im Einwilligungsmodus ohne Cookies

Was leistet Google Analytics im Einwilligungsmodus ohne Cookies

Ein Gastbeitrag von Robert Hartl | 09.04.21

Mit dem sogenannten „Consent Mode“ lässt sich Google Analytics auch ohne Cookies verwenden. Aber wie funktioniert das und welche Daten bleiben dann erhalten?

Google Analytics reagiert mit einem Einwilligungsmodus auf die datenschutzrechtlich erforderliche Zustimmungshürde. Diese im Englischen „Consent Mode“ genannte Erweiterung führt neue Einstellungen ein, mit denen man Google Analytics ohne Cookies einsetzen kann. Was leistet dieser Einwilligungsmodus?

Google Analytics und der Datenschutz

Spätestens seit Einführung der Datenschutzgrundverordnung hat Google Analytics ein Problem. Genau genommen mehrere. Es beginnt bei der Übertragung der IP-Adresse beim Script-Aufruf. Auch die Speicherung einer personenbezogenen ID in einem Cookie und die Datenübertragung in die USA sind problematisch. Kritisiert wird ebenso die Bildung von Nutzer:innenprofilen in Google Analytics.

Google Analytics und Datenschutz, Netprofit
Google Analytics und Datenschutz, © NETPROFIT

Google Analytics‘ Einwilligungsmodus

Google Analytics bietet für gtag.js und Google Analytics 4 einen Einwilligungsmodus an. Dieser befindet sich derzeit noch im Beta-Stadium. Dort gibt es die Option analytics_storage=‘denied‘. Google Analytics liest und schreibt dann keine eigenen Analytics Cookies. Kombiniert mit ad_storage=‘denied‘ liest und schreibt auch Google Ads keine entsprechenden Cookies. Google sendet dann nur so genannte „Pings“ zu grundlegenden Mess- und Modellzwecken an Google Analytics.

Diese Art von Pings werden von allen Seiten einer Website aus gesendet, auf denen Google Analytics implementiert ist, und auch dann, wenn Ereignisse protokolliert werden,

heißt es auf dem Google Analytics Support Blog.

Bindest du darüber hinaus das Analytics Script vom eigenen Server ein (erlaubt) und achtest bei gtag.js auf IP-Anonymisierung (bei Google Analytics 4 aktiv per Default), sieht die Datenschutzthematik deutlich besser aus:

gtag.js bei Google Analytics
gtag.js bei Google Analytics, © NETPROFIT

Durch das Script auf dem eigenen Server entfällt bereits die Datenanfrage an Google. Dank des strengen Einwilligungsmodus werden kein Cookie und keine personenbezogene ID gesetzt. Damit ist die Datenübermittlung in die USA ebenfalls deutlich entschärft. Auch die Nutzer:innenprofilbildung ist zumindest deutlich eingeschränkt, wenngleich man dies von außen nur begrenzt beurteilen kann.

Je nach datenschutzrechtlicher Abwägung könnte man diese Konstellation für zulässig auch ohne Einwilligungsvorbehalt sehen.

Welche Daten der Einwilligungsmodus liefert und welche nicht

Entscheidend ist, welche Statistikdaten diese „Pings“ liefern und welche nicht. Der Einwilligungsmodus soll grundsätzliche Statistikdaten bis zu einer Zustimmung in Statistik-/ Marketing Cookies ermöglichen. Wenn diese Daten für dich ausreichend sind, kannst du den Statistik-Code permanent im Einwilligungsmodus ausliefern. Das erspart dir unter Umständen den Cookie Consent.

Für eine Vergleichbarkeit scheidet Google Analytics 4 aus, da hier keine Sitzungen, sondern Nutzer:innenverhalten und Ereignisse die Datenbasis bilden. Aber das sogenannte Universal Analytics mit gtag.js und analytics.js lässt sich vergleichen:

gtag.ja mit Consent Mode
gtag.js mit Consent Mode (mit einem Klick aufs Bild gelangst du zur größeren Ansicht), © NETPROFIT
analytics.js ohne Cookies
analytics.js ohne Cookies (mit einem Klick aufs Bild gelangst du zur größeren Ansicht), © NETPROFIT

Werte wie Sitzungen und Seiten pro Sitzung scheinen durchaus vergleichbar. Bei den Seitenaufrufen wird die Abweichung schon deutlicher.

Problematisch sind die starken Abweichungen bei Daten zum Nutzer:innenverhalten. Hier kommt der reduzierte Ping an seine Grenzen. Absprungrate und Sitzungsdauer sind zwar wichtig, folglich jedoch nicht belastbar für Auswertungen und Verbesserungen.

Die Statistikdaten dürften im Einwilligungsmodus für die meisten Website-Betreiber:innen daher nicht ausreichen. Als Option bis zu einer Einwilligung in den „vollwertigen“ Code ist es eine Lösung. Um die stark abweichenden Werte nicht zu verwässern, sollte man die User mit Zustimmung separierbar erfassen, notfalls über eine eigene Property.

Alternativen zum Einwilligungsmodus

Es bleibt die Option bis zur Einwilligung User nicht statistisch zu erfassen. Nimmt man Datenschutz ernst, muss die Cookie-Ablehnung optisch und praktisch mindestens genauso einfach wie die Zustimmung sein. Dazu kommen Consent Blocker für Browser. Die Zustimmungsraten sind dann trotz Consent-Optimierung überschaubar.

Viele wissen nicht, dass man auch analytics.js ohne Cookies verwenden kann. Dies geht zwar nicht mit dem Einwilligungsmodus, aber mit dem Tag storage:none: Google Analytics setzt dann kein Cookie mit der User ID („ClientID“). Diese muss man selbst vergeben.

Das bietet sich an, um einen pseudonymisierten, nicht rückauflösbaren Wert zu setzen. Man kann dazu die IP-Adresse anonymisieren, diese mit der Domain und einem extern unbekannten, sogenannten Salz kombinieren und diesen Wert durch ein starkes Verschlüsselungsverfahren hashen. Damit verhindert man auch domainübergreifendes Tracking. Will man noch weiter gehen, kann man User Agent, Browser-Sprache und eine zeitliche Komponente für statische IP-Adressen hinzufügen. Das Bayerische Landesamt für Datenschutz sowie Datenschutzbeauftragter und Rechtsanwalt Martin Erlewein erachten eine solche Lösung als datenschutzkonform.

Weiter gibt es nicht nur Google Analytics. Alternativen wie Open Web Analytics, Matomo/Piwik, Statify, Clicky, etracker Analytics, Mapp Intelligence, Adobe Analytics usw. bieten oft Vorteile im Bereich Datenschutz. Daher kann ein Wechsel trotz Umstellungsaufwand und fehlenden Altdaten Sinn ergeben.

Wie geht es mit Cookies weiter?

Die ePrivacy-Verordnung von 2017 ist trotz jüngster Bemühungen der portugiesischen Ratspräsidentschaft nicht in Sicht. Dennoch kommt seit kurzem Bewegung in die Thematik. Diese kommt auch von Google („Building a more private web“). So will Google mit dem eigenen Chrome Browser bald Third Party Cookies blockieren und mit einer „Privacy Sandbox“ arbeiten. Google selbst will dann mittels „Federated Learning of Cohorts“ (Floc) die Nutzer:innen einordnen – vor allem um die Werbeerlöse hochzuhalten. Diese auf gruppierten Kohortendaten basierende Erfassung ist etwas anonymer. In der datenschutzsensiblen EU will Google damit aber vorerst nicht starten.

In Deutschland könnte das bis dato kaum beachtete Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) Tatsachen schaffen und alle (technisch nicht notwendigen) Cookies verbieten. Das Thema Cookies wird uns also zunehmend beschäftigen. Daher ist es sinnvoll, sich rechtzeitig mit Cookies und Website-Statistik zu befassen. Wenn du proaktiv Cookies vermeidest, kannst du die Entwicklung entspannter verfolgen und in Ruhe entscheiden und umstellen.

Kommentare aus der Community

Robert Hartl am 14.06.2021 um 14:34 Uhr

Vorweg, es wird im umstrittenen Datenschutzbereich selten 100%-ige Ansichten geben.
Die Datenverarbeitung ist „nur“ bei personenbezogenen Daten relevant. Die hat man bei strenger, eigener Client-ID mE nicht.
Die Übermittlung an Google beinhaltet bei selbst gehostetem Script nur die IP des Servers, nicht des Nutzers. Das Selbst-Hosten „soll“ man laut Google nicht, damit das Script möglichst aktuell bleibt/ ist. Download ist erlaubt. Man muss entsprechend von Zeit zu Zeit das Script aktualisieren.

Antworten
Michael Kornobis am 14.06.2021 um 12:27 Uhr

Danke für die Insights. Allerdings kann
1) laut Google die JavaScript-Datei (gtag.js) zwar heruntergeladen, sollten jedoch nicht lokal gespeichert oder gehostet werden. Technisch machbar, ich frage mich wie Google praktisch dann zum Self-Hosting steht.
2) Zudem erfolgt anschließend vom Self-Host der JS-File der sogenannte Ping an eine Google-Domain und -Server von User-Client-Seite heraus, oder hat sich das geändert? Denn dazu müsste auch dieser request serverseitig implementiert und an Google um Bereinigung der personenbezogenen Daten übersetzt werden.

Ich freue mich jederzeit über einen Austausch dazu.

Antworten
Max am 28.04.2021 um 11:08 Uhr

„Nutzer:innenprofilbildung“ – Mehr muss man dazu nicht sagen, oder? :)

Antworten
Frank am 14.04.2021 um 19:54 Uhr

Das spielt gar keine Rolle. Es reicht, dass Google ein amerikanisches Unternehmen ist. Die dortigen Behörden haben dann auch Zugriff auf Server in Deutschland.

Antworten
Stefan Meyer am 12.04.2021 um 14:28 Uhr

Um die Einwilligung bei GA kommt man leider nicht umhin, da die Daten in den USA verarbeitet werden.

Selbst bei einer Verarbeitung in der EU braucht man bei Google die Einwilligung, da CLOUD Act auch für Daten von US-Unternehmen gilt, die nicht in den USA speichern.

Antworten
Max am 12.04.2021 um 16:26 Uhr

Hast du eine Quelle von Google dazu, dass die Daten in den USA verarbeitet werden?

Antworten
Frank am 14.04.2021 um 19:54 Uhr

Das spielt gar keine Rolle. Es reicht, dass Google ein amerikanisches Unternehmen ist. Die dortigen Behörden haben dann auch Zugriff auf Server in Deutschland.

Antworten
Karlo am 04.07.2021 um 16:38 Uhr

Absolut richtig, was Frank hier sagt. Ich nutze seit einiger Zeit die Trackboxx als Webanalyse-Tool. Da geht nix an Daten nach Übersee und Cookies werden auch keine gesetzt. Consent Banner spare ich mir seitdem :-)

Antworten
Max am 28.04.2021 um 11:06 Uhr

Also dann am besten Matomo? Geht Matomo ohne Einwilligung der Nutzer? Also dass man das Besucherverhalten auszeichnet, aber der Besucher sich dann aktiv vom Tracking abmelden muss?

Antworten
Sven am 31.07.2021 um 09:19 Uhr

Ja. Matomo kann ohne Cookies betrieben werden. Selbst gehostet kann (nach Aussage von Datenschützern) ohne Consent betrieben werden. Zumindest, wenn die Daten nicht in ihrer Summe geeignet sind Profile zu bilden oder Nutzer (theoretisch) zu deanonymisieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*